DSGVO und BDSG(neu)

Seit dem 25.5.2018 ist die neue Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union in Kraft getreten, zusammen mit dem BDSG-neu (Bundesdatenschutzgesetz in der neuen Fassung) und regelt die Verarbeitung von personenbezogenen Daten in der EU. Ziel ist es den ungehemmten Austausch personenbezogener Daten in der EU zu unterbinden und das Grundrecht auf informationelle Sebstbestimmung zu schützen.

Was sind „Personenbezogene Daten“?

Der Begriff „Personenbezogene Daten“ ist sehr weit gegriffen und umfasst alle Daten, für die sich direkt oder indirekt ein Bezug zu einer bestimmten Person herstellen läßt. Dieses können z.B. sein:

  • Name
  • Anschrift
  • E-Mail-Adresse
  • IP-Adressen
  • Personal-Nr.
  • Geschlecht, Titel, Größe, Haarfarbe, etc.

Für wen gilt die DSGVO?

Die DSGVO gilt innnerhalb der EU, aber auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten (Marktortprinzip).

Welche Pflichten ergeben sich für Unternehmen aus der DSGVO?

In Artikel 5 der DSGVO werden allgemein die Grundsätze aufgeführt, die für die Verarbeitung von personenbezogenen Daten gelten. Für Unternehmen ergeben sich daraus folgende Pflichten:

  • Pflicht zur Erstellung des „Verzeichnis der Verarbeitungstätigkeiten“ und Beschreibung von technisch und organisatorischen Maßnahmen (TOM’s) zur Umsetzung von Verarbeitungstätigkeiten. Das „Verzeichnis der Verarbeitungstätigkeiten“ ist jederzeit aktuell zu halten und dient als Nachweis bei Aufsichtsbehörden.
  • Das Thema IT-Sicherheit muß in der Regel überprüft werden.
  • Verträge mit Auftragsdatenverarbeitern müssen Datenschutz-regelkonform erstellt werden
  • In den meisten Fällen müssen Unternehmen einen internen oder externen Datenschutzbeauftragten bestellen und ihrer Aufsichtsbehörde benennen. Der Datenschutzbeauftragte übt eine Kontroll- und Überwachungs-Funktion innerhalb eines Unternehmens aus und führt in der Regel die Kommunikation mit der Datenschutz-Aufsichtsbehörde. Die Person des Datenschutzbeauftragten muß einen Nachweis erbringen können, dass sie die nötige Fachkunde für das Thema Datenschutz besitzt und das sie bei ihrer Ausübung der Tätigkeit nicht in einen Konflikt oder in die Gefahr der Selbstkontrolle geraten kann.
  • Es müssen Prozesse im Unternehmen implementiert werden, die es ermöglichen jederzeit die Rechte von Betroffenen (den Personen von denen Daten verarbeitet werden) zu erfüllen, wie z.B. Transparenz der Datenverarbeitung, Auskunftsrechte, Löschung und Einschränkung der Verarbeitung, Datenübertragbarkeit, etc.
  • Es müssen Prozesse im Unternehmen implementiert werden, um bei Datenschutzverstößen regelkonform zu reagieren. Dazu gehört z.B. das Informieren von Betroffenen und der Aufsichtsbehörde.