Zur Navigation springen Zum Inhalt springen Zum Footer springen

Änderungsbedarf am internen Datenschutzmanagement nach der DSGVO

(2 Bewertungen) 4,5 von 5,0 Sternen (2 Bewertungen)

Die Datenschutz Grundverordnung (2016/679/EU) wird ab dem 25. Mai 2018 mit einem „Fallbeileffekt“ das neue europaweit weitergehend einheitlich geregelte Datenschutzrecht ablösen. Sie wird ohne eine weitere Übergangsfrist dann uneingeschränkt ihre Wirkung entfalten und alle Unternehmen betreffen, die nicht ausschließlich „analog“ arbeiten. Dies gilt unabhängig von der Unternehmensgröße und Branche.

Die Regelungen des Datenschutzes sind grundsätzlich anzuwenden, soweit personenbezogene Daten verarbeitet werden. Aufgrund der Breite der Anwendbarkeit der Datenschutz-Grundverordnung stellt sich für Unternehmen nunmehr nicht mehr die Frage ob es davon betroffen ist, sondern wie weitgehend.

Große Bedeutung bekommt aber die Frage, welche Änderungen die Unternehmen bei der Planung und Aufstellung eines Datenschutzmanagements zukünftig beachten müssen.

Kann beispielsweise das bereits bestehende und altbewährte Verfahrensverzeichnis unverändert übernommen werden? Ebenso stellt sich die Frage, ob weiterhin Vorabkontrollen zuzuführen sind.

Regelungen zum Verfahrensverzeichnis finden sich aktuell in § 4g Abs. 2 BDSG. In der neuen Datenschutz-Grundverordnung wird Unternehmen künftig in Art. 30 das Führen eines Verfahrensverzeichnisses aller Verarbeitungstätigkeiten vorgeschrieben. Inhaltlich soll dieses dem altbekannten Verfahrensverzeichnis ähneln, weiterhin müssen die wesentlichen Informationen der Datenverarbeitung zusammengefasst werden, also Angaben zum Zweck der Verarbeitung, Löschfristen und Empfänger der Daten.

Dazu künftig nur noch den Aufsichtsbehörden auf Antrag Einsichtnahme in das Verzeichnis zu gewähren ist, entfällt zukünftig eine Differenzierung zwischen einem öffentlichen und einen internen Teil. Weitere Änderungen betreffen die Auftragsverarbeiter, diese werden zukünftig zum Führen eines Verfahrensverzeichnisses von Verarbeitungstätigkeiten verpflichtet sein.

Art. 30 Abs. 5 DSGV sieht auf den ersten Blick eine Erleichterung für Unternehmen mit weniger als 250 Mitarbeitern vor. Diese Ausnahme von der Verzeichnispflicht wird jedoch voraussichtlich nur selten greifen, da diese nur dann gelten soll, soweit die durchgeführte Datenverarbeitung nicht ein Risiko für Rechte und Freiheiten der Betroffenen in sich birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonders sensibler Daten einschließt.

Derzeit schreibt § 4d Abs. 5 BDSG vor, dass eine Vorabkontrolle durchzuführen ist. Diese findet sich so in der DSGVO so nicht wieder, vielmehr soll gemäß Art. 34 DSGV eine Folgenabschätzung eine wichtige Rolle spielen.

Bislang war eine Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten durchzuführen, soweit besonders sensible Daten nach § 3 Abs. 9 BDSG betroffen waren oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens, zu bewerten. Die nunmehr durchzuführende Folgenabschätzung ähnelt grundsätzlich der Dokumentation einer Vorabkontrolle. Hinzukommt jedoch, dass ab dem 25. Mai 2018 die jeweilige Aufsichtsbehörde für ihren Zuständigkeitsbereich eine Liste der Verarbeitungsvorgänge erstellt und veröffentlichen muss, für die eine Datenschutzfolgenabschätzung durchzuführen ist. Konkretisiert wird der Inhalt der Datenschutz-Folgenabschätzung durch Art. 35 DSGV, in dem Mindestvorgaben beispielhaft aufgezählt werden.

Fazit: Allein an der Darstellung dieser nicht abschließenden Aufzählung erkennbar, dass Unternehmen anzuraten ist, die für sie bedeutsamen Änderungen aus der Datenschutz Grundverordnung schon jetzt umzusetzen.


Rechtstipp vom 21.12.2016
aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Profil-Bild
            Rechtsanwalt Thomas Feil (Feil Rechtsanwaltsgesellschaft mbH) Rechtsanwalt Thomas Feil

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Thomas Feil (Feil Rechtsanwaltsgesellschaft mbH)

Damit Sie wissen, wann Sie im Recht sind

Informationen über aktuelle Gesetzesänderungen, neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter

Ihre E-Mail-Adresse wird nur für den anwalt.de-Newsletter verwendet und nicht an Dritte weitergegeben. Sie können den anwalt.de-Newsletter jederzeit wieder abbestellen.