Zur Navigation springen Zum Inhalt springen Zum Footer springen

Datenschutzgrundverordnung DSGVO – Wie setze ich die Anforderungen um?

Rechtstipp vom 24.04.2018
(2)
Rechtstipp vom 24.04.2018
(2)

Fakten zur EU-Datenschutzgrundverordnung (DSGVO) 

Die neue europäische Datenschutzgrundverordnung (DSGVO) trat bereits am 24. Mai 2016 in Kraft. Ab dem 25. Mai 2018 sind die hierin enthaltenen Maßgaben zum Datenschutz in jedem EU-Staat verbindlich.

Was muss ich als Unternehmer zur Umsetzung der DSGVO tun?

  • Verzeichnis erstellen?

Art. 30 DS-GVO fordert mit wenigen Ausnahmen, dass Sie als Verantwortlicher ein Verzeichnis über alle Verarbeitungstätigkeiten führen, die in Ihrem Unternehmen durchgeführt werden. Hieraus muss deutlich werden, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird. 

Enthalten muss das Verzeichnis: 

1.  Name und Kontaktdaten des Verantwortlichen

2.  Beschreibung der Kategorien betroffener Personen und der personenbezogenen Daten

3.  Zwecke der Verarbeitung der Daten

4.  Kategorien von Empfängern von Daten einschließlich Empfänger in Drittstaaten

Das Verzeichnis ist nicht öffentlich, muss aber der Aufsichtsbehörde vorgelegt werden können und dient der Selbstkontrolle. 

  • Grundsätze der Datenverarbeitung einhalten!

Neben anderen sind folgende Datenschutzgrundsätze einzuhalten: 

1. Rechtmäßigkeit der Datenverarbeitung 

Nach Art. 6 Abs. 1 DS-GVO ist eine Datenverarbeitung nur rechtmäßig, wenn entweder eine Einwilligung des Betroffenen vorliegt oder eine weitere Rechtsgrundlage die Datenverarbeitung rechtfertigt. Bei der Einwilligung muss genau angegeben werden, wozu die Daten verarbeitet werden und die betroffene Person muss informiert werden, dass sie die Einwilligung jederzeit widerrufen kann. 

2. Zweckbindung

Die Datenverarbeitung darf nur für die konkret feststehenden und dem Betroffenen mitgeteilten und von seiner Einwilligung umfassten Zwecke erfolgen. Wurde die Einwilligung also für die Erbringung der Klangschalen-Therapie und die Abrechnung dieser Leistung erteilt, dürfen die personenbezogenen Daten beispielsweise nicht für die Zusendung eines Newsletters genutzt werden, es sei denn, der Patient hat dieser Nutzung ausdrücklich zugestimmt!

3. Rechenschaftsbericht

Verantwortliche müssen die Einhaltung der oben genannten Grundsätze gegenüber der Aufsichtsbehörde nachweisen können. Sie müssen also dokumentieren können, welche personenbezogenen Daten Sie verarbeiten, auf welcher Grundlage Sie das tun, für welchen Zweck und für wie lange Sie die Daten beabsichtigen zu speichern. 

  • Mitarbeiter verpflichten! 

Die dem Verantwortlichen unterstellten Personen, die Zugang zu personenbezogenen Daten haben, dürfen diese ausschließlich auf Weisung des Verantwortlichen verarbeiten und sind schriftlich auf die gesetzeskonforme und weisungsgemäße Verarbeitung der Daten zu verpflichten.

  • Auftragsverarbeitung

Viele Unternehmen nutzen externe Dienstleister, beispielsweise zur Erledigung der Wartung der IT-Einrichtung, Übernahme der Buchhaltung oder des Rechnungswesens. Zur Einhaltung der Vorschriften ist ein Vertrag zwischen dem Auftragsdatenverarbeiter und dem Unternehmen erforderlich, der u.a. das Weisungsrecht des Verantwortlichen, die konkreten Aufgaben des Auftragnehmers festschreibt, ihn zur Vertraulichkeit und Einhaltung der Datensicherheit verpflichtet und festlegt, was nach Vertragsbeendigung mit den Daten geschehen soll. Wichtig ist, dass zunächst geklärt wird, wer als Auftragsdatenverarbeiter im rechtlichen Sinne gilt. 

  • Datensicherheit gewährleisten!

In Art. 32 DS-GVO werden die klassischen Schutzziele der IT-Sicherheit als zentrale Elemente festgelegt: Die eingesetzten technischen Hilfsmittel und auch die internen Prozesse (!) müssen daher die Vertraulichkeit der Daten (Daten vor dem Zugriff von Unbefugten schützen), die Integrität (Daten sollen unversehrt bleiben) und die Verfügbarkeit der Daten sicherstellen. Durch fortlaufende Updates ist beispielsweise neben weiteren Maßnahmen die Aktualität der Soft- und Hardware sicherzustellen, durch regelmäßige Updates auch den gravierenden Folgen sogenannter Schadstoffsoftwares vorzubeugen. 

  • Datenschutzbeauftragten bestellen?

Wenn mindestens zehn Personen damit beschäftigt sind, personenbezogene Daten automatisiert zu verarbeiten, sind Sie per se zur Bestellung eines Datenschutzbeauftragten verpflichtet. Ist dies nicht der Fall, ist nach Art. 37 DS-GVO beispielsweise entscheidend, ob die Verarbeitung von besonders sensiblen Daten wie beispielsweise der Gesundheitsdaten, eine Kerntätigkeit darstellt.

Der Datenschutzbeauftragte ist der Aufsichtsbehörde mitzuteilen (Art. 37 Abs. 7 DS.GVO) und seine Kontaktdaten sind im Internet bekannt zu machen. 

  • Betroffene über ihre Rechte informieren 

Der Betroffene ist unter anderem nach der DSGVO über den für die Datenverarbeitung Verantwortlichen, den Datenschutzbeauftragten, Zweck der Datenverarbeitung, ggf. weitere Empfänger der Daten, Dauer der Speicherung und sein Recht auf Auskunft-, Berichtigung und Löschung zu informieren. Ihm ist auch mitzuteilen, dass seine Einwilligung jederzeit grundlos widerrufen werden kann und er sich bei der Aufsichtsbehörde beschweren kann.


Rechtstipp aus dem Rechtsgebiet IT-Recht | Europäisches Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.