DSGVO Checkliste: Wer muss was tun?

Neue Regelungen im Datenschutz
DSGVO Checkliste: Wer muss was tun?

DSGVO Checkliste und mehr: Hier finden Sie einige Hinweise und eine Art „Checkliste“ für die Datenschutz-Grundverordnung, die ab dem 25. Mai 2018 unser Datenschutzrecht umkrempelt.

Der Stichtag:

Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung, kurz: DSGVO, d.h.

  • im Datenschutz wird alles auf den Kopf gestellt, was bisher gegolten hat;
  • jeder, der personenbezogene Daten verarbeitet, speichert oder erhebt, muss grundlegend neu/anders vorgehen als bisher;
  • es gibt massiv erhöhte Bußgelder: Bisher lag die Obergrenze bei 300.000 Euro, künftig liegt sie bei 20 Millionen Euro. Ein Grund mehr, sich darum zu kümmern!

DSGVO Checkliste: Wer muss was tun?

A. Bin ich davon betroffen? Muss ich die DSGVO beachten?

Wenn Sie auch nur eine (!) der nachstehenden Fragen mit „ja“ beantworten, dann müssen auch Sie die DSGVO beachten. Vermutlich wird aber auch Ihr Unternehmen zu den 99,9 % aller Unternehmen gehören, die von den Änderungen betroffen sind.

Die Fragen

  • Sie speichern Daten Ihrer Beschäftigten, z.B. Wohnanschrift, Geburtsdatum, private Mailadresse? Oder Sie machen die Lohnbuchhaltung oder führen (digitale oder sortierte Papier-Personalakten?
  • Sie haben einen firmeneigene PKW, die von Beschäftigten privat genutzt werden dürfen?
  • Ihre Mitarbeiter gehen auf Geschäftsreisen?
  • Ihre Mitarbeiter dürfen im Betrieb privat Mails schreiben?
  • Sie machen Fotos Ihrer Mitarbeiter (und veröffentlichen diese?)?
  • Sie überwachen Ihr Betriebsgelände bspw. mit Videokameras oder haben sonstige Zutrittskontrollen?
  • Sie betreiben eine Webseite?
  • Sie haben auf Ihrer Webseite Social Media-Plugins eingesetzt?
  • Sie arbeiten mit einem Tracking- oder Analyse-Tool?
  • Sie nutzen Apps, um Ihre Veranstaltungsbesucher oder Mitarbeiter zu informieren?
  • Sie entwickeln Apps, Software oder Produkte, die Daten verarbeiten?
  • Auf Ihrer Webseite können sich Internetnutzer mit einem Webformular für einen Newsletter anmelden?
  • Sie verschicken einen Newsletter digital oder postalisch?
  • Sie beliefern Kunden mit Waren und Dienstleistungen nicht ausschließlich im sog. Bar-/Haustürgeschäft? (d.h. Sie verschicken Pakete, schicken E-Mails, erstellen Rechnungen usw.?)
  • Sie speichern Kundendaten, wie z.B. personalisierte Mailadresse, Telefondurchwahlen, Namen der Ansprechpartner?
  • Sie speichern Daten Ihrer Lieferanten, wie z.B. personalisierte Mailadresse, Telefondurchwahlen, Namen der Ansprechpartner?
  • Sie bieten ein Gewinnspiel an, und Teilnehmer geben für den Fall des Gewinns ihren Namen u.a. bekannt?
  • Sie sind Auftragsdatenverarbeiter, d.h. verarbeiten fremde Daten im Auftrag? Sie bieten bspw. eine App an und verarbeiten die Daten der Nutzer auf Ihrem eigenen Server? Oder Sie bieten eine Software an, für die ein Fernzugriff möglich ist (ASP, Saas)?

Wenn Sie eine oder mehrere Fragen mit „ja“ beantworten, dann sind Sie verpflichtet, die Vorgaben der DSGVO umzusetzen (und zwar unabhängig von der Anzahl der Mitarbeiter im Unternehmen!).

Dazu kann gehören:

B. Was muss ich jetzt tun?

1.) Verzeichnis aller Verarbeitungs-Vorgänge

Fragen dazu?

Sie müssen prüfen, ob Sie verpflichtet sind, ein sog. Verzeichnis aller (!) Verarbeitungsvorgänge mit Daten zu führen. Meine Kanzlei kann Sie hierbei unterstützen und Ihnen die Lösung anbieten, ob und wie Sie ein Verzeichnis führen müssen.

Da der Datenschutzbeauftragte die Vollständigkeit des Verarbeitungsverzeichnisses zu prüfen hat, bestünde bei seiner Beauftragung mit der Erstellung des Verzeichnisses eine Interessenkollision. Der (interne oder externe) Datenschutzbeauftragte darf also weder mit der Erstellung noch mit der Pflege des Verarbeitungsverzeichnisses beauftragt werden!

Die Pflicht gilt auch für Auftragsverarbeiter bzgl. der im Auftrag verarbeiteten Daten. Das heißt, dass Unternehmen, die für andere Daten verarbeiten nicht nur ihre eigenen Verarbeitungen, sondern auch diese Auftragsverarbeitungen auflisten müssen.

Das Verzeichnis müssen Sie erstellen, wenn Sie die Voraussetzungen des Art. 30 DSGVO erfüllen:

Artikel 30 DSGVO: Wer ein Verarbeitungsverzeichnis benötigt

Jeder Verantwortliche.

Jeder Auftragsdatenverarbeiter.

Ausnahme:

Die Pflicht gilt nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

2.) Erlaubter Grund für die Verarbeitung

Fragen dazu?

Sie brauchen, wenn Sie fremde Daten speichern wollen, einen Legitimationsgrund. Diese ergeben sich aus Art. 6 DSGVO.

Artikel 6 DSGVO: Wann darf ich fremde Daten speichern oder erheben?

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Hinweis: Ich habe hier bewusst den Originaltext der Verordnung hineinkopiert. Er enthält wichtige Begrifflichkeiten, deren Definitionen sich oftmals aus anderen Paragraphen ergeben. Bei der DSGVO kommen noch die sog. Erwägungsgründe hinzu, die zur Auslegung der Texte herangezogen werden müssen. Außerdem gibt es oftmals Ausnahmen und Gegenausnahmen entweder im selben oder in einem anderen Paragraphen. Allein der Wortlaut ist also nicht immer maßgeblich und man sollte sich davor hüten, nach einem schnellen Lesen zu meinen, man hätte nun alles verstanden.

Sie müssen prüfen, welcher Legitimationsgrund für Sie und Ihre jeweilige Datenverarbeitungsabsicht gilt. Dabei unterstützen wir Sie: Meine Kanzlei kann Ihnen aufzeigen, für welchen Datenverarbeitungs-Vorgang welcher Legitimationsgrund greift und wie Sie damit umgehen müssen.

Die bisher oft genutzte „Einwilligung“ wird künftig in den meisten Fällen nicht mehr möglich sein, da die „Einwilligung“ in der DSGVO an sehr hohe Voraussetzungen geknüpft ist.

Was sind die Voraussetzungen einer Einwilligung?

Für die Einwilligung (von über 16-Jährigen, für jüngere gibt es andere Voraussetzungen) gilt Art. 7 DSGVO:

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Wie man sieht: Die Hürden sind (sehr) hoch und dürfen nicht unterschätzt werden!

Hinweis: Ich habe hier bewusst den Originaltext der Verordnung hineinkopiert. Gerade aber hier bei der Einwilligung spielen die sog. Erwägungsgründe zur DSGVO eine wichtige Rolle, die zum Verständnis herangezogen werden müssen.

3.) Informationen und Belehrungen

Fragen dazu?

Sie müssen dazu prüfen, wann Sie wen wie über was informieren müssen.

Sie müssen Ihre Datenschutzhinweise, Datenschutzerklärungen und Einwilligungserklärungen an die neuen Vorgaben anpassen. Das, was bisher gültig war, wird ab Mai 2018 nicht mehr zulässig sein. Das bedeutet auch, dass man künftig nicht mehr „einfach so“ Datenschutzbelehrungen von einem anderen Unternehmen wird kopieren können: Jedes Unternehmen arbeitet anders, und diese Unterschiede werden sich auch in den Belehrungen widerspiegeln müssen.

Wir können für Sie den Katalog der Informationspflichten erstellen und Sie beraten, wie und wo Sie über was informieren müssen.

Die Informationspflichten ergeben sich u.a. aus den Art. 13 und Art. 14 DSGVO:

Artikel 13 DSGVO: Informationspflichten, wenn die Daten bei der betroffenen Person erhoben wurden

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.


Artikel 14 DSGVO: Informationspflicht, wenn die Daten NICHT bei der betroffenen Person erhoben wurden

(1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) die Kategorien personenbezogener Daten, die verarbeitet werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;

g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2

a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,

b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,

c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

(4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit

a) die betroffene Person bereits über die Informationen verfügt,

b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,

c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder

d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen

4.) Folgen-Abschätzung

Fragen dazu?

Sie müssen prüfen, ob Sie eine sog. Datenschutzfolgenabschätzung durchführen müssen.

Die neue DSGVO verpflichtet Sie alle künftigen Datenverarbeitungsvorgänge darauf zu prüfen, ob voraussichtlich ein hohes Risiko für die Betroffenen besteht. Das Risiko kann aufgrund Art, Umfang, besonderer Umstände oder Zwecke der Datenverarbeitung bestehen.

Sie müssen also immer diese Prüfung vornehmen und dann, wenn ein solches Risiko nicht auszuschließen ist, eine Abwägung des Nutzens mit den Folgen in Ansehung der Risiken vornehmen. Meine Kanzlei unterstützt Sie dabei. Wir können Ihnen sagen, ob und wann Sie eine Folgenabschätzung brauchen, und wie Sie dabei vorgehen müssen.

Wann muss ich eine Folgenabschätzung durchführen?

Die Pflicht zur Folgenabschätzung ergibt sich Aus Art. 35 DSGVO:

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Hinweis: Ich habe hier bewusst den Originaltext der Verordnung hineinkopiert. Er enthält wichtige Begrifflichkeiten, deren Definitionen sich oftmals aus anderen Paragraphen ergeben. Bei der DSGVO kommen noch die sog. Erwägungsgründe hinzu, die zur Auslegung der Texte herangezogen werden müssen. Außerdem gibt es oftmals Ausnahmen und Gegenausnahmen entweder im selben oder in einem anderen Paragraphen. Allein der Wortlaut ist also nicht immer maßgeblich und man sollte sich davor hüten, nach einem schnellen Lesen zu meinen, man hätte nun alles verstanden.

5.) Datenschutz-Beauftragter

Fragen dazu?

Sie müssen prüfen, ob Sie in Ihrem Unternehmen einen (externen oder internen) Datenschutzbeauftragten brauchen.

Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich einmal aus der DSGVO, und dann (darf man nicht übersehen!) aus dem neuen nur in Deutschland geltenden Bundesdatenschutzgesetz (BDSG-neu).

Pflicht zur Benennung eines DSB nach der DSGVO

Die Pflicht ergibt sich aus Art. 37 Absatz 1 DSGVO:

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.


Pflicht zur Benennung eines DSB nach dem BDSG-neu

Die Pflicht ergibt sich für nicht-öffentliche Stellen aus § 38 Absatz 1 BDSG-neu:

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Wie man sieht: Nach künftigem nationalen Recht kann es durchaus sein, dass auch kleinere Unternehmen einen DSB benötigen, bspw. wenn sie Verarbeitungen vornehmen, für die eine Folgenabschätzung (siehe oben) notwendig ist! Man muss also durchaus wissen, ob und wann man eine Datenschutz-Folgenabschätzung machen muss – denn daraus kann sich die Pflicht zur Benennung eines Datenschutzbeauftragten ergeben.

Wir können für Sie prüfen, ob Sie einen Datenschutzbeauftragten benötigen.

6.) Neue Strukturen

Fragen dazu?

Sie müssen betriebsinterne Strukturen aufbauen, die es Ihnen ermöglichen, Datenpannen zu verhindern, zu beheben und zu melden. Meine Kanzlei unterstützt Sie dabei und zeigt Ihnen auf, welche Strukturen notwendig und sinnvoll sind.

Sie müssen sicherstellen, dass Sie Kundendaten, die Sie direkt beim Kunden erhoben haben, in Standarddateiformate einspielen und an andere Anbieter (auch an Wettbewerber) übertragen können: Ihr Kunde hat einen Anspruch auf Datenübertragung.

Sie müssen alle Pflichten und Ihre Maßnahmen nach der DSGVO dokumentieren.

Sie müssen geeignete Mitarbeiter auswählen, Verantwortlichkeiten vergeben und die betroffenen Mitarbeiter einweisen und schulen. Auch hier kann ich mit meiner Kanzlei unterstützen: Wir bieten Ihnen Inhouse-Schulungen (auch Webinare) an und helfen Ihnen, Verantwortlichkeiten strukturiert zu verteilen.

Momentan trimmen wir unsere Mandanten gerade auf die neue DSGVO.

Gerne unterstützen wir auch Sie dabei – nur bitte beginnen Sie damit nicht auf den letzten Drücker, da es einfach Zeit braucht, sich gut vorzubereiten. Bis zum 25. Mai 2018 sollte man also nicht mehr allzu lange warten.

Schicken Sie uns einfach eine Mail an info@eventfaq.de oder füllen das nebenstehende Kontaktformular aus – wir nehmen dann umgehend Kontakt mit Ihnen auf.

Ihr direkter Kontakt zu uns:

Anfrage zur DSGVO
Wird gesendet

Unsere Seminare & Webinare zur DSGVO:

Die Seminare dauern je 1 Tag (zusammen mit anderen Themen), die Webinare dauern ca. 1 Stunde.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Bild für Webinar Datenschutz: © Brian Jackson - Fotolia.com
  • Bild für Seminar Datenschutz und Urheberrechtt: © gstockstudio - Fotolia.com
  • Big data blockchain concept: © Denys Rudyi - Fotolia.com