Übersicht gesetzliche Pflichten Datenschutz

Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) haben sich auch die Pflichten im Datenschutz gewandelt und teilweise harmonisiert. Insbesondere ist der Harmonisierungseffekt bei grenzüberschreitenden Datenverarbeitungen in anderen europäischen Ländern eingetreten. Trotzdem bietet auch die EU-Datenschutzgrundverordnung immer noch viele Möglichkeiten zu nationalen Sonderregelungen. Auch die Kirchen haben nach wie vor die Möglichkeit in den Grenzen der EU-DSGVO eigene Regelungen zu treffen. Die wichtigsten gesetzlichen Pflichten im Datenschutz finden Sie nachfolgend in teilweise etwas gekürzter Form aufgeführt:

Verfahrensverzeichnis

Alles beginnt im Datenschutz mit dem Verfahrensverzeichnis. Hier wird von jeder Datenverarbeitung genau beschrieben, wie sie gestaltet ist. Eine Datenverarbeitung ist beispielsweise das Bewerbungsmanagement, die Zeiterfassung oder das Versenden von Newslettern. Selbst bei kleinen Unternehmen kommen schnell 40-50 Verfahren zusammen. Die Beschreibung zu jeder Datenverarbeitung muss mindestens folgende Angaben enthalten:

  • Name und Kontaktdaten des für die Verarbeitung Verantwortlichen
  • Angabe der Verarbeitungszwecke
  • Betroffene Personenkreise
  • Verarbeitete Datenkategorien
  • Empfänger der Daten
  • Ggf. Informationen zur Übermittlung in außereuropäische Drittländer
  • Löschungsfristen
  • technische und organisatorische Schutzmaßnahmen

Datenschutzbeauftragter

Erfüllen Sie die Voraussetzung zum Auslösen der Bestellpflicht eines Datenschutzbeauftragen, müssen Sie diesen umgehend benennen. Diese Person muss die für die Erfüllung seiner Aufgabe notwendige Fachausbildung und Unabhängigkeit mitbringen. Der Datenschutzbeauftragte darf ein eigener Mitarbeiter oder ein externer Dienstleister sein. Vertiefende Information zum Thema Vor- und Nachteile externer Datenschutzbeauftragter, sowie Details zu seinen Anforderungen finden Sie hier als PDF zum Download. Die Bestellpflicht wird ausgelöst, wenn einer der folgenden Punkte auf Sie zutrifft:

  • Wenn 10 oder mehr Personen regelmäßig mit personenbezogenen Daten zu tun haben
  • Wenn Sie als Kerntätigkeit besonders sensible Daten (z.B. Gesundheitsdaten) verarbeiten
  • Wenn eine oder mehrere Ihrer Datenverarbeitungen einer Pflicht zur Folgeabschätzung (s.u.) unterliegen
  • Wenn Sie per Vertrag zu einer Bestellung verpflichtet werden

Folgeabschätzung

Hat eine Datenverarbeitung voraussichtlich hohe Risiken für Betroffenen, so ist eine Datenschutz-Folgeabschätzung durchzuführen. Dieses Verfahren ist ähnlich der früheren Vorabkontrolle aus den Zeiten des alten Bundesdatenschutzgesetzes. Bei der Folgeabschätzung sind mindestens folgende Punkte zu prüfen:

  • Systematische Beschreibung der geplanten Verarbeitung
  • Beschreibung der Zwecke der Verarbeitung
  • Erläuterung ggf. vorhandener berechtigter Interessen des Verarbeiters
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  • Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  • Beschreibung der Maßnahmen zur Reduzierung der Risiken

Bleibt trotz Gegenmaßnahmen eines der Risiken bestehen, müssen vor Beginn der Datenverarbeitung die zuständige Datenschutzaufsichtsbehörde konsultiert und deren Anforderungen umgesetzt werden.

Informationspflichten

Mit der Datenschutzgrundverordnung haben umfangreiche Informationspflichten Einzug in die Gesetzes gehalten. So muss jeder von einer Datenverarbeitung betroffenen Person eine ganze Reihe von Informationen über die Datenverarbeitung zur Verfügung gestellt werden. Dies ist beispielsweise der Fall bei Einstellung eines Mitarbeiters, beim Anlegen eines Kunden im System, beim Anmelden einer Person für einen Newsletter oder auch schon dem Besucher der Webseite. Mindestens angegeben werden müssen folgende Informationen:

  • Name und Kontaktdaten des für die Verarbeitung Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Angabe der Verarbeitungszwecke
  • Erläuterung ggf. vorhandener berechtigter Interessen als Grundlage der Verarbeitung
  • Empfänger der Daten
  • Ggf. Informationen zur Übermittlung in ein außereuropäisches Drittland
  • Dauer der Speicherung
  • Eine Erläuterung der Rechte des Betroffenen gegenüber dem Verarbeiter
  • Einen Hinweis auf das Bestehen eines Beschwerderechts bei der Datenschutzaufsichtsbehörde
  • Falls die Daten auf Grund vertraglicher oder gesetzlicher Pflichten verarbeitet werden, eine Erläuterung, welche Konsequenzen dem Betroffenen bei einer Weigerung drohen

Datenschutz durch technisch-organisatorische-Maßnahmen (TOMs)

Die Datenschutzgrundverordnung legt an vielen Stellen einen besonderen Fokus auf die Schaffung von Datenschutz durch TOMs. So ist der Verarbeiter durchgehend in der Pflicht, das Vorhandensein und die Wirksamkeit seiner TOMs laufend nachzuweisen. Auch bei der Entwicklung von Software und Standkonfiguration ist auf einen maximalen Datenschutz und eine minimale Datenverarbeitung zu achten. Insbesondere sollte der Verarbeiter ein IT-Sicherheitsmanagementsystem (ISMS) installieren, eine Datenschutzrichtlinie erlassen und deren Bekanntheit und Wirksamkeit nachweisen, sowie seine Schutzmaßnahmen an den gängigen Standards, z.B. BSI Grundschutz, orientieren.

Schulen und Sensibilisieren

Damit die Mitarbeiter wissen was sie tun, ist eine der wichtigsten Pflichten, die Mitarbeiter regelmäßig zu schulen und zu sensibilisieren. In den Schulungen sollten die Mitarbeiter mit den gesetzlichen Grundlagen und den speziellen Regelungen für ihren Arbeitsplatz vertraut gemacht werden. In den Sensibilisierungen sollten dann spezielle Risiken oder Fehlermöglichkeiten angegangen werden. Wichtig ist auch hierbei, immer einen entsprechenden Nachweis zu führen.