Wo fangen Unternehmen am besten mit der Umsetzung an?

Die Vorgaben der DSGVO bereiten Unternehmen derzeit Kopfzerbrechen. Es gibt in dem Sinne keine Musterlösung, denn verschiedene Geschäftsmodelle erfordern unterschiedliche Datenverarbeitungsvorgänge. Anbieter von Fitness-Apps werden sich mit Vorgaben zu Gesundheitsdaten auseinandersetzen müssen, ein Cloud Provider eher mit den neuen Haftungsregeln. Für alle ist es entscheidend, die eigene bisherige Datenschutzpraxis zunächst auf den Prüfstand zu stellen und an die neuen Vorgaben anzupassen.

Wir zeigen Ihnen, wie Sie sich Schritt für Schritt DSGVO-konform absichern. Klicken Sie sich einfach durch die einzelnen Balken, um mehr über die jeweiligen Themengebiete zu erfahren.

Zusammenfassung

Teile der Regelungen in der DSGVO sind eine Fortführung der bereits bestehenden Datenschutzrichtlinien wie: Verarbeitung nach Treu und Glauben, Rechtmäßigkeit und Transparenz; Zweckbindung; Datensparsamkeit; Datenqualität; Sicherheit, Integrität und Vertraulichkeit.

Allerdings wird die Rechenschaftspflicht für x In der DSGVO wird ein Verantwortlicher definiert als die "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden". verschärft, die Einhaltung der Grundsätze nachweisen zu können. Darüber hinaus werden die derzeitigen Vorgaben in der DSGVO erweitert:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz – Personenbezogene Daten müssen nun ausdrücklich so verarbeitetet werden, dass es für die betroffene Person nachvollziehbar ist.

Zweckbindung – Mit Einschränkungen ist die Weiterverarbeitung personenbezogener Daten für Archivzwecke, die im öffentlichen Interesse stehen, nicht unvereinbar mit dem ursprünglichen Zweck der Verarbeitung.

Speicherung – Personenbezogene Daten müssen so gespeichert werden, dass die Identifizierung der × In der DSGVO wird ein betroffene Person definiert als eine "natürliche Person (…), die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".. nur so lange ermöglicht wird, wie es für die Zwecke der Verarbeitung notwendig ist.

Rechenschaftspflicht – Der Verantwortliche ist für die Einhaltung der Grundsätze und den Nachweis der Einhaltung verantwortlich.



Organisatorische Strukturanforderungen

Nach Vorgaben der DSGVO müssen Sie eine Reihe an Maßnahmen umsetzen, um die Risiken einer Datenschutzverletzung zu minimieren und nachzuweisen, dass Sie Daten-Management ernst nehmen. Zu den erforderlichen Maßnahmen im Rahmen der Rechenschaftspflicht zählen: Datenschutz-Folgenabschätzung, Überprüfungen, Tätigkeitsberichte und (gegebenenfalls) Benennung eines Datenschutzbeauftragten.

Datenschutzbeauftragter

Laut DSGVO sind bestimmte Organisationen nun verpflichtet, einen Datenschutzbeauftragten zu benennen, zum Beispiel einen Mitarbeiter oder externen Dienstleister.

Besitzt Ihr Unternehmen beispielsweise eine große Kundendatenbank, kommen Sie nicht umhin, einen Datenschutzbeauftragten zu ernennen. Entsprechendes Fachwissen wird dabei vorausgesetzt.

Zu den Aufgaben des Datenschutzbeauftragten gehört die Überwachung der Einhaltung der Verordnung, Aufklärung über Pflichten und Handlungsempfehlungen bezüglich der Datenschutz-Folgenabschätzung. Darüber hinaus fungiert er als Anlaufstelle für die Aufsichtsbehörde und Einzelpersonen.”

One-Stop-Shop-Prinzip

Das One-Stop-Shop-Prinzip ermöglicht einer Organisation mit mehreren Niederlassungen in der EU, im Bedarfsfall nur eine nationale × In der DSGVO wird eine Aufsichtsbehörde definiert als "eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle". Durch das One-Stop-Shop-Prinzip wird geregelt, dass sich ein Unternehmen bei grenzüberschreitenden Datenverarbeitungen nur noch an eine federführende Aufsichtsbehörde wenden muss, die in der Regel durch den Sitz der Hauptniederlassung bestimmt wird. Das bedeutet allerdings nicht, dass andere lokle Aufsichtsbehörden keinen Einfluss haben.. adressieren zu müssen. Die Regeln zur Bestimmung dieser Aufsichtsbehörde und zum Umgang mit Beschwerden sind teilweise jedoch sehr komplex.

Verarbeitungen, Verfahren und Maßnahmen

Verletzung des Schutzes personenbezogener Daten

In der DSGVO wird die Verletzung des Schutzes personenbezogener Daten neu definiert als die “Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zu Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugriff zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurde”.

Diese Definition ist weiter gefasst als zuvor und berücksichtigt nicht, ob die betroffene Person durch die Verletzung geschädigt wurde. Kommt es in Ihrem Unternehmen zu einer Datenschutzverletzung, müssen Sie Ihre nationale Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls informieren.

Wurden angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten implementiert – wie z.B. Verschlüsselung – müssen Sie betroffene Personen allerdings nicht informieren.

Datenschutz durch Technikgestaltung

Ein wichtiger Bestandteil zur Erfüllung der DSGVO ist Datenschutz durch Technikgestaltung, d.h. die Berücksichtigung der Datenschutzanforderungen bei der Entwicklung neuer Verarbeitungstätigkeiten und Produkte. Galt dieser Ansatz zuvor als Best Practice, ist er nun ausdrückliche Vorschrift.

Datenschutz-Folgenabschätzung

Bei Verarbeitungsvorgängen, die wahrscheinlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden sind, muss der × In der DSGVO wird ein Verantwortlicher definiert als die "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden". eine Datenschutz-Folgenabschätzung durchführen, mit der Ursache, Art, Besonderheit und Schwere des Risikos evaluiert wird.

Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, die das Risiko eindämmen.

Internationale Datenübermittlung (gruppenintern/an externe Entitäten)

Sind Sie international tätig, sollten Sie Ihre Vorschriften und Prozesse für die x Die Übermittlung von personenbezogenen Daten in Länder außerhalb des Europäischen Wirtschaftsraums oder an
internationale Organisationen wird in den Vorschriften des Kapitels V der DSGVO thematisiert. Für die Übermittlung von Daten ist kein physischer Transport notwendig,
bereits das Sichten von Daten, die an einem anderen Ort gehostet werden, gilt im Sinne der DSGVO als Übermittlung.
Die DSGVO definiert eine "grenzüberschreitende Verarbeitung" als:
a) "eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeit von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist," oder
b) "eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeit einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der
Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann."

an Drittländer prüfen. Die Strafen für eine Nichteinhaltung der Verordnung oder für eine Datenübermittlung in Rechtssysteme, deren Richtlinien von der Europäischen Kommission als unzureichend angesehen werden, sind sehr hoch.

Sensibilisierung für Datenschutz

Intern – Mitarbeiter

Es ist höchste Zeit, Ihre Mitarbeiter für die Vorschriften der DSGVO zu sensibilisieren. Darüber hinaus ist es entscheidend, Ihre Verfahren entsprechend der neuen Transparenzforderungen und persönlichen Rechte von Betroffenen zu überarbeiten. Dies kann erhebliche Auswirkungen auf Ihre Finanzen, IT und Schulungen haben.

Rechenschaftspflicht – technische Maßnahmen

Die DSGVO nimmt Verantwortliche in die Pflicht, die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen zu können. Sie müssen bei möglichen Anfragen einer nationalen Aufsichtsbehörde klare Richtlinien vorweisen, die den geforderten Standard einhalten. Dies betrifft die Überwachung, Prüfung und Bewertung Ihrer Datenverarbeitungsprozesse, die Umsetzung von Schutzmaßnahmen und umfassende Schulungen der Mitarbeiter zu ihren Pflichten.

Datenschutzverletzung – technische Maßnahmen

Beugen Sie unter Einsatz von angemessenen Maßnahmen und getesteten Verfahren Datenschutzverletzungen vor (definiert als “eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden”), um schnell reagieren und einen Vorfall gemäß der Vorschriften umgehend melden zu können.

Erfolgt die Schadensmeldung nicht im geforderten Zeitraum, sieht das Gesetz hohe Strafen und Bußgelder vor.

Gewährleistung der Rechte betroffener Personen

Die DSGVO stärkt die Rechte × In der DSGVO wird ein betroffene Person definiert als eine "natürliche Person (…), die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".. , zum Beispiel mit dem Recht auf Auskunft zu ihren erhobenen Daten, dem Recht auf Zugang unter bestimmten Umständen sowie dem Recht auf Berichtigung der Informationen.

Auskunftsrecht der betroffenen Personen

Eines der Hauptziele der DSGVO besteht darin, die Rechte und Freiheiten natürlicher Personen zu stärken. Damit ändern sich auch die Regeln für den Umgang mit Anträgen zur Einsichtnahme. Achten Sie darauf, dass Sie die Änderungen in Ihren Prozessen abbilden.

So haben Personen das Recht auf Angabe seitens des Verantwortlichen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben sie ein Recht auf Auskunft über diese Daten und verschiedene weitere Informationen.

Recht auf Löschung ("Recht auf Vergessenwerden")

Das Recht auf Vergessenwerden erlaubt Personen, von x In der DSGVO wird ein Verantwortlicher definiert als die "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden". unter gewissen Umständen die Löschung sie betreffender personenbezogener Daten zu verlangen, zum Beispiel wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder Betroffene ihre Einwilligung widerrufen.

Wurden die Daten mit Dritten geteilt, müssen auch sie davon in Kenntnis gesetzt werden, dass die betroffene Person die Löschung verlangt hat.

Automatisierte Entscheidungen und Profiling

In der DSGVO wird Profiling definiert als “jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen”. Betroffene Personen haben das Recht, nicht einer ausschließlich automatisierten Entscheidung – einschließlich Profiling – unterworfen zu werden. Wie genau dieses Recht durchgesetzt werden soll, ist allerdings nicht ganz klar.

Datenübertragbarkeit

In der DSGVO wird das Recht auf Datenübertragbarkeit eingeführt, das über das Auskunftsrecht hinausgeht. Betroffene Personen können von Verantwortlichen die Bereitstellung sie betreffender personenbezogener Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen und haben das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln.

Diese Regelung gilt allerdings nur für Informationen, deren Verarbeitung mithilfe automatisierter Verfahren erfolgte.

Widerspruchsrecht (einschließlich Widerspruch gegen Direktwerbung)

Die Europäische Kommission räumt Personen ein Widerspruchsrecht auf die Verarbeitung personenbezogener Daten ein. Werden die Daten beispielsweise verarbeitet, um Direktwerbung zu betreiben, können betroffene Personen jederzeit Widerspruch dagegen einlegen. Das gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so dürfen Sie die personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Organisationen müssen betroffene Personen ausdrücklich auf ihr Widerspruchsrecht hinweisen; dieser Hinweis muss verständlich sein und in einer von anderen Informationen getrennten Form erfolgen.

Vermittlung von Datenschutz-Informationen (Einwilligung, Aufklärung über Verarbeitung)

Einwilligung

Unter Umständen müssen Sie Ihre Prozesse prüfen, wie Sie die × In der DSGVO wird die Einwilligung einer betroffenen Person definiert als "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist". zur Datenerhebung von × In der DSGVO wird ein betroffene Person definiert als eine "natürliche Person (…), die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".. einholen und speichern. Einwilligung und Widerspruch müssen gleichermaßen einfach vorgenommen werden können und aus einer eindeutig nachweisbaren Handlung bestehen – Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit stellen keine Einwilligung in diesem Sinne dar.

Elterliche Einwilligung

Hat ein Kind das sechzehnte Lebensjahr noch nicht vollendet, ist die Verarbeitung personenbezogener Daten nur mit Zustimmung der Erziehungsberechtigten rechtmäßig. Die Mitgliedstaaten können eine niedrigere Altersgrenze festlegen, die allerdings nicht unter 13 Jahren liegen darf. Verantwortliche müssen angemessene Anstrengungen unternehmen, um sich zu vergewissern, dass tatsächlich eine Zustimmung der Erziehungsberechtigten vorliegt.

Von dieser Verpflichtung ausgenommen sind Onlinedienste, die in Zusammenhang mit Präventions- oder Beratungsleistungen stehen, die einem Kind unmittelbar angeboten werden.

Informationspflicht

Nach Vorgaben der DSGVO stehen Sie in der Pflicht, × In der DSGVO wird ein betroffene Person definiert als eine "natürliche Person (…), die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".. zum Zeitpunkt der Datenerhebung ausführlicher als bisher zu informieren. Dazu gehören zum Beispiel Informationen zur Rechtsgrundlage für die Datenverarbeitung, zum Speicherzeitraum und zum Beschwerderecht bei einer Aufsichtsbehörde, sollte es seitens der betroffenen Personen Bedenken im Umgang mit den Daten geben. Beachten Sie zudem, dass diese Informationen präzise und verständlich bereitgestellt werden müssen.

Datensicherheit (Integrität und Vertraulichkeit)

In der DSGVO wird ein Teil der Datenschutzregeln aus den bestehenden Vorgaben beibehalten, wie z.B.: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Zweckbindung; Datenminimierung; Datenqualität; Sicherheit, Integrität und Vertraulichkeit.

Sie müssen sicherstellen, dass die Verarbeitung × In der DSGVO werden personenbezogene Daten definiert als "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung (...) oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".
Zudem heißt es, dass natürlichen Personen "unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet" werden.
Angesichts dieser neuen Definition sollten Sie prüfen, ob die von Ihnen verarbeiteten Daten als personenbezogen gelten oder nicht.
stets angemessen geschützt ist, insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigter Zerstörung, Schädigung oder unbeabsichtigtem Verlust: “der Verantwortliche und der Auftragsverarbeiter [treffen] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten”.

In der Verordnung werden eine Reihe an Maßnahmen genannt, mit denen die Datensicherheit gewährleistet werden soll, einschließlich: Pseudonymisierung und Verschlüsselung; Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung, wie wirksam die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit in der Informationsverarbeitung sind.

Verschlüsselung

Die DSGVO nennt ausdrücklich Verschlüsselung als eine Methode zur Einhaltung einiger Regelungen.

Artikel 32 – Sicherheit der Verarbeitung:

“1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der x In der DSGVO wird ein Verantwortlicher definiert als die "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden". und der × In der DSGVO wird der Auftragsverarbeiter definiert als "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet". geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten (…)”.

Artikel 34 – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person:

“3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: a) x In der DSGVO wird ein Verantwortlicher definiert als die "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden". geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung (…)”.

Datendokumentation, Rechtmäßigkeit und Überprüfungen

Existenz und Klassifizierung von personenbezogenen Daten

Sie sollten dokumentieren, über welche personenbezogenen Daten Sie verfügen, woher sie kommen und mit wem Sie sie teilen.

Verfügen Sie über unrichtige personenbezogene Daten und haben Sie sie darüber hinaus mit einer anderen Organisation geteilt, so fordert die DSGVO, dass Sie die andere Organisation über die Fehlerhaftigkeit der Daten informieren, damit sie ihre Datensätze korrigieren kann. Hierfür sollten Sie unter Umständen eine unternehmensübergreifende, alle Geschäftsbereiche einbeziehende Informationsprüfung durchführen. Damit tragen Sie auch zur Einhaltung der Rechenschaftspflicht bei.

Rechtmäßigkeit der Verarbeitung personenbezogener Daten

Sie sollten noch vor Mai 2018 prüfen, wie personenbezogene Daten in Ihrem Unternehmen verarbeitet werden und ob die Verarbeitung dem Prinzip der Rechtmäßigkeit entspricht.

Denn je nach Rechtsgrundlage für die Verarbeitung personenbezogener Daten ändern sich mit Inkrafttreten der DSGVO bestimmte Rechte des Einzelnen. So haben Personen ein stärkeres Recht auf Datenlöschung, wenn Sie die Einwilligung als Rechtsgrundlage für Verarbeitung verwenden. Einwilligung ist einer von vielen Wegen, die Rechtmäßigkeit der Verarbeitung zu gewährleisten, aber nicht immer der beste (siehe Widerspruchsrecht).

Bei den Informationen auf dieser Webseite handelt es sich um kein juristisches Gutachten. ESET übernimmt keine Gewähr und Haftung für die Vollständigkeit, Aktualität und Richtigkeit der Angaben. Die Nutzung der Inhalte erfolgt auf eigene Gefahr. Konsultieren Sie eine unabhängige Rechtsberatung.