Datenschutzgrundverordnung
Synergien durch ein integriertes Datenschutzmanagementsystem schaffen
Neuregelungen der DS-GVO auf einen Blick
- Pflicht zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten
- Dokumentationspflichten und Datenschutzfolgenabschätzung
- Neue Vorgaben für Einwilligungserklärungen online und offline
- Erweiterte Vorgaben für Datenschutzerklärungen auf Websiten
- Pflicht zur Datenportabilität
- "Recht auf Vergessenwerden" von Nutzerdaten
- Neuregelungen bei der Auftragsverarbeitung
- Neuregelungen bei Mitarbeiterdaten
- Privacy by design und privacy by default
- Personenbezogene Daten von Kindern
- Prinzip des "One-Stop-Shop"
- Stellung des Datenschutzbeauftragen
- Meldepflicht von Datenpannen beim zuständigen Landesdatenschutzbeauftragen
- Neue Haftungsregeln und höhere Bußgelder
An vielen bekannten Grundsätzen des Datenschutzes hat sich nichts verändert. Jedoch sollten Sie folgende Grundsätze immer Hinterkopf behalten:
Datensparsamkeit
Es dürfen nur die und so viele Daten erhoben und verarbeitet werden, wie auch tatsächlich benötigt werden.
Zweckbindung
Daten dürfen nur zu dem Zweck verarbeitet werden, für die sie auch erhoben wurden.
Datenrichtigkeit
Daten müssen inhaltlich, sachlich richtig und aktuell gehalten werden.
Verbot mit Erlaubnisvorbehalt
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, eine entsprechende Erlaubnis liegt vor. Dies kann entstehen aus:
- Einwilligung der betroffenen Person
- inem entsprechenden Gesetz (z.B. EU-DSGVO, BDSG, TMG)
Datensicherheit (Artikel 32 DSGVO)
Der in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen müssen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.
Dies bedeutet:
Das Schutzniveau, dass gewährleistet werden muss, orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann "angemessen" sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.
Rechenschaftspflicht
Die DSGVO sieht jetzt auch eine Rechenschaftspflicht vor (Art. 5 Abs.2 der DSGVO) Auf Aufforderung müssen Datenschutzverantwortliche die Einhaltung aller Datenschutzprinzipien nachweisen können.
Um die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde nachweisen zu können, ist ein effektives Datenschutzmanagement, in welchem die Einhaltung der Datenschutzforderungen dokumentiert ist, sinnvoll.
Privacy by design und privacy by default
Die Berücksichtigung von "privacy by design" und "privacy by default" ist kein Nice-to-have mehr. Vielmehr handelt es sich um eine explizite Anforderung an die Entwicklung und Implementierung von Produkten zur Verarbeitung personenbezogener Daten, mit dem Ziel, das Prinzip der Datenvermeidung und Datensparsamkeit in Verarbeitungssystemen wirksam umzusetzen.
Zusammenfassung:
Damit der Datenschutz nicht von der technischen Entwicklung abgehängt wird, sind Produkte/ Systeme frühzeitig um angemessene Datenschutzfunktionen zu ergänzen, so dass das Risiko datenschutzkritischer Entwicklungen, welche unmittelbar aus der Nutzung technischer Systeme resultieren, von vornherein verringert wird (z. B. durch frühzeitige Pseudonymisierung der Daten).
Es liegt in der eigenen Verantwortung jedes Unternehmens, neben der Bestellung von einem Datenschutzbeauftragten, auch ein wirksames Datenschutzmanagementsystem zu implementieren.
Der Nachweis über die erfolgreiche Implementierung und die sorgfältige Einhaltung des Datenschutz-Managementsystems können Sie für Ihr Unternehmen u.a. durch ein Zertifizierungsverfahren erbringen.
In Zusammenhang mit der Rechenschaftspflicht (Accountability) der DS-GVO, die eine große Fülle an Dokumentations- und Nachweisanforderungen stellt, empfehlt es sich, das Datenschutz-Managementsystem mit anderen, bereits im Unternehmen vorhandenen Managementsystemen zu kombinieren.
Die DS-GVO setzt z.B. voraus, dass ein IT-Sicherheitsmanagement vorhanden ist und gelebt wird. Durch die Einbeziehung bereits implementierter Systeme können Synergien geschaffen werden. Somit können ausschließlich für den Datenschutz getroffene Maßnahmen vermieden bzw. verringert werden.