Zum Hauptinhalt springen

Datenschutz­­grundverordnung

Synergien durch ein integriertes Datenschutz­managementsystem schaffen

Neuregelungen der DS-GVO auf einen Blick

  • Pflicht zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten
  • Dokumentationspflichten und Datenschutz­folgenabschätzung
  • Neue Vorgaben für Einwilligungserklärungen online und offline
  • Erweiterte Vorgaben für Datenschutzerklärungen auf Websiten
  • Pflicht zur Datenportabilität
  • "Recht auf Vergessenwerden" von Nutzerdaten
  • Neuregelungen bei der Auftragsverarbeitung
  • Neuregelungen bei Mitarbeiterdaten
  • Privacy by design und privacy by default
  • Personenbezogene Daten von Kindern
  • Prinzip des "One-Stop-Shop"
  • Stellung des Datenschutzbeauftragen
  • Meldepflicht von Datenpannen beim zuständigen Landesdatenschutzbeauftragen
  • Neue Haftungsregeln und höhere Bußgelder

An vielen bekannten Grundsätzen des Datenschutzes hat sich nichts verändert. Jedoch sollten Sie folgende Grundsätze immer Hinterkopf behalten:

Datensparsamkeit

Es dürfen nur die und so viele Daten erhoben und verarbeitet werden, wie auch tatsächlich benötigt werden.

Zweckbindung

Daten dürfen nur zu dem Zweck verarbeitet werden, für die sie auch erhoben wurden.

Datenrichtigkeit

Daten müssen inhaltlich, sachlich richtig und aktuell gehalten werden.

Verbot mit Erlaubnisvorbehalt

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, eine entsprechende Erlaubnis liegt vor. Dies kann entstehen aus:

  • Einwilligung der betroffenen Person
  • inem entsprechenden Gesetz (z.B. EU-DSGVO, BDSG, TMG)

Datensicherheit (Artikel 32 DSGVO)

Der in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen müssen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.

Dies bedeutet:

Das Schutzniveau, dass gewährleistet werden muss, orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann "angemessen" sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.

Rechenschaftspflicht

Die DSGVO sieht jetzt auch eine Rechenschaftspflicht vor (Art. 5 Abs.2 der DSGVO) Auf Aufforderung müssen Datenschutz­verantwortliche die Einhaltung aller Datenschutzprinzipien nachweisen können.

Um die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde nachweisen zu können, ist ein effektives Datenschutzmanagement, in welchem die Einhaltung der Datenschutzforderungen dokumentiert ist, sinnvoll.

Privacy by design und privacy by default

Die Berücksichtigung von "privacy by design" und "privacy by default" ist kein Nice-to-have mehr. Vielmehr handelt es sich um eine explizite Anforderung an die Entwicklung und Implementierung von Produkten zur Verarbeitung personenbezogener Daten, mit dem Ziel, das Prinzip der Datenvermeidung und Datensparsamkeit in Verarbeitungssystemen wirksam umzusetzen.

Zusammenfassung:

Damit der Datenschutz nicht von der technischen Entwicklung abgehängt wird, sind Produkte/ Systeme frühzeitig um angemessene Datenschutzfunktionen zu ergänzen, so dass das Risiko datenschutzkritischer Entwicklungen, welche unmittelbar aus der Nutzung technischer Systeme resultieren, von vornherein verringert wird (z. B. durch frühzeitige Pseudonymisierung der Daten).

Es liegt in der eigenen Verantwortung jedes Unternehmens, neben der Bestellung von einem Datenschutz­beauftragten, auch ein wirksames Datenschutz­managementsystem zu implementieren.

Der Nachweis über die erfolgreiche Implementierung und die sorgfältige Einhaltung des Datenschutz-Managementsystems können Sie für Ihr Unternehmen u.a. durch ein Zertifizierungsverfahren erbringen.

In Zusammenhang mit der Rechenschaftspflicht (Accountability) der DS-GVO, die eine große Fülle an Dokumentations- und Nachweisanforderungen stellt, empfehlt es sich, das Datenschutz-Managementsystem mit anderen, bereits im Unternehmen vorhandenen Managementsystemen zu kombinieren.

Die DS-GVO setzt z.B. voraus, dass ein IT-Sicherheitsmanagement vorhanden ist und gelebt wird. Durch die Einbeziehung bereits implementierter Systeme können Synergien geschaffen werden. Somit können ausschließlich für den Datenschutz getroffene Maßnahmen vermieden bzw. verringert werden.

 

Angebot anfordern