Datenschutz
11.05.2018
Datenschutz-Basics

Diese vier Kernforderungen ergeben sich aus der DSGVO

DSGVODSGVODSGVO
Lena Wurm / shutterstock.com
Im Rahmen der am 25. Mai in Kraft tretenden DSGVO müssen Unternehmen einige Umstellungen vornehmen. com! professional zeigt vier absolute Kernforderungen auf, die sich aus der DSGVO für alle Unternehmen ergeben.
Am 25. Mai 2018 entfalten die Datenschutzgrundverordnung (DSGVO) sowie das neue Bundesdatenschutzgesetz (BDSG) ihre volle Wirkung. Auch wenn sich in puncto rechtmäßige Verarbeitung personenbezogener Daten keine großen Änderungen ergeben, haben Unternehmen eine Fülle neuer Pflichten zu erfüllen, insbesondere zur Dokumentation. Vier „Must-haves“ gibt es, die Ihr Unternehmen DSGVO-compliant machen.
Auftragsverarbeitung: Ähnlich wie derzeit § 11 BDSG fordert Artikel 28 DSGVO den Abschluss einer Vereinbarung mit Ihren Dienstleistern, sofern diese personenbezogene Daten – das sind meist auch schon IP-Adressen von Nutzern – im Auftrag des Unternehmens verarbeiten. Klassischerweise werden hier SaaS, Hosting und IT-Supportleistungen sowie outgesourcte Business-Prozesse wie Buchhaltung, Aktenvernichtung oder Marketingaktionen erfasst. Die Vereinbarung muss die in Artikel 28 DSGVO aufgeführten Mindestinhalte haben. Muster hierzu gibt es vom Auftragnehmer, aber auch von Aufsichtsbehörden, dem Digitalverband Bitkom und der Gesellschaft für Datenschutz und Datensicherheit (GDD).
Informationspflichten: Die von der Datenverarbeitung Betroffenen müssen gemäß Artikel 13 und/oder 14 DSGVO umfassend über die Datenverarbeitung informiert werden – das sind sowohl Mitarbeiter und Bewerber als auch Kunden, die zum Beispiel Ihre Website besuchen. Im letzteren Fall können die Informationspflichten in der Datenschutzerklärung untergebracht werden. Eine Anpassung der derzeitigen Datenschutzerklärung wird meist sowieso notwendig sein, da nach den Vorschriften der DSGVO nun auch über die Rechtsgrundlage der Verarbeitung informiert werden muss.
Verfahrensverzeichnis: Das in Deutschland bereits bekannte Verarbeitungsverzeichnis (VV) wird uns auch in Zukunft begleiten. Gemäß Artikel 30 DSGVO haben Unternehmen ein solches zu führen, um ihre „Datenverarbeitungsinventur“ zu dokumentieren. Mustervorlagen werden ebenfalls von Aufsichtsbehörden, Bitkom oder GDD bereitgestellt. Sofern Ihr Unternehmen schon ein VV hat, sollten Sie prüfen, ob dieses bereits über die Mindestinhalte nach Artikel 30 DSGVO verfügt.
Betroffenen-Recht: Machen Sie sich mit den neuen (und alten) Betroffenen-Rechten in Kapitel III der DGSVO vertraut, insbesondere damit, wie Ihr Unternehmen diese erfüllen kann.

mehr zum Thema