Bisher war nach §11 BDSG ein Vertrag zur Auftragsdatenverarbeitung erforderlich, wenn ein Dienstleister in Ihrem Auftrag personenbezogene Daten erhoben, verarbeitet oder genutzt hat. Dieser wird nun durch zwei neue Artikel (28,29) der EU DS GVO ersetzt. Verträge zur Auftrags datenverarbeitung sind damit an die Vorgaben der neuen Verordnung anzupassen.

Nach Art. 25 EU DSGVO ist Datenschutz durch die Gestaltung technischer Abläufe (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) zu gewährleisten. Konkret heißt dies, dass der Schutz der Privatsphäre in allen Stufen der Produktentwicklung zu beachten ist (privacy by design) und die Voreinstellungen von Online Diensten so zu wählen sind, dass möglichst wenig personenbezogene Daten erhoben werden (privacy by default).

Bisher hatten Unternehmen nach §§4e und 4g BDSG ein Verfahrensverzeichnis zu führen. Mit der EU DS GVO (Art. 30) wird dieses Verfahrensverzeichnis durch ein Verzeichnis der Verarbeitungstätigkeiten (VVT) abgelöst. Das Verfahrensverzeichnis ist also hinsichtlich Inhalt und Umfang an diesen anzupassen. Unternehmen mit weniger als 250 Mitarbeitern benötigen kein Verarbeitungsverzeichnis, sofern die Da tenverarbeitung nur ein geringes Risiko für die Rechte und Freiheiten betroffener Personen birgt, keine sensiblen Daten verar beitet werden und die Datenverarbeitung nur gelegentlich erfolgt. In den allermeiste n Fällen wird jedoch von einer regelmäßigen Datenverarbeitung auszugehen sein, so dass ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen ist.

Nach der Datenschutz Grundverordnung sind Unternehmen verpflichtet, bei der Verarbeitung personenbezogener Daten geeignete und wirksame Maßnahmen zu treffen, damit diese Verarbeitungen im Einklang mit der EU DS GVO stehen. Die Datenschutzkonformität muss durch das Unternehmen jederzeit nachgewiesen werden können. Die beständige Überprüfung und Aktualisierung macht eine Integration des Datenschutzes in das Betriebsführungssystem erforderlich.

Nach dem alten Bundesdatenschutzgesetz (§5) waren die mit der Datenverarbeitung beschäftigten Personen auf das Datengeheimnis zu verpflichten. Diese Pflicht wird sich in der neuen Verordnung (Art. 28) und dem neuen Bundesdatenschutzgesetz ( §53) wiederfinden. Die Verpflichtungen sind dementsprechend anzupassen.

Mit der EU DSGVO werden deutlich erhöhte Anforderungen an die Einwilligung gestellt. So ist der Betroffene insbesondere nach Art. 7 Abs. 3 EU DS GVO über die freie Widerruflichkeit seiner Einwilligung vorab zu unterrichten.

Zudem muss im Rahmen der neuen Verordnung in der Datenschutzerklärung auf dieses Widerrufsrecht hingewiesen werden. Einwilligungs und Datenschutzerklärungen sind also insoweit anzupassen.

ACHTUNG: Eine nach bisher geltendem Recht rechtswirksame eingeholte Einwilligung gilt auch nach dem 25.05.2018 fort. Soll jedoch nach dem 25.05.2018 eine Einwilligung beim Betroffenen eingeholt werden, muss die Einwilligungserklärung den oben dargestellten Grundsätzen entsprechen.

Soll ein neues Verfahren der Datenverarbeitung eingesetzt werden, das mit einem hohen Risiko für die Betroffenen verbunden ist, ist künftig eine Folgenabschätzung vorzunehmen (Art. 35 EU DS GVO). Diese ist mit dem Datenschutzbeauftragten abzustimmen und ersetzt die bisherige Vorabkontrolle. Stellt sich ein hohes Risiko für die Betroffenen heraus und werden keine Maßnahmen zur Risikoeindämmung getroffen, ist die zuständige Aufsichtsbehörde zu informieren.

HINWEIS: Art. 35 Abs. 7 EU DSGVO regelt den typischen Ablauf einer DSFA. Im Unternehmen sollte also ein entsprechendes Muster für einen Meldeprozess im Sinne der DSFA vorliegen, um die Risikobewertung durchzuführen, ebenso wie ein Meldebogen für die Behörde.

Sie sind als Unternehmer verpflichtet, eine Datenpanne innerhalb von 72 Std. der Aufsichtsbehörde zu melden.

Diese Meldung muss nach Art. 33 Abs. 3 EU DSGVO bestimmte Informationen zur Art und den wahrscheinlichen Folgen der Verletzung beinhalten. Zudem sind Sie verpflichtet betroffene Personen über Datenpannen zu informieren. Sie sind als Unternehmer verpflichtet, eine Datenpanne innerhalb von 72 Std. der Aufsichtsbehörde zu melden. Diese Meldung muss nach Art. 33 Abs. 3 EU DSGVO bestimmte Informationen zur Art und den wahrscheinlichen Folgen der Verletzung beinhalten.

Zudem sind Sie verpflichtet betroffene Personen über Datenpannen zu informieren.

Personenbezogene Daten müssen unverzüglich gelöscht werden können (Art. 17 EU DS GVO). Das heißt Sie müssen einen Prozess entwickeln, um dieses „Recht auf Vergessen werden“ zu gewährleisten.

Ja, wenn
umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen besteht, oder eine umfangreiche Verarbeitung besonderer Kategorien personenbezogenen Daten (z.B. Religion, ethnische Zugehörigkeit etc.) besteht. (EU DS GVO Art. 37)

und/oder wenn
in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, sie Verarbeitungen vornehmen, die einer Datenschutz Folgenabschätzung unterliegen, oder sie geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt oder Meinungsforschung personenbezogene Daten verarbeiten. (BDSG (neu) §38)

ACHTUNG:
Die Sanktionen sind erheblich, wenn sich ein Unternehmen nicht daran hält: 10.000.000,00 € oder 2 % des weltweiten gesamten Vorjahresumsatzes.

Hatte der Datenschutzbeauftragte bislang nur die Aufgabe auf die Einhaltung des Datenschutzes hinzuwirken, obliegt ihm zukünftig die Aufgabe, die Einhaltung des Datenschutzes zu überwachen.

Die Kontaktdaten des Datenschutzbeauftragten müssen nach Art. 37 Abs. 7 EU DSGVO veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.

ACHTUNG:
Bei Verstößen steigt nun das Haftungsrisiko nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Bei Verstößen im Umgang mit personenbezogenen Daten drohen über Geldbußen hinaus gar strafrechtliche Sanktionen wie eine Freiheitsstrafen ( §42 DSAnpUG).