EU-Datenschutzgrundverordnung - Was ist zu tun?
01) Datenschutzerklärung aktualisieren
- Internetseite / Onlineshop anpassen
02) Prüfen, ob Datenschutzbeauftragter benannt werden muss
- Soweit in der Regel mindestens 10 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten befasst sind oder besonders sensible Daten verarbeitet werden.
03) Rechtsgrundlage für Datenerhebung prüfen
- Gibt es eine Vertragsbeziehung/Vertragsanbahnung?
- Gibt es ein berechtigtes Interesse Ihrerseits und kein überwiegendes entgegenstehendes Interesse des Betroffenen?
- Einwilligungserklärungen überprüfen und ggf. anpassen (umfassende Information, freiwillige Erteilung).
04) Verarbeitungsverzeichnis erstellen
- Umfasst alle Vorgänge der Datenverarbeitung in Ihrem Unternehmen mit den einzelnen Verarbeitungsschritten, Muster finden Sie hier.
05) Datenschutz-Folgenabschätzung durchführen
- Risikobewertung bestimmter Datenverarbeitungsvorgänge
06) Nachweise führen
- Dokumentieren Sie, dass und wie Sie die Anforderungen der DS-GVO umsetzen.
07) Informationsrechte betroffener Personen beachten
- Zum Zeitpunkt der Datenerhebung z. B. über Zweck und Rechtsgrundlage der Datenerhebung informieren.
- Unternehmensintern festlegen, wer die Beantwortung von Auskunftsansprüchen übernimmt und wie sie erfolgen.
08) Nutzerrechte im Blick haben
- transparente Information und Kommunikation, Recht auf Berichtigung und Löschung von Daten beachten
09) Dienstleisterverträge abschließen bzw. kontrollieren
- Mit Auftragsdatenverarbeitern (z. B. Hosting-Anbieter, externe Lohnbuchhaltung) müssen Verträge abgeschlossen bzw. bestehende Verträge an das neue Recht angepasst werden.
10) Datenpannen melden
- Innerhalb von 72 Stunden an die Aufsichtsbehörde (www.datenschutz-mv.de)
Weitergehende Informationen und Arbeitshilfen für die praktische Umsetzung der DS-GVO in Ihrem Unternehmen erhalten Sie auf der Internetseite des Landesdatenschutzbeauftragten Mecklenburg-Vorpommern, des Landesdatenschutzbeauftragten Bayern und beim Bundesdatenschutzbeauftragten:
www.datenschutz-mv.de/datenschutz/DS-GVO
www.lda.bayern.de/de/kleine-unternehmen.html
Ausserdem hat eine Arbeitsgruppe aus Vertretern von Unternehmen, Verbänden, Wissenschaft und Aufsichtsbehörden für den IT-Gipfel 2017 ein Papier zur Pseudonymisierung nach der EU-Datenschutz-Grundverordnung verfasst, welches Sie hier finden.
Umfassende Informationen zur Datenschutzgrundverordnung erhalten Sie auch in unserem kostenlosen Podcast "IHKtoGo":
Die Europäische Datenschutzgrundverordnung
Am 25. Mai 2018 trat die Europäische Datenschutz-Grundverordnung (DS-GVO) in Kraft. Sie hat die bisherige EU-Richtlinie und die nationalen Vorschriften der Mitgliedstaaten in weiten Teilen abgelöst und ersetzt und gilt europaweit unmittelbar und verbindlich in allen Mitgliedstaaten.
Die DS-GVO sieht an einigen Stellen Öffnungsklauseln vor, die den Mitgliedstaaten gestatten, abweichende Regelungen zu treffen. Dies ist in Deutschland beispielsweise mit der Neufassung des Bundesdatenschutzgesetzes (BDSG) geschehen, das seit 30.06.2017 in Kraft ist.
Unternehmen müssen ihre internen Datenverarbeitungsprozesse überprüfen und an die neue Rechtslage anpassen. Was das im Einzelnen für Sie bedeutet, erfahren Sie in den folgenden Newslettern.
Newsletter Nr. 1 - Allgemeines
Newsletter Nr. 2 - Zulässigkeit der Datenverarbeitung
Newsletter Nr. 3 - Datenschutzmanagement
Newsletter Nr. 4 - Die Einwilligung
Newsletter Nr. 5 - Datenschutz und -sicherheit
Newsletter Nr. 6 - Betrieblicher Datenschutzbeauftragter
Newsletter Nr. 7 - Fragebogen zur Umsetzung der DS-GVO
Newsletter Nr. 8 - Betroffenenrechte
Newsletter Nr. 9 - Dokumentationspflichten
Newsletter Nr. 10 - Standardmäßiger Datenschutz für mehr Privatsphäre
Newsletter Nr. 11 - Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
Newsletter Nr. 12 - Datenschutz für kleine Unternehmen nach der EU-Datenschutz-Grundverordnung
Newsletter Nr. 13 - Datenschutz für Existenzgründer