Interessantes aus der DSGVO

Die EU-Datenschutzgrundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten und sorgt in vielen Unternehmen und auch bei betroffenen Personen für große Verwirrung. Doch es gibt keinen Grund zur „Panik“. Natürlich ist jeder Verantwortliche verpflichtet, sich mit der neuen Verordnung zu befassen und die hieraus resultierenden Maßnahmen umzusetzen, aber bei einer strukturierten Vorgehensweise und einer organisierten Schritt-für-Schritt-Umsetzung entstehen ihm hierdurch keine Nachteile. Ganz im Gegenteil können sogar Geschäftsprozesse und auch das Risikomanagement optimiert werden.

Im Folgenden haben wir einmal die wichtigsten Artikel aus der DSGVO, die in jedem Unternehmen, egal welcher Branche, eine wichtige Rolle spielen, zusammengefasst:

Bitte beachten Sie, dass wir auf dieser Seite nur die wichtigsten Basis-Artikel in einem Kurzüberblick zusammengefasst haben und dass es viele weitere Artikel der DSGVO gibt, die individuell, je nach Geschäftszweck, Anwendung finden. Außerdem gibt es neben der DSGVO und des BDSG-neu etliche weitere Gesetzesgrundlagen, die zu berücksichtigen sind.


Art. 6 & 9 DSGVO
Verarbeitung & Rechtmäßigkeit


Art. 44 – 49 DSGVO
Datenübermittlung
Drittländer


Art. 12 DSGVO
Transparente Information


Art. 32 DSGVO
Sicherheit (TOMs)

EU – DSGVO
wichtige Basiselemente


Art. 13 – 15 DSGVO
Information & Auskunft


Art. 30 DSGVO
Verzeichnis
Verarbeitungstätigkeiten


Art. 16 – 21 DSGVO
Berichtigung & Löschung
Widerspruchsrecht


Art. 28 DSGVO
Auftragsverarbeiter

Gut umgesetzte Datenschutzmaßnahmen schützen nicht nur betroffene Personen und ihre personenbezogenen Daten. Sie schützen auch Ihre Betriebsgeheimnisse und gewährleisten ein erfolgreiches Risikomanagement.

Kurzerklärung zu den Gesetzestexten

Verarbeitung und Rechtmäßigkeit (Art. 6 & 9 DSGVO)

Im Artikel 6 DSGVO sind unter Absatz 1 lit. a-f die Bedingungen aufgeführt und bestimmt, die eine Verarbeitung personenbezogener Daten rechtfertigen. Hier kommen im geschäftlichen Kontext am häufigsten die Einwilligung, das Erfüllen eines Vertrages oder das berechtigte Interesse zum Tragen. Dem berechtigten Interesse unterliegt unter anderem auch der Erwägungsgrund der Direktwerbung. In Artikel 9 DSGVO ist ergänzend hierzu der weitaus sensiblere Umgang mit besonderen Kategorien personenbezogener Daten geregelt. Im Rahmen der Informationspflichten gegenüber betroffener Personen muss der entsprechende Rechtfertigungsgrund der Verarbeitung aus Art. 6 Abs. 1 DSGVO immer mit angegeben werden.

Transparente Information (Art. 12 DSGVO)

In Artikel 12 DSGVO ist geregelt, wie die Informationspflicht gegenüber betroffenen Personen wahrzunehmen ist. Diese ist gegenüber dem Betroffenen für Ihn so einfach wie möglich auszuführen. Sie kann schriftlich, elektronisch oder auch mündlich erfolgen. Allerdings muss im Falle der mündlichen Information die Identität des Betroffenen abschließend sichergestellt sein. Die Frist für die Informationserteilung beträgt einen Monat, sie kann unter besonderen Umständen auf bis zu zwei Monate verlängert werden.

Informationspflichten (Art. 13 & 14 DSGVO)

In den Artikeln 13 und 14 DSGVO ist hinterlegt, dass jeder Verantwortliche verpflichtet ist, betroffene Personen über die Verarbeitung Ihrer Daten eigenständig und direkt bei Aufnahme der Daten zu informieren. Über was im Detail informiert werden muss, ergibt aus den beiden Artikeln. Die beiden Artikel unterscheiden sich darin, dass in dem einem zugrunde liegt, dass die Daten beim Betroffenen selbst erhoben wurden und in dem anderen nicht. Um dieser Informationspflicht entsprechend nachzukommen, sollte jedes Unternehmen hierfür geeignete Standardprozesse festlegen.

Betroffenenrechte (Art. 15 – 21 DSGVO)

In den Artikeln 15 bis 21 der DSGVO sind die Rechte, die eine betroffene Person in Bezug auf ihre personenbezogenen Daten geltend machen kann, geregelt. Dies geht vom Auskunftsrecht über das Recht auf Berichtigung, Löschung (Recht auf Vergessenwerden) oder Einschränkung bis hin zum Widerspruchsrecht. Diese Rechte kann der Betroffene jederzeit geltend machen, wenn nicht ein anderes Gesetz der Bundesrepublik dagegen spricht. Auf welche Besonderheiten hierbei genau zu achten ist, ergibt sich aus den jeweiligen Artikeln.

Auftragsverarbeiter (Art. 28 DSGVO)

Ein Bestandteil des Artikel 28 DSGVO ist der Absatz 3. Dieser gibt vor, dass mit einem Auftragsverarbeiter immer eine entsprechende Vereinbarung zur Auftragsverarbeitung zu treffen ist, damit der datenschutzkonforme Umgang mit den ihm zur Verfügung gestellten personenbezogenen Daten vom Verantwortlichen sichergestellt werden kann. Die Vereinbarung sollte schriftlich erfolgen und alle in dem Artikel zugrunde gelegten Aspekte enthalten. Für den Abschluss dieser Vereinbarung sind Auftragsverarbeiter und Verantwortlicher gleichermaßen verantwortlich. Es gilt die gesamtschuldnerische Haftung.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Im Verzeichnis von Verarbeitungstätigkeiten werden alle Prozesse des Verantwortlichen und des Auftragsverarbeiters dokumentiert, in denen eine Verarbeitung personenbezogener Daten erfolgt. Hinterlegt werden muss hier auch für jeden Prozess die Rechtmäßigkeit, die sich aus Artikel 6 ergibt. Außerdem sollten auch die vorgesehenen Löschfristen sowie die technischen und organisatorischen Maßnahmen, die zum Schutze der Daten ergriffen werden, mit aufgeführt sein. Der Auftragsverarbeiter dokumentiert zusätzlich die Dienstleistungsprozesse, in denen er Zugriff auf die personenbezogenen Daten anderer Verantwortlicher hat.

Sicherheit der Verarbeitung (Art. 32 DSGVO)

Die DSGVO verpflichtet Verarbeiter von personenbezogenen Daten in Artikel 32 dazu, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Eine weitere Konkretisierung erfolgt nicht, die DSGVO führt stattdessen einige Schutzziele auf. Um diesen entsprechend nachzukommen und zu gewährleisten, dass sich auch alle Mitarbeiter eines Unternehmens daran halten, empfiehlt sich der Abschluss entsprechender Richtlinien mit den Beschäftigten.

Datenübermittlung in Drittländer und internat. Organisationen (Art. 44-49 DSGVO)

In diesen Artikeln sind die Grundlagen beschrieben und festgelegt, die gewährleistet sein müssen, damit personenbezogene Daten vom Verantwortlichen in Drittländer oder an internationale Organisationen übermittelt werden dürfen. Hier ist unter anderem geregelt, dass für geeignete Garantien gesorgt werden muss, die die Verarbeitung der personenbezogenen Daten sichern, sollte kein Angemessenheitsbeschluss der Aufsichtsbehörde vorliegen oder verbindliche interne Datenschutzvorschriften gelten.

Wolbecker Windmühle 61
48167 Münster - Wolbeck