Mit Start der DSGVO stehen uns einige Änderungen bevor.
Ich möchte hier nur einige – meiner Meinung nach wichtige Aspekte – aufführen. Genaueres ist bitte der DSGVO zu entnehmen (Ausnahmen, Sonderregelungen etc.)
Allgemeines
Die DSGVO bezieht sich ausschließlich auf den Schutz personenbezogerner Daten natürlicher Personen. Die DSGVO bezieht sich NICHT auf juristische Personen!
Die bisher bekannte Meldung an das DVR fällt weg. Die DVR-Nummer wird obsolet.
Begriffsbestimmungen
- Verantwortlicher = Verarbeiter von personenbezogener Daten natürlicher Personen
- Auftragsverarbeiter = Verarbeiter von personenbezogenen Daten im Auftrag des Verantwortlichen
- Betroffener = Natürliche Person, deren personenbezogene Daten verarbeitet werden.
Dokumentationspflicht (DSGVO Artikel 30)
Statt der Meldung an das DVR, hat man nun eine Dokumentationspflicht, die in Form eines Verzeichnisses von Verarbeitungstätigkeiten zu führen ist. Diese Dokumentation kann angelehnt an die bisherigen Meldungen an das DVR geführt werden und ist der Aufsichtsbehörde auf Wunsch vorzulegen.
Wichtig ist, dass die Verarbeitungstätigkeit nicht beschreibt welches Programm verwendet wird, sondern als Beschreibung des Vorganges der Datenverarbeitung zu sehen ist. Es ist jedoch naheliegend, dass man alle Programme erfassen muss, um in einem nächsten Schritt die verarbeiteten Daten (Felder, die erfasst werden) zu analysieren.
Informationspflicht (DSGVO Artikel 13, 14)
Der Betroffene ist zum Zeitpunkt der Datenerhebung über die Datenanwendung zu informieren. (Dies kann beispielsweise in Form einer Information auf der Homepage, oder auch in Form eines ausgedruckten Informationsblattes gelöst sein. Es ist anzuraten, dass der Betroffene dieses Informationsblatt unterschreibt. )
Achtung: Es macht einen Unterschied, ob die Daten direkt beim Betroffenen erhoben worden sind, oder nicht!
Einholung einer Einverständniserklärung (DSGVO Artikel 4/Z11, 7,8)
Basiert die Datenverarbeitung auf einer gesetzlichen Grundlage, so ist KEINE Einverständniserklärung des Betroffenen notwendig.
Ist keine rechtliche Grundlage für die Datenverarbeitung vorhanden, so muss eine Einverständniserklärung eingeholt werden. Die Erklärung sollte aus Beweisgründen immer in schriftlicher Form eingeholt werden. Im Falle der Datenverarbeitung über eine Homepage, wäre hier z.B. durch den Betroffenen ein Häkchen zu setzen. Eine andere (bessere Möglichkeit) ist das sogenannte Double-opt-in Verfahren. Hier wird beispielsweise nach einer etwaigen Datenerfassung per Webformular, zusätzlich ein Aktivierungslink per Email zugesandt. Erst nachdem der Betroffene diesen Link anklickt, wird dann z.B. ein Benutzerkonto aktiviert, ein Newsletterabo abgeschlossen usw.
In diese Bestätigungs-/Aktivierungsmail kann man dann auch noch weitere Informationen packen, die den Betroffenen über die Online-Datenverarbeitung informieren.
Durchführen einer Datenschutzfolgenabschätzung (DSGVO Artikel 35)
Werden sensible Daten verarbeitet und besteht für den Betroffenen durch die Datenverarbeitung ein hohes Risiko und ist keine Ausnahme anzuwenden, so ist eine Datenschutzfolgenabschätzung durchzuführen.
Bsp: Videoüberwachung, Profiling etc.
Auskunftsrecht (DSGVO Artikel 11, 12, 15, 23)
Betroffene haben ein Recht auf Auskunft.
Meldung von Datenschutzverletzungen (DSGVO Artikel 4/Z 12, Art 33, Art 34)
Bei Verletzung des Schutzes personenbezogener Daten besteht eine Meldepflicht gegenüber der Aufsichtsbehörde und ggf. gegenüber betroffener Personen.
Fazit
Wie man unschwer erkennen kann, ist die DSGVO ein weites Feld. Vor allem die hohen Bußgelder, im Falle einer Datenschutzverletzung, sollte Unternehmen hellhörig werden lassen.
Infomaterial
Disclaimer
Bei dieser Zusammenfassung handelt es sich um keine Rechtsauskunft, sondern um meine Interpretation und Zusammenfassung zum Thema DSGVO. Im Zweifelsfalle sollte auf jeden Fall juristischer Rat in Anspruch genommen werden. Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit.