In unserer seit mehreren Jahren bestehenden Zusammenarbeit mit Sophos gab es Mitte Mai eine Premiere: Nach dem gefühlten guten Dutzend Webcasts, die ich als Referentin für Sophos schon mit gestaltet habe war dies der erste in englischer Sprache für die Sophos Kunden aus Nord- und Osteuropa. Deutlich über tausend Zuhörer von Island über Litauen, Bulgarien bis Griechenland und Malta waren dabei; ein deutliches Zeichen, dass die EU-DSGVO nicht nur in Deutschland ein wichtiges Thema ist. Wer will, kann hier noch mal hören - https://attendee.gotowebinar.com/recording/1974428597092975106

Pech und Pannen haben dazu geführt, dass der urspünglich für den 29. März 2017 vorgesehende Webcast mit dem Institut für Berufliche Bildung zum Thema EU-Datenschutz-Grundverordnung nicht stattfinden konnte und nunmehr auf den 26. April, 11 Uhr verschoben wurde. Im Rahmen der Reihe "Business Inside" des IBB geben wir Auskunft zu den grundlegenden Veränderungen, die die DSGVO mit sich bringen wird. Anschließend besteht die Möglichkeit Fragen zu stellen. Anmelden können Sie sich noch hier (Webinar 3).

Wer an diesem Termin nicht kann und trotzdem das Thema Überblick über die DSGVO in einem Webcast hören möchte, hat am 19. Mai um 11 Uhr die nächste Gelegenheit. Ich freue mich, wie schon vor zwei Jahren wieder mit Sophos zu diesem Thema zusammen zu arbeiten. Anmelden können Sie sich für diesen Webcast hier.

Zwei Tage zuvor, am 17. Mai um 10 Uhr, findet der gleiche Webcast schon einmal in englischer Sprache statt, ebenfalls mit Sophos und mir als Referentin. Wer daran teilnehmen möchte, möge sich bitte per Mail direkt mit mir in Verbindung setzen.

Das Thema Auftragsdatenverarbeitung ist eine Geschichte, die nur manchmal gut endet. Nach wie vor besteht ein erheblicher Teil unserer Beratungstätigkeit in der Erklärung, was Auftragsdatenverarbeitung ist, warum die vertragliche Regelung sein muss sowie der Prüfung der entsprechenden Verträge. Wer möchte, kann das Wieso-Weshalb-Warum in meinen alten Artikeln der letzten Jahre zum Thema Anforderungen an eine Auftragsdatenverarbeitung und Auftragsdatenverarbeitung? nachlesen. Die dort beschriebenen Beispiele einer grob fahrlässig nicht oder nur sehr unzureichend geregelten Auftragsdatenverarbeitung begegnen uns in Varianten noch immer. Die EU-Datenschutz-Grundverordnung macht die Auftragsdatenverarbeitung nun nicht wesentlich schwieriger - aber auch nicht einfacher, denn die Anforderungen an die Auftragsverarbeiter sind an einigen Stellen erhöht. Wir haben einen kurzen Überblick über die wichtigsten Punkte zusammengestellt.

DSGVO und Auftragsdatenverarbeitung

Art. 28 DSVO sieht weiterhin eine Regelung der Auftragsdatenverarbeitung in einem Vertrag vor, der die wichtigsten Punkte im Umgang mit den personenbezogenen Daten des auftraggebenden Unternehmens regelt (Art. 28 Abs. 3 DSGVO). So, wie auch das BDSG bisher schon tat. Auftraggebende Unternehmen sind gehalten, nur Auftragsverarbeiter einsetzen, die "hinreichend Garantien" dafür bieten, dass sie "geeignete technische und organisatorische Maßnahmen"  für einen ausreichenden Datenschutz im Sinne der DSGVO etabliert haben (Art. 28 Abs. 1 DSGVO). Wichtig ist in diesem Zusammenhang: diese Garantien müssen nachgewiesen werden, und zwar vor der Beauftragung und auch im Vertrag (Art. 28 Abs. 5 DSGVO).

Einhaltung DSGVO nachweisen

Bis die von der DSGVO vorgesehenen Möglichkeiten eines standardisierten Nachweises in Form von Zertifizierungen und Verhaltensregeln etabliert sein werden, wird voraussichtlich noch viel Zeit vergehen. In der Praxis muss daher auf andere Faktoren des Nachweises geeigneter Sicherheitsmaßnahmen zurück gegriffen werden. Dies können z.B. sein: Berichte eigener, interner Prüfungen und Audits, Ergebnisse externer Audits, ISO-Zertifizierungen. An dieser Stelle hakt es in der Praxis noch gewaltig. Erst kürzlich wollte mir ein Datenschutzbeauftragter eines Rechenzentrums erzählen, die Vorlage eines Zertifikats, dass das Rechenzentrum ISO 27001 zertifiziert sei, reiche als Nachweis für das Vorliegen von Sicherheitsmaßnahmen aus. Nein - da muss schon mehr vorgelegt werden.

Neue Pflichten für Auftragsverarbeiter

Neben den altbekannten Pflichten bringt die DSGVO Neuerungen insbesondere für Auftragsverarbeiter mit sich. Verstößt ein Auftragsverarbeiter bei der Datenverarbeitung gegen die Anweisungen des auftraggebenden Unternehmens, gilt er nach Art. 28 Abs. 10 DSGVO jetzt selbst als  Verantwortlicher - alle rechtlichen Folgen inklusive. Neu hinzugekommen sind für den Fall von Datenschutzverletzungen durch Auftragsverarbeiter auch spezielle Haftungsregelungen (Art. 82 DSGVO). Betroffene können einen entstandenen Schaden entweder beim Verantwortlichen oder beim Auftragsverarbeiter geltend machen.

Meldepflichten und Bußgeld

In der Praxis dürfte auch Art. 33 Abs. 2 DSGVO Bedeutung bekommen. Danach muss ein Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten nach Bekanntwerden unverzüglich dem Verantwortlichen (Auftraggeber) melden. Ebenso sind die Bußgeldvorschriften des Art. 83 Abs. 4, 5 und 6 DSGVO zu berücksichtigen; sie können bei Verstößen auch bei einem Auftragsverarbeiter ohne Umweg über den Verantwortlichen zur Anwendung kommen.

Muster für einen Vertrag nach Art. 28 DSGVO

Die GDD hat einen Mustervertrag für eine Auftragsdatenverareitung nach DSGVO veröffentlicht. Er ist auf den Seiten der GDD abrufbar. Bitte beachten Sie, dass er im Einzelfall auf die konkreten Umstände der individuellen Vereinbarung angepasst werden muss.

Am 29. März 2017 führen wir in Zusammenarbeit mit dem Institut für Berufliche Bildung einen Webcast zum Thema EU-Datenschutz-Grundverordnung durch. Im Rahmen der dortigen Reihe "Business Inside" geben wir Auskunft zu den grundlegenden eränderungen, die die DSGVO mit sich bringen wird. Anschließend besteht die Möglichkeit Fragen zu stellen. Anmelden können Sie sich noch hier (Webinar 3).

Ab Mitte April werden wir voraussichtlich auch eigene Webcasts zum Thema EU-Datenschutz-Grundverordnung anbieten. Über die Einzelheiten werden wir Sie hier im Blog informieren.

 

 

Read More

Eher untypisch für die Jahreszeit erreichten uns schon Anfang/Mitte Dezember zahllose Anfragen für Datenschutzberatung, und dies setzt sich im neuen Jahr fort. Im Mittelpunkt steht der Wunsch nach Beratung im Zusammenhang mit der Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO).

Umsetzung DSGVO noch offen

Es zeichnet sich ab, dass wir allein mit Workshops zu diesem Thema die erste Hälfte 2017 ziemlich ausgelastet sein werden. Vielleicht schlägt sich hier die Tatsache nieder, dass, wie Umfragen behaupten, mehr als die Hälfte der Unternehmen nicht auf die kommende DSGVO vorbereitet sind und nun Nervosität ausbricht? Wir bemerken bei den Anfragen, die uns erreichen, allerdings echtes Interesse und den ernsthaften Vorsatz, Datenschutz und Informationssicherheit auf „qualitativ bessere Füße zu stellen“, wie sich kürzlich jemand ausdrückte.

Workshops zur DSGVO

Wir haben daher unser Angebot ausgebaut und Workshops zur EU-Datenschutz-Grundverordnung (DSGVO) konzipiert. In zwei Workshops von je einem Tag Dauer können Sie die Grundlagen der DSGVO kennenlernen und erfahren, wie Sie die Umsetzung in Ihrem Unternehmen organisieren. Sie können die Workshops einzeln oder zusammen buchen, und selbstverständlich bieten wir auch weiterhin individuell vereinbarte Termine bei Ihnen im Hause an. Auch an dieser Stelle wählen wir unseren in der Beratungstätigkeit bewährten Ansatz, die unternehmensinternen Prozesse in den Mittelpunkt der Betrachtung zu stellen und von dort die nötigen Schritte für besseren Datenschutz zu entwickeln. Weitere Einzelheiten zu den Workshops können Sie hier nachlesen.

DSGVO Praxistipps: Fortsetzung folgt

Wider Erwarten war ich den Januar über noch in einem ziemlich komplizierten Projekt eingebunden, das eigentlich Anfang Dezember erledigt sein sollte. Daher ist leider auch der gute Vorsatz verpufft, die hier begonnene Reihe der Praxistipps zu den Inhalten der DSGVO fortzusetzen. Aber ich bleibe dran ...

Last but not least: seit Beginn des neuen Jahres verstärkt ein neuer Mitarbeiter unser Team. Er studiert Management in einen Theorie-Praxis Studiengang und kümmert sich bei uns zunächst vorrangig um den Aufbau und die Verbesserung unserer eigenen internen Strukturen. Wir werden ihn in Kürze hier noch näher vorstellen.

Die DSGVO stellt eine ganze Bandbereite deutlich erweiterter Rechte für die sogenannten betroffenen Personen bereit. (Von Datenverarbeitung) „Betroffene Personen“ sind Sie und ich – wir alle, die wir direkt oder indirekt aufgrund der über uns bekannten Informationen identifizierbar sind. Der englische Ausdruck „data subject“ klingt insoweit weniger passiv und wurde anders als die deutschen „Betroffenen“ nicht verändert.

Altes BDSG (Recht)

Das bekannteste Recht betroffener Personen aus dem BDSG ist sicherlich das Recht auf Auskunft (§ 34 BDSG). Danach muss das für die Datenverarbeitung verantwortliche Unternehmen auf Anfrage der betroffenen Person Auskunft geben über: die zur Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen - den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, - und den Zweck der Speicherung. Für den Fall des Scorings gelten noch eine Handvoll weitergehender Vorschriften, aber neben dem Anspruch auf Berichtigung und Löschung falscher Daten sind das die Betroffenenrechte des BDSG.
Sofern diese Rechte beansprucht und bei Unternehmen um Auskunft ersucht wurde, war das ernüchternde Resultat oftmals: wer fragt bekommt manchmal Antworten und manchmal auch vollständige.

Neue DSGVO

Die DSGVO hat nun wie erwähnt die Betroffenenrechte erweitert und teilweise in weitgehende Transparenzpflichten für die verantwortlichen Unternehmen verwandelt. Transparenzpflichten insofern, als Unternehmen nunmehr verpflichtet sind, bestimmte Auskünfte zu ihrer Datenverarbeitung von sich aus unaufgefordert den betroffenen Personen zur Verfügung zu stellen.

Im Einzelnen handelt es sich um folgende Rechte, die wir im weiteren Verlauf der Praxistipps DSGVO hier näher betrachten wollen:

• Informationspflicht bei Datenerhebung direkt bei der betroffenen Person (Art. 13 DSGVO)
• Informationspflichten sofern die Daten nicht direkt bei betroffenen Person erhoben werden (Art. 14 DSGVO)
• Auskunftsrecht der betroffenen Person (Art. 15 DSGVO)
• Benachrichtigung im Fall der Verletzung des Schutzes personenbezogener Daten (Art. 34 DSGVO)

Hinzukommen die Rechte, die man als „Verfahrensrechte“ der betroffenen Personen bezeichnen könnte:

- Das Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung und "Vergessenwerden" wie bereits im Praxistipp DSGVO #9: Das Recht auf Vergessenwerden ausgeführt (Art. 17 DSGVO)
- Das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- In einigen Fällen das Recht auf Widerspruch gegen die Verarbeitung der eigenen personenbezogenen Daten (Art. 21 DSGVO).

Für die Praxis in den Unternehmen bedeutet dies insofern eine Umstellung, als für jeden einzelnen dieser Punkte ein unternehmensinterner Prozess definiert werden muss, der die Einhaltung der Betroffenenrechte sicherstellt. Dasselbe gilt im Übrigen für Behörden - die DSGVO ist auf dieser genauso anwendbar wie auf privatrechtlich organisierte Unternehmen.

Wie genau die Umsetzung der Betroffenenrechte praktisch aussehen kann, thematisieren wir hier in unseren nächsten Beiträgen im Verlauf der nächsten Wochen.

In Art. 17 DSGVO ist nicht nur die Pflicht der Unternehmen zur Löschung nicht mehr benötigter Daten festgelegt, sondern auch das im Vorfeld viel diskutierte „Recht auf Vergessenwerden“. Die Überschrift des Artikels verknüpft beide Vorgaben:

- In den in Art. 17 Abs. 1 lit. (a) bis (f) genannten Fällen muss ein Verantwortlicher (das Unternehmen) personenbezogene Daten löschen
- Die betroffene Person hat das Recht die Löschung zu verlangen
- Hat das Unternehmen Daten öffentlich gemacht, die dann gelöscht werden müssen, muss er dafür Sorge tragen, dass auch Verknüpfungen zu diesen Daten gelöscht werden (Art. 17 Abs. 2 DSGVO).

Diesbezügliche Ausnahmen gelten unter anderem für das Recht auf freie Meinungsäußerung.

In der Praxis ist daher (abgesehen von dem im Praxistipp DSGVO #8: Löschkonzepte beschriebenen Aufbau eines Löschkonzepts) zunächst zu prüfen, ob Daten öffentlich gemacht wurden und an welcher Stelle. Sodann ist weiter zu prüfen, ob eine der in Art. 17 Abs. 3 DSGVO gelisteten Ausnahmen greift und keine Löschung nötig ist. Sofern die betroffene Person eine Löschung verlangt hat und keine Ausnahmen vorliegt, müssen andere Verantwortliche, die die öffentlich gemachten Daten weiterverwendet haben, von der Pflicht zur Löschung informiert werden.

Umsetzung des "Rechts Vergessen zu werden"

In der Unternehmenspraxis sollte im Rahmen des Aufbau eines Löschkonzept ein Prozess mit definiert werden, der bestimmt, wie im Fall der nötig werdenden Umsetzung des „Rechts auf Vergessenwerden“ verfahren wird:

- Wer prüft die rechtlichen Voraussetzungen
- Wer informiert auf welchem Weg ggfls. die anderen Verantwortlichen
- Wie ist ein Informationsfluss zwischen einzelnen Abteilungen gewährleistet
- Wer prüft die technischen Möglichkeiten der Umsetzung und führt sie ggfls. durch.

Es bleibt abzuwarten, welche Rolle das ursprünglich vom Europäischen Gerichtshof beschriebene Recht Vergessen zu werden, in der Praxis von Unternehmen abseits von Google tatsächlich spielen wird. Die Erfahrungen mit Google jedoch zeigen, dass es alles andere als leicht werden wird, in diesem Bereich einen angemessenen Ausgleich der Interessen zu finden - von dem Aufwand der tatsächlichen Umsetzung im Unternehmen einmal ganz abgesehen.

Mit dem Konzept der Erlaubnis der Datenverarbeitung nur zu bestimmen, rechtlich legitimen Zwecken hängt die Pflicht zur Löschung personenbezogener Daten zusammen, die für einen bestimmten Zweck nicht mehr erforderlich sind. Damit sind die Unternehmen – wie auch schon nach BDSG – angehalten, angemessene Konzepte zur Löschung von Daten zu erstellen und umzusetzen.

Außer in Art. 17 DSGVO fordert die DSGVO die Festlegung von Löschungsfristen oder Löschkonzepten auch an anderer Stelle, z.B. in Art. 30 Abs. 1 lit. (f) DSGVO (siehe dazu Praxistipp DSGVO #7: Verzeichnis von Verarbeitungstätigkeiten) oder im Rahmen der Informationspflichten gegenüber den betroffenen Personen (Art. 13 und Art. 14 DSGVO).

Im Rahmen des Ist-Soll-Abgleichs und des anschließenden Aufbaus der Umsetzung der neuen Anforderungen der DSGVO ist daher u.a. zu klären:
- Sind Löschungsfristen für die einzelnen Verfahren, die die Verarbeitung personenbezogener Daten beinhalten, definiert
- Ist sichergestellt, dass für neue Verfahren ebenfalls Fristen definiert und umgesetzt werden
- Wie erfolgt die Löschung technisch
- Wer ist für die Umsetzung der Löschkonzepte personell verantwortlich

Das Erstellen von Löschkonzepten und deren Umsetzung gehört zu den größten Herausforderungen beim Aufbau einer Datenschutzorganisation im Unternehmen. Sprechen Sie uns an, wir können Sie bei dieser Aufgabe mit unserer langen Erfahrung unterstützen.

Das Verzeichnis von Verarbeitungstätigkeiten entspricht dem Verfahrensverzeichnis nach BDSG. Die Pflicht zur Führung bleibt nach Art. 30 DSGVO bestehen.

Es muss unter anderem diese Informationen enthalten:

- Die Zwecke der Datenverarbeitung, die das Unternehmen verfolgt
- Eine Beschreibung der betroffenen Personen, der verarbeiteten Daten und der Empfänger – jeweils in Kategorien
- Die Löschungsfristen und die technischen und organisatorischen Sicherheitsmaßnahmen, jeweils „wenn möglich“.

Auch Auftragsverarbeiter

Neu ist, dass nunmehr auch die Auftragnehmer, die für andere Unternehmen Daten verarbeiten (Auftragsverarbeiter), die Verfahren, die sie für andere durchführen, in einem eigenen Verfahrensverzeichnis dokumentieren müssen (Art. 30 Abs. 2 DSGVO).

Bürokratie?

Klingt wie großer bürokratischer Unsinn, meinen Sie? In manchen Fällen ist die Zusammenstellung der Angaben für ein Verfahrensverzeichnis sicherlich eine Arbeit „für einen, der Vater und Mutter erschlagen hat“, wie mein Vater zu sagen pflegte. Das Verzeichnis der Verarbeitungstätigkeiten hat aber den immensen Vorteil, dass man auf einen Blick eine Übersicht über alles hat, was im Unternehmen läuft. Dass man schon bei der Erstellung ganz schnell sieht, welche Verfahren als rechtlich (und technisch) riskant einzustufen sind. Änderungen und Ergänzungen sind dann leicht einzufügen.

Nachweispflichten erfüllt

Das Verzeichnis stellt damit auch in Zukunft einen wichtigen Baustein zur Erfüllung der in der DSGVO festgelegten Nachweispflichten, z.B. nach Art. 24 Abs. 1 DSGVO, dar. Für die Anpassung der Prozesse für die DSGVO müssen daher die folgenden Punkte geprüft werden:

- Besteht ein Verzeichnis von Verarbeitungstätigkeiten
- Wer ist im Unternehmen für die Vollständigkeit und Aktualität verantwortlich
- Bestehen unternehmensinterne Kontroll- und Genehmigungsverfahren, die das rechtzeitige Erkennen und Umsetzen von notwendigen Änderungen sicherstellen?

Sofern Sie sich die Mühe nicht selbst machen wollen, fragen Sie einfach mal bei uns an. Wir haben jahrelange Übung auf diesem Feld und schreiben diese Listen gerne. Meistens.

Abgesehen von der Vorgabe, personenbezogene Daten nur zu „festgelegten, eindeutigen und legitimen Zwecken“ zu verarbeiten (siehe Praxistipp DSGVO #5: Festlegen des Zwecks), ist auch die Weiterverarbeitung zu anderen Zwecken, die mit dem ursprünglichen nicht vereinbar sind, grundsätzlich untersagt (Art. 5 Abs. 1 lit. (b) DSGVO). Etwas anderes gilt nur, wenn eine Erlaubnis in den von der DSGVO vorgesehenen.

Beispiel:
Die Marketingabteilung möchte personenbezogene Daten, die im Rahmen eines Gewinnspiels erhoben wurden, nach Abschluss des Gewinnspiels für die Versendung eines Newsletters weiter nutzen.

Die Bedingungen für eine zulässige Zweckänderung ergeben sich aus Art. 6 Abs. 4 DSGVO.

Im Rahmen eines funktionierenden Datenschutzmanagements gilt es daher, unternehmensinterne Verfahren aufzubauen, die eine vorgeschaltete Prüfung der Zulässigkeit einer Zweckänderung ermöglichen. Auf unser Beispiel der Marketingabteilung bezogen könnte dies bedeuten, dass die Marketingabteilung durch interne Vorgaben verpflichtet ist, jede Erhebung von Daten und jede geplante Weiterverwendung dem Datenschutzbeauftragten vorab zur Prüfung vorzulegen.

Überflüssige Bürokratie?

Die Empfehlung, derartige Kontroll- und Genehmigungsverfahren für den Umgang mit personenbezogenen Daten im Unternehmen aufzubauen, mag unnötig bürokratisch und pingelig erscheinen. Die Verantwortlichen in Unternehmen sollten aber berücksichtigen, dass der ordnungsgemäßge Umgang mit personenbezogenen Daten, der auf diese Weise sichergestellt werden kann, ein Teil der unternehmensweiten Compliance darstellt. Verstöße gegen die Vorgaben der DSGVO können zudem mit deutlich höheren Bußgeldern als bisher geahndet werden.

Die DSGVO enthält eine ganze Reihe von teilweise recht komplexen Abläufen und Strukturen, die bis Mai 2018 umsetzt sein müssen. Um den in Praxistipp DSGVO #3: IST-SOLL-Analyse empfohlenen Ist-Soll-Abgleich erfolgreich durchführen zu können, muss jedoch erst einmal bekannt sein, welche Inhalte zukünftig das „Soll“ im Datenschutz sind. Wir setzen daher die Praxistipps mit einer Übersicht über ausgewählten Punkten der DSGVO fort, deren Umsetzung zukünftig von Unternehmen sichergestellt werden muss.

Festlegen des Zwecks der Datenverarbeitung

Bei der ersten Erhebung oder sonstigen Verarbeitung personenbezogener Daten muss das Unternehmen die Zwecke festlegen, für die es die Daten verarbeitet. Die Daten dürfen nur für „festgelegte, eindeutige und legitime Zwecke“ erhoben werden (Art. 5 Abs. 1 lit. (b) DSGVO).

Beispiel: Ein Unternehmen erhebt Kundendaten im Rahmen einer neu beginnenden Geschäftsbeziehung.

Die möglichen Zwecke der Datenerhebung und -verarbeitung

- Aufbau und Durchführung einer Kundenbeziehung
- der Pflege der Kundenbeziehung
- die Durchführung eines Vertrags

...

müssen vom Unternehmen festgelegt und dokumentiert werden.

Einhaltung ist nachzuweisen

Nach Art. 5 Abs. 2 DSGVO muss das Unternehmen die Einhaltung dieser Vorgaben nachweisen können.

Außerdem ist die Dokumentation im Rahmen der Informationspflichten nach Art. 13 Abs. 1 lit c oder Art. 14 Abs. 1 lit c DSGVO erforderlich.

Als Mittel für die Umsetzung der Zweckfestlegung bietet sich das Verfahrensverzeichnis an, das in der Terminologie der DSGVO jetzt „Verzeichnis von Verarbeitungstätigkeiten“ heißt und gem. Art. 30 DSGVO auch weiterhin geführt werden muss.

Unternehmensintern ist ein Prozess zu definieren mit dem sichergestellt wird, dass vor jeder neuen Datenerhebung die Prüfung der Zulässigkeit der Zwecke stattfindet und in die Dokumentation übernommen wird.

Read More

Der Aufbau eine Datenschutzorganisation im Unternehmen, die die neuen Anforderungen der DSGVO umsetzt, ist als ein unternehmensinternes Projekt zu betrachten, das entsprechend koordiniert und gesteuert werden muss, um zu einem erfolgreichen Abschluss zu kommen. Die Steuerung kann z.B. dem Datenschutzbeauftragten des Unternehmens übertragen werden. Die Umstellung der internen Prozesse auf die Anforderungen der DSGVO erfordern im ersten Schritt jedoch:

-         Ein uneindeutiges Bekenntnis der Unternehmensführung zur Priorität der Umsetzung von Datenschutz und Informationssicherheit im Unternehmen und

Die klare Kommunikation dieser Ziele gegenüber den Mitarbeitern.

Übrigens ist nach Art. 24 Abs. 1 DSGVO die frühzeitige Einbindung der Datenschutzbeauftragten in alle Fragen, die mit dem Schutz personenbezogener Daten zusammenhängen, nunmehr verpflichtend festgeschrieben.

Keine Pflicht zur Bestellung eines Datenschutzbeauftragten nach DSGVO

Die im BDSG enthaltene Vorschrift, dass alle Unternehmen, in denen mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, verpflichtend einen Datenschutzbeauftragten bestellen müssen, ist in der DSGVO nicht mehr enthalten. Nach Art. 37 Abs. 1 DSGVO besteht eine Pflicht zur Bestellung nur noch in eingeschränkten Fällen. Allerdings haben nach Art. 37 Abs. 4 DSGVO die Mitgliedstaaten das Recht, eigene nationale Vorschriften zu entwickeln, nach denen dann ggfls. doch wieder ein Datenschutzbeauftragter bestellt werden muss. So sieht auch der Anfang September veröffentlichte Entwurf eines Gesetzes zur "Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680" die Beibehaltung einer Bestellpflicht für von Datenschutzbeauftragten vor.

Hintergrundinformationen zum Thema Datenschutz als Führungsaufgabe können Sie sofern gewünscht noch einmal in diesen Artikeln nachlesen: Informationssicherheit ist (auch) Kommunikation, Datenschutz ist Führungsaufgabe.

Read More