Ratgeber zu Anforderungen für Verantwortliche DSGVO/BDSG

Anforderungen DSGVO/BDSG

Verantwortung der Leitung

In einer Organisation ist die Leitung unmittelbar verantwortlich für das Führen vom Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) für alle datenschutzrelevanten Verfahren, ggf. mit Datenschutz-Folgenabschätzung (Art. 35 DSGVO), Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) sofern Dritte mit der Datenverarbeitung betraut werden, der technischen und organisatorischen Maßnahmen zur Datensicherheit (Art. 32 DSGVO) inkl. Verpflichtung der Beschäftigten auf die Vertraulichkeit und Schulung zum Datenschutz, Informationspflichten vor Erhebung und Verarbeitung von Daten (Art. 13/14 DSGVO), dazu gilt auch die auch Datenschutzerklärung im Web-Auftritt, sowie Erfüllung Rechte von Betroffenen (Art. 15 bis 21 DSGVO) als auch Meldung von Datenschutzverletzungen an die Datenschutz- Aufsichtsbehörde (Art. 33 DSGVO) und Betroffene (Art. 34 DSGVO).

Ist die Benennung nicht gesetzlich vorgeschrieben, bedeutet dies nicht, dass der Datenschutz für diese Unternehmen weniger relevant ist. Die Leitung der Organisation muss auch dann die Konformität mit den Datenschutzgesetzen unbedingt sicherstellen, um Haftungsrisiken zu vermeiden. Es besteht ebenso die Möglichkeit, freiwillig Datenschutzbeauftragte zu benennen.

Benennung Datenschutzbeauftragte

Nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten und mindestens zwanzig Personen mit der Verarbeitung beschäftigen, müssen nach Art. 37 DSGVO in Verbindung mit § 38 Bundesdatenschutzgesetz (BDSG), Datenschutzbeauftragte benennen und an die Datenschutz-Aufsichtsbehörde melden (Art.37 Abs. 7 DSGVO). Unerheblich ist, ob es sich um Voll- oder Teilzeitbeschäftigte sowie Mitarbeiter, Leiharbeitnehmer, Auszubildende oder Praktikanten handelt. Soweit Verarbeitungen vorliegen, die einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden muss die Organisation sofort eine Benennung durchführen.

Melde- und Informationspflichten

Die DSGVO sieht unterschiedliche Melde- und Informationspflichten vor, dass jede Verletzung des Schutzes personenbezogener Daten unverzüglich und binnen 72 Stunden gemäß Art. 33 DSGVO an die zuständige Aufsichtsbehörde und gemäß Art. 34 DSGVO an die Betroffenen gemeldet werden muss. Anträge von Betroffenen auf Auskunftsersuchen, Berichtigungen, Löschen oder Widersprüche müssen innerhalb von 4 Wochen beantwortet werden (Art. 12 Abs. 3 DSGVO). Bei einer beabsichtigten Weiterverarbeitung personenbezogener Daten zu einem anderen Zweck (Art. 13 Abs. 3 DSGVO) müssen die Betroffenen innerhalb von 4 Wochen benachrichtigt werden.

Wir sind für Sie da!

Mit einer unverbindlichen Anfrage an die PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit gehen Sie kein kostenpflichtiges Abonnement oder sonstigen Verpflichtungen ein.

Bei ernsthaften Anfragen (Hilfe, wir brauchen einen externen Datenschutzbeauftragen!) werden wir Ihnen nach einem persönlichen Informationsgespräch ein Angebot erstellen.