Ratgeber zu Anforderungen für Verantwortliche DS-GVO/BDSG
Anforderungen DS-GVO/BDSG
Verantwortung der Leitung
In einer Organisation ist die Leitung unmittelbar verantwortlich (Art. 5 Abs. 1 DS-GVO) für das Führen vom Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) für alle datenschutzrelevanten Verfahren, ggf. mit Datenschutz-Folgenabschätzung (Art. 35 DS-GVO), Vertrag zur Auftragsverarbeitung (Art. 28 DS-GVO) sofern Dritte mit der Datenverarbeitung betraut werden, der technischen und organisatorischen Maßnahmen zur Datensicherheit (Art. 32 DS-GVO) inkl. Verpflichtung der Beschäftigten auf die Vertraulichkeit und Schulung zum Datenschutz, Informationspflichten vor Erhebung und Verarbeitung von Daten (Art. 13/14 DS-GVO), dazu gilt auch die auch Datenschutzinformation im Internetauftritt, sowie Erfüllung Rechte von Betroffenen (Art. 15 bis 21 DS-GVO) als auch Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde (Art. 33 DS-GVO) und Betroffene (Art. 34 DS-GVO). Es besteht eine Nachweispflicht nach Art. 5 Abs. 2 DS-GVO.
Ist die Benennung von Datenschutzbeauftragten nicht gesetzlich vorgeschrieben, bedeutet dies nicht, dass der Datenschutz für diese Unternehmen weniger relevant ist. Die Leitung der Organisation muss auch dann die Konformität mit den Datenschutzgesetzen unbedingt sicherstellen, um Haftungsrisiken zu vermeiden. Es besteht ebenso die Möglichkeit, freiwillig Datenschutzbeauftragte zu benennen.
Benennung Datenschutzbeauftragte
Nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten und mindestens zwanzig Personen mit der Verarbeitung beschäftigen, müssen nach Art. 37 DS-GVO in Verbindung mit § 38 Bundesdatenschutzgesetz (BDSG), Datenschutzbeauftragte benennen und an die zuständige Aufsichtsbehörde melden (Art. 37 Abs. 7 DS-GVO). Unerheblich ist, ob es sich um Voll- oder Teilzeitbeschäftigte sowie Mitarbeiter, Leiharbeitnehmer, Auszubildende oder Praktikanten handelt. Soweit Verarbeitungen vorliegen, die einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden muss die Organisation sofort eine Benennung durchführen.
Melde- und Informationspflichten
Die DS-GVO sieht unterschiedliche Melde- und Informationspflichten vor, dass jede Verletzung des Schutzes personenbezogener Daten unverzüglich und binnen 72 Stunden gemäß Art. 33 DS-GVO an die zuständige Aufsichtsbehörde und gemäß Art. 34 DS-GVO an die Betroffenen gemeldet werden muss. Anträge von Betroffenen auf Auskunftsersuchen, Berichtigungen, Löschen oder Widersprüche müssen innerhalb von 4 Wochen beantwortet werden (Art. 12 Abs. 3 DS-GVO). Bei einer beabsichtigten Weiterverarbeitung personenbezogener Daten zu einem anderen Zweck (Art. 13 Abs. 3 DS-GVO) müssen die Betroffenen innerhalb von 4 Wochen benachrichtigt werden.
Wir sind für Sie da!
Mit einer unverbindlichen Anfrage an die PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit gehen Sie kein kostenpflichtiges Abonnement oder sonstigen Verpflichtungen ein.
Bei ernsthaften Anfragen (Hilfe, wir brauchen einen externen Datenschutzbeauftragen!) werden wir Ihnen nach einem persönlichen Informationsgespräch ein Angebot erstellen.