Verantwortliche, also Firmen oder Vereine sind verpflichtet, die datenschutzrechtlichen Anforderungen nicht nur zu leben, sondern auch strukturell zu erfüllen. Das heißt konkret: ein Unternehmen soll nicht nur nachweisen können, dass es in einem Sachverhalt datenschutzkonform gearbeitet hat. Es muss vielmehr nachweisen, dass die datenschutzrechtlichen Anforderungen „laufend“ erfüllt werden. Das leitet sich aus Artikel 5 Absatz 2 EU-Datenschutz-Grundverordnung ab:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Daher ist die allgemeine Empfehlung datenschutzrechtlichen Anforderungen durch Datenschutzrichtlinien oder ein Datenschutzhandbuch zu regeln.

Unternehmen sind ferner verpflichtet, ihre Verarbeitungstätigkeiten, also die Beschreibung von Geschäftsprozessen zu einem bestimmten Zweck, in einem schriftlichen Verzeichnis zu dokumentieren.
Hier müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger, Löschfristen und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen.
Gesetzliche Grundlage hierfür bildet Artikel 30 DSGVO.

Wenn andere Unternehmen Zugriff auf die Daten Ihrer Kunden haben, sind Sie im Bereich der Auftragsverarbeitung und müssen mit diesem Unternehmen einen AV-Vertrag abschließen. Dies ist ein Datenschutzvertrag in dem Weisungsgebundenheit und Ihre Datenhoheit klar geregelt wird.
– Beispiele wären hier:
– Cloudspeicher, Webseitenhosting, E-Mail
– externe Lohn und Gehaltsabrechnung
– Callcenter
Gesetzliche Grundlage hierfür bildet Artikel 28 DSGVO.

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…“
Mit anderen Worten: Sie als Unternehmen oder Verein müssen ausreichende Mittel zur Verfügung stellen, um ihre IT auf dem Stand der Technik zu halten. Hierdurch soll die Vertraulichkeit, Integrität, Verfügbarkeit von Daten und Belastbarkeit der Systeme und Dienste sichergestellt werden.
Hierzu sollten zählen:
– Backup/Recovery Pläne
– Verschlüsselungen
– Firewall, Virenschutz
Gesetzliche Grundlage hierfür bildet Artikel 32 DSGVO.

Da die Datenschutzgrundverordnung das Ziel hat die informationelle Selbstbestimmung der EU-Bürger zu stärken und ihnen rechte zu verschaffen müssen klarer Weise alle Betroffenen informiert werden, sobald deren Daten verarbeitet werden. So muss der Verantwortliche zum Zeitpunkt der „Erhebung“ verschiedene Informationen bereitstellen. Hierzu gehören z.B.:
– Name, Kontaktdaten des Verantwortlichen, ggf. Daten des Datenschutzbeauftragten
– Zweck und Rechtsgrundlage der Verarbeitung, ggf. berechtigte Interessen
– Empfänger der Daten, Speicherdauer, Belehrung über die Rechte des Betroffenen
So wird es in den meisten Unternehmen verschiedene Informationsblätter geben da es verschiedene Gruppen von Betroffenen gibt:
– Kunden, Lieferanten
– Mitarbeiter
– Webseitenbesucher
Gesetzliche Grundlage hierfür bildet Artikel 13 DSGVO.

Unternehmen mit 10 oder mehr Mitarbeitern, die regelmäßig mit Personendaten arbeiten, sind verpflichtet, einen Datenschutzbeauftragten zu bestellen. Die Anforderung ergibt sich aus Artikel 37 DSGVO in Verbindung mit § 38 BDSG. Der Datenschutzbeauftragte ist bei der Aufsichtsbehörde zu melden. Die meisten Datenschutz Aufsichtsbehörden haben hierfür in der Zwischenzeit eigene Melde-Portale auf ihren Webseiten zur Verfügung gestellt.

Natürlich ist es normal, dass Mitarbeiter auch Fehler machen können. Dementsprechend ist es wichtig, um die datenschutzrelevanten Vorgaben als Betrieb einhalten zu können, dass jeder Mitarbeiter, der mit persönlichen Daten zu tun hat, gut geschult ist und die Vorgaben zum Datenschutz sicher anwenden kann. Entsprechend der Rechenschaftspflicht sind diese Schulungen natürlich nachzuweisen. In diesem Zusammenhang sind auch die Mitarbeiter auf Vertraulichkeit zu verpflichten. Die Schulungen und die Verpflichtung sollen vor der Aufnahme der Tätigkeit erfolgen.

Hat eine Verarbeitung, insbesondere bei Verwendung neuer Technologien oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so ist eine Datenschutz-Folgenabschätzung durchzuführen. Es ist zu prüfen welche Risiken für die Betroffenen bestehen und wie hoch die Eintrittswahrscheinlichkeit ist. Eine Verarbeitung darf nur vorgenommen, wenn der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird.
Gesetzliche Grundlage hierfür bildet Artikel 35 DSGVO.

Wenn es zu einer Datenpanne gekommen ist, also wenn personenbezogene Daten offen gelegt worden sind, verloren gingen, durch Diebstahl, Hacking oder Verlust oder der Schutz der Daten in anderer Weise verletzt wurde, muss die Aufsichtsbehörde möglichst binnen 72 Stunden informiert werden.
Gesetzliche Grundlage hierfür bildet Artikel 33 DSGVO.

EU-Bürger haben nach DSGVO das Recht, bestimmte Rechte (z.B. auf Auskunft, Löschung, Berichtigung, Sperrung, Herausgabe etc.) Ihnen gegenüber geltend zu machen. Ziel ist es den Betroffenen die informationelle Selbstbestimmung zu ermöglichen. Dementsprechend sind Anfragen von Betroffenen dringend zu beachten und fristgerecht zu beantworten.
Gesetzliche Grundlage hierfür bildet Artikel 15, 16, 17, 18, 20, 21 DSGVO.