Aufgaben und Pflichten
Die DSGVO legt eine Vielzahl von Maßnahmen fest, die Verantwortliche ergreifen müssen, um den Datenschutz und die Rechte der betroffenen Personen zu gewährleisten. Nachfolgend werden wir uns auf die operativen Aufgaben und Pflichten der Verantwortlichen gemäß der DSGVO konzentrieren.
- Verzeichnis von Verarbeitungstätigkeiten: Das Verzeichnis von Verarbeitungstätigkeiten ist ein Dokument, in dem Verantwortliche sämtliche Verarbeitungstätigkeiten auflisten, die in ihrem Verantwortungsbereich stattfinden. Es dient zur Dokumentation, um sicherzustellen, dass die Verarbeitung personenbezogener Daten DSGVO-konform erfolgt.
- Datenschutzerklärung: Die DSGVO sieht für Verantwortliche eine umfassende Informationspflicht bei Erhebung von personenbezogenen Daten vor, die meist in Form einer Datenschutzerklärung umgesetzt wird.
- Datenschutz-Folgenabschätzung (DPIA): Wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, ist eine Datenschutz-Folgenabschätzung (DPIA) erforderlich. Diese hilft, potenzielle Risiken zu erkennen und angemessene Schutzmaßnahmen zu ergreifen.
- Datenschutzbeauftragter (DSB): In bestimmten Fällen ist die Bestellung eines Datenschutzbeauftragten gesetzlich vorgeschrieben. Der DSB überwacht die Einhaltung der Datenschutzvorschriften und fungiert als Ansprechpartner für Datenschutzfragen.
- Datenschutzvereinbarungen mit Auftragsverarbeitern: Wenn externe Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten, sollten vertragliche Vereinbarungen getroffen werden, um sicherzustellen, dass die DSGVO-Anforderungen erfüllt werden.
- Datenschutzschulungen und Sensibilisierung: Die Schulung von Mitarbeitern in Datenschutzfragen ist entscheidend. Alle Mitarbeiter sollten sich der Bedeutung des Datenschutzes bewusst sein und entsprechend geschult werden.
- Regelmäßige Datenschutzprüfungen und Audits: Verantwortliche sollten regelmäßige interne Datenschutzprüfungen durchführen, um sicherzustellen, dass die Datenschutzmaßnahmen wirksam sind und den gesetzlichen Anforderungen entsprechen.
- Datenschutzfreundliche Voreinstellungen (Privacy by Design): Datenschutz sollte von Anfang an in die Entwicklung von Produkten, Dienstleistungen und IT-Systemen integriert werden. Datenschutzfreundliche Voreinstellungen sollten Standard sein.
- Meldepflicht bei Datenschutzverletzungen: Bei Datenschutzverletzungen, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, müssen diese innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden.
- Rechte der betroffenen Personen: Verantwortliche müssen sicherstellen, dass betroffene Personen ihre Rechte gemäß der DSGVO ausüben können. Dazu gehören das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.
- Regelungen für die Datenübermittlung ins Ausland: Bei der Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/EWR sollten geeignete Schutzmechanismen, wie Standardvertragsklauseln oder Binding Corporate Rules, angewendet werden.
- Datensicherheitsmaßnahmen: Geeignete technische und organisatorische Maßnahmen müssen ergriffen werden, um personenbezogene Daten vor Verlust, Diebstahl oder unbefugtem Zugriff zu schützen. Dies kann die Verschlüsselung von Daten und den Zugriffsschutz umfassen.
- Regelmäßige Aktualisierung und Anpassung: Datenschutzpraktiken sollten kontinuierlich überwacht und angepasst werden, um auf neue rechtliche Anforderungen und technologische Entwicklungen zu reagieren.
Es ist wichtig, die firmenspezifischen Anforderungen je nach Art und Umfang der Datenverarbeitung zu berücksichtigen und gegebenenfalls bei der Planung und Umsetzung der DSGVO-Vorgaben professionelle Beratung in Anspruch zu nehmen.