Vor zwei Jahren ist die EU-Datenschutzgrundverordnung in Kraft getreten. Nun wird die DSGVO ab 25. Mai rechtskräftig. Mit der neuen Verordnung sollen der Schutz personenbezogener Daten von Bürgerinnen und Bürgern der EU deutlich verbessert werden. Unternehmen und öffentliche Stellen werden gleichermaßen an strengere Auflagen hinsichtlich der Erfassung und Verarbeitung personenbezogener Daten gebunden.
Alle Forderungen der DSGVO müssen bis zum 25. Mai umgesetzt und erfüllt sein, sonst drohen empfindliche Strafen. Dabei unterscheiden die Aufsichtsbehörden nicht zwischen freien wirtschaftlichen Einheiten und öffentlichen Behörden.
Die vollständige Fassung der Verordnung finden Sie hier.
Unsere Top 5 Inhalte der DSGVO
Auch wir von Stadt.Land.Netz haben uns DSGVO-konform aufgestellt und wollen im Folgenden unsere TOP 5 für unsere Kunden herausstellen.
Bitte beachten Sie, dass diese rechtlichen Informationen nicht mit einer rechtlichen Beratung durch einen Rechtsanwalt zu verwechseln sind. Wir weisen Sie deshalb darauf hin, dass Sie bei Beratungsbedarf über Ihre Auslegung dieser Informationen oder über deren Richtigkeit und Vollständigkeit einen Rechtsanwalt hinzuziehen sollten. Sie dürfen sich demnach auf dieses Dokument weder als Rechtsberatung stützen noch als Empfehlung für eine bestimmte Auslegung geltenden Rechts.
1. Datenarmut: soviel wie nötig, so wenig wie möglich
Im Rahmen der Verordnung zur Datenarmut, ist ab Mai darauf zu achten, dass so wenig Daten von den Betroffenen erfasst werden, wie nur möglich. Das heißt, dass beispielsweise das Geburtsdatum nur erfasst werden darf, wenn es zur Bearbeitung der Anfrage oder des Auftrags notwendig ist. Nicht jedoch, weil das Datum irgendwann einmal benötigt werden könnte. Daten sind immer zweckgebunden zu erheben. Heißt: wenn Sie bspw. das Geburtsdatum des Kunden wissen möchten, um ihm vielleicht zu gratulieren, dann müssen Sie das bei Erhebung deutlich machen.
2. Informieren & Einwilligungen einholen
Wann immer eine betroffene Person im Begriff ist, ihre personenbezogenen Daten anzugeben, muss der Verantwortliche (i.d.R. der, der die Daten erhebt) sicherstellen, dass:
a) der Betroffene darüber informiert ist, für welchen Zweck seine Daten erhoben, gespeichert und ggf. verarbeitet werden, und
b) die Person eine eindeutige Zustimmung (Einwilligung) „in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ gibt, mit der sie bestätigt, dass sie verstanden hat und damit einverstanden ist.
Betroffene haben mit der DSGVO auch mehr Rechte, so können sie, neben dem Verlangen auf Einsicht und Vergessenwerden, sich die über sie gespeicherten Daten zusenden lassen. Auf Verlangen hat der Verantwortliche die Daten auch an einen neuen Verantwortlichen zu übertragen.
Gerechtfertigt ist jedoch eine Verarbeitung auch wenn „die Verarbeitung (…) für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich (ist) , die auf Anfrage der betroffenen Person erfolgen“.
3. Auftragsverarbeitungsvertrag einholen
Mit jedem Dienstleister der im Auftrag des Verantwortlichen Daten erhebt, speichert oder verarbeitet, ist bis zum 25. Mai ein Vertrag zur Auftragsverarbeitung (vorher Auftragsdatenverarbeitung) abzuschließen. In diesem Vertragswerk wird geregelt, welche Pflichten die Vertragsparteien zur Sicherheit der Daten eingehen.
Der Verantwortliche behält die Datenhoheit und ist somit im Wortsinne verantwortlich dafür, was mit den Daten geschieht. Der Auftragsverarbeiter muss „Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.
4. Verarbeitungsverzeichnis und -tätigkeiten
Für jeden Prozess(schritt) in welchem Daten erhoben, verarbeitet und/oder gespeichert werden, bedarf es einer Verarbeitungstätigkeitsbeschreibung. In dieser wird festgehalten, welche Arten von Daten erhoben/ verarbeitet/ gespeichert werden, welcher Personenkreis betroffen ist, wie lange die Daten vorgehalten werden etc. Diese Verarbeitungstätigkeiten werden im Verarbeitungsverzeichnis aufgeführt, es gibt somit einen Überblick über die Prozesslandschaft in der mit Daten gearbeitet wird.
Das Verzeichnis muss schriftlich erfasst werden, kann aber auch „in einem elektronischen Format“ vorgehalten werden.
5. Datenschutzkonzept mit technischen & organisatorischen Maßnahmen
Schon vor dem 25. Mai waren alle Einrichtungen, welche mit Daten arbeiten, dazu aufgefordert, ein entsprechendes Datenschutzkonzept vorzulegen. Ab dem 25. Mai ist dieses nun verpflichtend. Bedingung ist, dass die aufzuführenden technischen und organisatorischen Maßnahmen „ein dem Risiko angemessenes Schutzniveau gewährleisten“.
Ihr Kontakt zu Stadt.Land.Netz
Sie wollen mehr darüber wissen, was wir bei Stadt.Land.Netz für den korrekten Datenschutz tun? Dann Schreiben Sie uns oder rufen Sie an. Gern senden wir Ihnen unsere Unterlagen zu!
kontakt@stadtlandnetz.de
+49 351 / 41 88 47 31
Mehr Informationen zur Thematik besuchen Sie die Webseite des Datenschutzbeauftragten Ihres Bundeslandes. Unter folgendem Link finden Sie die Web-Adressen und Kontaktinformationen zu allen Landesbeauftragten für Datenschutz und Informationsfreiheit.