DSGVO-8.Checkliste Erläuterung

Die Checkliste wird zum besseren Verständnis in einigen Punkten noch noch weiter erläutert:

sichere Datenverabeitung

Die Daten dürfen nicht anders verarbeitet werden, als eine angemessene Sicherheit der personenbezogenen Daten ausreichend gewährleistet ist. Im Wege von technischen (z.B. Schutz durch Passwörter) und organisatorischen Maßnahmen (z.B. Verschließen von Räumlichkeiten) muss sichergestellt werden, dass Unbefugte keinen Zugang zu den Daten erhalten können.

Art. 25 DSGVO erlegt dem Verantwortlichen Pflichten zum Datenschutz durch die Wahl der Technik sowie durch datenschutzfreundliche Voreinstellungen auf. Der Verantwortliche soll durch technische und organisatorische Maßnahmen die Vorgaben der DSGVO umsetzen. Auch hier taucht das Gebot der Datenminimierung und der Zweckbindungsgrundsatz auf.

Darüber hinaus verlangt Art. 32 DSGVO von dem Verantwortlichen und dem Auftragsverarbeiter die Übernahme besonderer Gewährleistungspflichten für die Datensicherheit, die einen unzulässigen Umgang mit personenbezogenen Daten verhindert und die Integrität sowie die Verfügbarkeit der Daten sichert. Verantwortliche und Auftragsverarbeiter sind hierfür für die Überwachung ihrer Mitarbeiter verantwortlich. Die Anforderungen an die sichere Datenverarbeitung ist als weitaus detailreicher einzuschätzen als die Anforderungen nach dem BDSG.

 
Verzeichnis der Datenverarbeitungsvorgänge

Ein schriftliches oder elektronisches Verzeichnis aller Datenverarbeitungsvorgänge enthält die Namen und Kontaktdaten der Verantwortlichen sowie ggf. des Datenschutzbeauftragten. Darüber hinaus muss der konkrete Zweck für die jeweilige Verarbeitungstätigkeit dokumentiert sein. Grundsätzlich besteht diese Verpflichtung nur für Unternehmen ab einer Größe von 250 Mitarbeitern und mehr (kleine und mittlere Unternehmen - "KMU" sind ausgenommen). Dies jedoch nur dann, wenn diese Unternehmen keine Daten verarbeiten, die für die jeweils betroffene Person ein besonderes Risiko bedeuten, die Verarbeitung der Daten nur gelegentlich erfolgt und keine Daten der besonderen Datenkategorien nach Art. 9 Abs. 1 bzw. Art. 10 DSGVO verabeitet werden. Es handelt sich bei diesen drei Merkmalen nicht um eine "oder"-Aufzählung, sondern um eine kumulative Aufzählung.

Danach sind Unternehmen mit weniger Mitarbeitern nur dann von der Pflicht befreit, ein solches Verzeichnis zu führen, sofern sie eine Verarbeitungstätigkeit ausführen, die weder ein Risiko für die Recht des Betroffenen birgt, noch regelmäßig erfolgt, noch den besonderen Datenkategorien unterfällt; ansonsten muss ein Verzeichnis geführt werden, um die Kontrolle durch die Aufsichtsbehörden zu ermöglichen. Damit werden nun doch teilweise selbst kleinste Unternehmen (Optiker, Heilpraktiker), die bisher unter die Ausnahmeregelung des BDSG fielen, mit umfangreichen Pflichten belastet.
 
Ein Risiko, wie z. B. Identitätsdiebstahl, Profilbildung anhand von Standortdaten usw., besteht insbesondere bei dem Einsatz neuester Technologien wie Gesichts- und Spracherkennung, Body-Cams etc. Eine nicht nur gelegentliche Datenverarbeitung liegt dann vor, wenn die Verarbeitung der personenbezogenen Daten zum typischen Geschäftsbetrieb des Unternehmens oder der Einrichtung zählt und es sich nur als Nebentätigkeit zur eigentlichen Haupttätigkeit darstellt. Befreit sind danach nur solche Verarbeitungen, die sich jenseits der typischen Verarbeitungstätigkeit bewegen und daher nur von Zeit zu Zeit überhaupt vorkommen. Für regelmäßige oder dauerhafte Verfahren (z. B. Führen von Personalakten, Finanzbuchhaltung, Kundendatenbank) bleibt es daher bei einer Verfahrensverzeichnispflicht. Besondere Datenkategorien sind solche, die sensible Daten gemäß Art. 9 Abs. 1 (rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben usw.) und Daten nach Art. 10 DSGVO (Daten über strafrechtliche Verurteilungen und Straftaten usw.) umfassen.

erforderliche Bestellung eines Datenschutzbeauftragten

Sofern die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, so haben der Verantwortliche bzw. der Auftragsverarbeiter einen Datenschutzbeauftragten zu benennen (Art. 37 Abs. 1 b) DSGVO). Der Datenschutzbeauftragte soll der Eigenkontrolle der Einhaltung des Datenschutzes im Unternehmen dienen und als unbürokratisches Mittel dem Schutz der personenbezogenen Daten dienen. In Deutschland gilt jedoch nach wie vor, dass ein Datenschutzbeauftragter dann zu benennen ist, wenn mindestens 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind oder es sich unabhängig von der Personenzahl um eine Datenverarbeitungssituation handelt, die einer Datenschutz-Folgenabschätzung unterliegt, oder der geschäftsmäßigen Verabeitung zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder der Markt- oder Meinungsforschung dient.

Die Kerntätigkeit ist bezogen auf die Haupttätigkeit. Es handelt sich um Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie entscheidend sind. Keine Kerntätigkeit ist gegeben, wenn Kundendaten analysiert werden, um dem Kunden bestimmte Vorschläge zu unterbreiten, der Hauptzweck des Unternehmens jedoch der Vertrieb von Waren ist. Eine umfangreiche Überwachung kann eine große Zahl von Betroffenen implizieren (5.000 Personen pro Jahr), durch eine große Menge der verarbeiteten Daten, durch eine große geografische Reichweite oder einer langen Dauer der Beobachtung und Speicherung (z. B. Profiling-Maßnahmen, wie Versicherungsunternehmen, die zur Risikoeinschätzung die Versicherungsnehmer überwachen).

Unternehmensgruppen (Konzerne) dürfen einen gemeinsamen Datenschutzbeauftragten benennen, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann. Das Erfordernis der leichten Ereichbarkeit meint eine persönliche Erreichbarkeit und nicht bloß eine Erreichbarkeit mittels Fernkommunikationsmitteln, wobei eine persönliche Erreichbarkeit innerhalb eines Tages genügt. Der Datenschutzbeauftragte muss das nötige Fachwissen aufweisen, das bezüglich der durchgeführten Datenverarbeitungsvorgänge und dem erforderlichen Schutz der Daten erforderlich ist, wobei bei der Verarbeitung sensibler Daten entsprechend hohe Anforderungen an die Fachkunde gestellt werden.