Datenschutzrechtliche Risiken vermeiden – ausgewählte Maßnahmen für Ihr Unternehmen
Die DSGVO beinhaltet diverse Pflichten für Verantwortliche im Zusammenhang mit der Verarbeitung von personenbezogenen Daten. Die sieben Grundprinzipien der DSGVO sind in Art. 5 DSGVO zu finden; diese lauten Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und Rechenschaftspflicht. Jeder Verantwortliche muss nachweisen können, dass diese Grundsätze bei der Verarbeitung personenbezogener Daten stets eingehalten werden. Darüber hinaus dürfen personenbezogene Daten nur verarbeitet werden, wenn eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO dies erlaubt. Hierfür ist es erforderlich, diejenigen personenbezogenen Daten zu identifizieren, welche verarbeitet werden. In diesem Beitrag soll eine Übersicht bereitgestellt werden, um die nach der DSGVO erforderlichen Maßnahmen treffen zu können.
1. Dokumentationspflichten
Eine wesentliche Anforderung der DSGVO besteht darin, nachweisen zu können, dass alle Daten rechtmäßig und mit den möglichen Sicherheitsmaßnahmen verarbeitet werden. In diesem Zusammenhang sieht die DSGVO unterschiedliche Dokumentationspflichten vor. Dies umfasst insbesondere das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, in welchem sämtliche Verarbeitungsvorgänge identifiziert, beschrieben und deren Rechtsgrundlage dokumentiert werden. Darüber hinaus ist für Verarbeitungstätigkeiten, welche voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchzuführen.
2. Löschpflichten
Nach der DSGVO dürfen Daten nur solange verarbeitet werden, wie es für den Zweck erforderlich ist, für welchen die Daten ursprünglich erhoben wurden. Dies bedeutet, dass die personenbezogenen Daten zu löschen sind, wenn sie für den ursprünglichen Zweck nicht mehr erforderlich sind (Datenminimierung). Einen konkreten Zeitraum gibt die DSGVO nicht vor; insbesondere sind gesetzliche Aufbewahrungsfristen zu berücksichtigen. Um die Löschpflichten zu erfüllen, solle jeder Verantwortliche ein Löschkonzept haben, welches die Löschfristen für die jeweiligen Datenkategorien ermittelt, benennt und eine Löschroutine vorsieht. In diesem Zusammenhang zahlt es sich aus, ein ausführliches und stets aktuelles Verarbeitungsverzeichnis zu führen, aus welchem sich die einzelnen Datenkategorien einfach ablesen und in das Löschkonzept übertragen lassen.
3. Vertragsmanagement
Für den Fall, dass Dritte mit der Verarbeitung personenbezogener Daten beauftragt werden, sind in der Regel Auftragsverarbeitungsverträge abzuschließen. Es bietet sich an, einen Prozess zu implementieren, welcher bei der Beauftragung eines neuen Dienstleisters sicherstellt, dass – soweit erforderlich – ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO oder eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO geschlossen wird. Darüber hinaus sind auch bestehende Vertragsverhältnisse regelmäßig dahingehend zu überprüfen, ob die vertraglich vereinbarten Rechte und Pflichten eingehalten werden (beispielsweise Kontrollrechte).
4. Betroffenenrechte und Informationspflichten
Die Betroffenen sind insbesondere über Umfang, Zweck und Dauer der Verarbeitung zu informieren; sie sollen in die Lage versetzt werden, die Verarbeitung ihrer personenbezogenen Daten überprüfen zu können. Die Informationspflichten umfassen auch die Verarbeitung personenbezogener Daten durch Webseiten, sodass hier stets Datenschutzinformationen zu hinterlegen sind. Neben den bestehenden Informationspflichten haben die Betroffenen ein Auskunfts- und Widerspruchsrecht, ein Recht auf Berichtigung, ein Recht auf Löschung ihrer Daten und Einschränkung der Verarbeitung sowie ein Recht auf Datenübertragbarkeit.
5. Technische und organisatorische Maßnahmen
Nach den Vorgaben der DSGVO müssen Verantwortliche sich ständig aller Sicherheitsrisiken bewusst sein und für jedes von ihnen mittels technischer und organisatorischer Maßnahmen Abhilfemaßnahmen ergreifen. Um die personenbezogenen Daten zu schützen sind solche technische und organisatorische Maßnahmen zu treffen, welche auf das jeweilige Risiko und die Folgen einer Risikoverwirklichung abgestimmt sind. Ein wichtiger Faktor bei der Verarbeitung personenbezogener Daten sind stets die Mitarbeiter. Daher ist eine regelmäßige Schulung von Mitarbeitern im Umgang mit personenbezogenen Daten unabdingbar.
6. Regelmäßige Kontrolle
Jeder Verantwortliche sollte einen Prozess für die regelmäßige Überprüfung, Bewertung und Evaluierung der Verarbeitungstätigkeiten durchführen um festzustellen, ob Änderungen erforderlich sind. Hierbei kann insbesondere eine Datenschutzrichtlinie unterstützen, die turnusmäßige Prüfläufe sämtlicher Dokumentationen und Prozesse und deren Optimierung vorsieht.
Sprechen Sie uns gerne an, sollten sich im Zusammenhang mit Ihren Verpflichtungen nach der DSGVO Fragen ergeben.