- Datenschutzbeauftragter
- Verpflichtung der Mitarbeiter auf das Datengeheimnis
- Auftragsdatenverarbeitung
- Betroffenenrechte
- Meldepflicht
Jurist/in Datenschutz
DS-GVO Checkliste
Meldepflicht
Verletzungen des Schutzes personenbezogener Daten müssen unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Aufsichtsbehörde gemeldet werden. Eine Ausnahme besteht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen führt. Sämtliche in diesem Zusammenhang stehenden Umstände müssen dokumentiert werden.
Datenschutzfolgeabschätzung
Birgt die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten, muss der Verantwortliche bereits vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchführen. Dies ist insbesondere der Fall bei Profiling, der Verarbeitung besonders sensibler Daten und der umfangreichen Videoüberwachung öffentlich zugänglicher Bereiche.
Diese Folgenabschätzung muß gewisse Kriterien erfüllen, diese sind zu dokumentieren und bei einem hohen Risiko für die personenbezogenen Daten ist die Aufsichtsbehörde vorab zu konsultieren.
Zur Bewertung des Risikos können verschiedene Ansätze gewählt werden.
IT-Sicherheitsdokumentation
Die IT Dokumentation ist eine notwendige Maßnahme um der Rechenschaftspflicht bezüglich der ordnungsgemäßen Datenverarbeitung nachzukommen.
Datenschutzkonzept
Das Datenschutzkonzept ist im Gesetz nicht eindeutig beschrieben. Wir haben das SICODA Datenschutzkonezpt entwickelt. Unser Datenschutzkonzept besteht aus verschiedenen Teilprodukten. Wir haben die Anforderungen für Sie zusammengestellt.
Datenschutzbeauftragter
Die DS-GVO kennt einen Schwellenwert für die Bestellung eines Datenschutzbeauftragten nicht mehr. Nach der Datenschutz-GrundverordnungDS-GVO ist ein Datenschutzbeauftragter durch das ein Unternehmen zu bestellen, wenn die Kerntätigkeit des Unternehmens „in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen“, oder die Kerntätigkeit besonders sensible Daten betrifft, wie zum Beispiel Gesundheitsdaten.
- wenn 10 Personen automatisiert personenbezogene Daten verarbeiten
- bei geschäftsmäßiger Datenverarbeitung (Adresshandel, Markt- und Meinungsforschung)
- wenn eine Datenschutzfolgeabschätzung erforderlich wird
Verpflichtung auf das Datengeheinis
Festangestellte, freie Mitarbeiter und externe Partner müssen weiterhin auf den Datenschutz verpflichtet werden.
Arbeitnehmerinformation
Auch MitarbeiterInnen haben einen Recht auf Aufklärung zur Datenverarbeitung im Rahmen des Arbeitsverhältnisses. Die Datenverarbeitung im Arbeitsverhältnis ist in der Regel beschränkt auf gesetzlich vorgeschriebene Fäll oder sie sind zur Durchführung des Arbeitsverhältnisses erforderlich. Darüber hinausgehende Verarbeitungen sind in der Regel nicht zulässig oder bedürfen einer sehr nachhaltigen Rechtfertigung durch den Verantwortlichen (Arbeitgeber).