Birgt die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten, muss der Verantwortliche bereits vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchführen. Dies ist insbesondere der Fall bei Profiling, der Verarbeitung besonders sensibler Daten und der umfangreichen Videoüberwachung öffentlich zugänglicher Bereiche.

Diese Folgenabschätzung muß gewisse Kriterien erfüllen, diese sind zu dokumentieren und bei einem hohen Risiko für die personenbezogenen Daten ist die Aufsichtsbehörde vorab zu konsultieren.

Zur Bewertung des Risikos können verschiedene Ansätze gewählt werden.

Die IT Dokumentation ist eine notwendige Maßnahme um der Rechenschaftspflicht bezüglich der ordnungsgemäßen Datenverarbeitung nachzukommen.

Das Datenschutzkonzept ist im Gesetz nicht eindeutig beschrieben. Wir haben das SICODA Datenschutzkonezpt entwickelt. Unser Datenschutzkonzept besteht aus verschiedenen Teilprodukten. Wir haben die Anforderungen für Sie zusammengestellt.

Die DS-GVO kennt einen Schwellenwert für die Bestellung eines Datenschutzbeauftragten nicht mehr. Nach der Datenschutz-GrundverordnungDS-GVO ist ein Datenschutzbeauftragter durch das ein Unternehmen zu bestellen, wenn die Kerntätigkeit des Unternehmens „in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen“, oder die Kerntätigkeit besonders sensible Daten betrifft, wie zum Beispiel Gesundheitsdaten.

• wenn 10 Personen automatisiert personenbezogene Daten verarbeiten
• bei geschäftsmäßiger Datenverarbeitung (Adresshandel, Markt- und Meinungsforschung)
• wenn eine Datenschutzfolgeabschätzung erforderlich wird

Festangestellte, freie Mitarbeiter und externe Partner müssen weiterhin auf den Datenschutz verpflichtet werden.

Auch MitarbeiterInnen haben einen Recht auf Aufklärung zur Datenverarbeitung im Rahmen des Arbeitsverhältnisses. Die Datenverarbeitung im Arbeitsverhältnis ist in der Regel beschränkt auf gesetzlich vorgeschriebene Fäll oder sie sind zur Durchführung des Arbeitsverhältnisses erforderlich. Darüber hinausgehende Verarbeitungen sind in der Regel nicht zulässig oder bedürfen einer sehr nachhaltigen Rechtfertigung durch den Verantwortlichen (Arbeitgeber).