Anbieter zum Thema

Dr. Bettina Enderle - Kanzlei für Umwelt- und Planungsrecht

FBDI Fachverband Bauelemente Distribution e.V.

Heitec AG

MES Electronic Connect GmbH & Co. KG

Precoplat Präzisions-Leiterplatten-Technik GmbH

Anforderung an Datenschutzbeauftragte

Die Pflicht der DSGVO zur Bestellung eines Datenschutzbeauftragten wird dagegen für deutsche Unternehmen kaum Auswirkungen haben, da das BDSG bereits jetzt die Bestellung eines Datenschutzbeauftragten vorsieht. Ab dem 25. Mai 2018 müssen Unternehmen einen Datenschutzbeauftragten bestellen, wenn sie in der Regel mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 BDSG 2018).

Unternehmen können aber auch freiwillig einen Datenschutzbeauftragten zur Unterstützung bei der Einhaltung ihrer datenschutzrechtlichen Pflichten bestellen. Die Anforderungen der DSGVO an die Bestellung, z.B. eines externen Datenschutzbeauftragten, und die Aufgaben und Stellung des Datenschutzbeauftragten entsprechen weitgehend jenen des Datenschutzbeauftragten nach BDSG. Eine Unterscheidung ergibt sich bei der nun festgelegten Überwachungspflicht des Datenschutzbeauftragten nach Art. 39 (1) b) DSGVO. Damit kommt dem Datenschutzbeauftragten nunmehr eine Kontrollfunktion zu, die er bislang als beratendes und unterstützendes Organ (nach § 4g (1) BDSG) nicht hatte. Dies kann sich auch auf die Haftung des Datenschutzbeauftragten auswirken.

Art. 32 DSGVO: Sicherheit der Verarbeitung

Die DSGVO legt insgesamt einen stärkeren Fokus auf das Thema technischer Datenschutz und IT-Sicherheit. In Abhängigkeit von Schutzbedarf und Risiken im Einzelfall müssen konkrete Sicherheitsmaßnahmen implementiert werden (Art. 32 DSGVO). Die erforderlichen technischen und organisatorischen Maßnahmen umfassen:

• Pseudonymisierung und Verschlüsselung von Daten,

• Maßnahmen zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der mit der Datenverarbeitung befassten Systeme und Dienste,

• Maßnahmen, die es ermöglichen, im Falle eines physischen oder technischen Zwischenfalls die personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen (über entsprechende Fallback/Backup/Reparaturstrategien),

• Maßnahmen, die sicherstellen, dass Daten nur auf Anweisung des Verantwortlichen verarbeitet werden, und

• das Aufsetzen eines Verfahrens, anhand dessen die Sicherheit der Datenverarbeitung regelmäßig überprüft, bewertet und evaluiert wird.

Meldepflichten und Datenschutz-Folgeabschätzung

Die Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen gegenüber der Behörde und der betroffenen Person sind umfassender als bisher.

Zur Datenschutz-Folgeabschätzung ist festzuhalten: stellt die Datenverarbeitung ein großes Risiko für persönliche Rechte und Freiheiten der betroffenen Personen dar – z.B. wenn besondere Kategorien von personenbezogenen Daten wie biometrische Daten, Gesundheitsdaten oder Daten, aus denen die religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen, umfassend verarbeitet werden – so ist eine Datenschutz-Folgeabschätzung durchzuführen, die etwa Eintrittswahrscheinlichkeit, Schwere und Ursachen möglicher Risiken bewertet (Art. 35 DSGVO). Die Prüfung geht über das hinaus, was nach BDSG derzeit als Vorabkontrolle vorgesehen ist. Sie muss eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und deren Zweck, eine Bewertung von deren Notwendigkeit und Verhältnismäßigkeit sowie der Risiken und der geplanten Abhilfemaßnahmen umfassen.

Zivilrechtliche Haftung, Risiko bei Datenverarbeitung steigt

Vorgesehen ist in der Verordnung nun auch eine Haftung für immaterielle Schäden, z.B. Persönlichkeitsrechtverletzungen durch Rufschädigung oder Identitätsdiebstahl (Art. 82 (1) DSGVO). Dadurch ändert sich der Prüfungsmaßstab in Prozessen vor den Zivilgerichten, was mit einem höheren Haftungsrisiko für datenverarbeitende Unternehmen einhergeht.

(ID:45080720)