Die Pflichten der verantwortlichen Stelle gegenüber den Betroffenen
Die Pflichten der verantwortlichen Stelle gegenüber der Aufsichtsbehörde
Die Pflichten der verantwortlichen Stelle
Jedes Unternehmen, das mit personenbezogenen Daten arbeitet, muss sicherstellen, dass die Grundsätze für die Verarbeitung personenbezogener Daten (Artikel 5, Absatz 1 DSGVO) eingehalten werden:
Aus diesen Grundsätzen ergeben sich zahlreiche konkrete Pflichten:
Pflichten gegenüber den Betroffenen
"Transparenz" -> Informationspflicht. Betroffene müssen schon bei der Erhebung der personenbezogenen Daten deutlich erkennbar und leicht verständlich darüber informiert werden, welche Daten zu welchem Zweck, auf welcher Rechtsgrundlage erhoben werden sollen. Sie müssen auf ihre Rechte hingewiesen werden und ggf. Ansprechpartner erfahren. Auch nach der Erhebung müssen sie auf Anfrage jederzeit ausführliche Auskunft über den Umgang mit ihren Daten erhalten. Das bedeutet für Ihre Arbeit: Sollten Sie ein Auskunftsersuchen erhalten (egal in welcher Form), müssen Sie es sofort an die dafür zuständige Person weiterleiten!
"Datenminimierung" / "Zweckbindung" / "Speicherbegrenzung"→ Daten dürfen nur für den festgelegten Zweck erhoben und verarbeitet werden. Danach müssen sie gelöscht werden. Wenn andere Gesetze dagegen eine Aufbewahrungspflicht verordnen, müssen Löschkonzepte erstellt werden.
"Richtigkeit"→ Aktualisierungen: Der Datenbestand muss immer kontrolliert und aktualisiert werden.
"Integrität und Vertraulichkeit" → Personenbezogene Daten müssen mit Hilfe von technisch-organisatorischen Maßnahmen(TOM) angemessen gesichert werden.
Pflichten gegenüber den Aufsichtsbehörden
Jedes Unternehmen, das Umgang mit personenbezogenen Daten hat, muss auf Anfrage mit der Aufsichtsbehörde kooperieren. Es muss nachweisen können, dass alle Anforderungen der DSGVO erfüllt wurden.
Datenschutzverletzungen müssen in der Regel sofort (spätestens in 72 Stunden) der Behörde gemeldet werden. Für solche Fälle müssen Zuständigkeiten geregelt und Dokumentationen erstellt werden.
Daraus resultiert für die Praxis:
Für alle geplanten Verfahren müssen Risiko-Bewertungen vorgenommen werden.
Wenn besonders sensible Daten ins Spiel kommen, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.
Es müssen technisch-organisatorische Maßnahmen (TOM) entwickelt werden.
Schon bei der Planung von Soft- und Hardware müssen Datenschutz und Datensicherheit berücksichtigt werden. Es müssen datenschutzfreundliche Voreinstellungen vorgenommen werden. ("Privacy by Design & Privacy by Default")
Alle Prozesse müssen immer wieder überprüft und angepasst werden.
Grundsätzlich gilt (Artikel 5, Absatz 2 DSGVO):
Der Verantwortliche muss sicherstellen und den Nachweis erbringen können, dass die Erhebung und Verarbeitung der personenbezogenen Daten entsprechend der DSGVO erfolgt. („Rechenschaftspflicht“).