Verantwortlichkeiten und Pflichten von Unternehmen:
Die Datenschutz-Grundverordnung (DSGVO) legt eine Vielzahl von Pflichten für Unternehmen fest, um den Schutz personenbezogener Daten zu gewährleisten. Diese Pflichten betreffen organisatorische und technische Maßnahmen, um die Sicherheit der Datenverarbeitung sicherzustellen und die Rechte der betroffenen Personen zu schützen. Hier sind die wesentlichen Pflichten im Detail beschrieben:
- Verzeichnis von Verarbeitungstätigkeiten führen (Artikel 30 DSGVO):
- Unternehmen müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis muss spezifische Informationen enthalten, darunter:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam Verantwortlichen, des Vertreters des Verantwortlichen und des Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder werden;
- gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der internationalen Organisation und, bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Übermittlungen, der Dokumentation geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
- Unternehmen müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis muss spezifische Informationen enthalten, darunter:
- Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25 DSGVO):
- Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass die Datenschutzgrundsätze, wie Datenminimierung und Zweckbindung, bereits bei der Entwicklung und dem Betrieb von Verarbeitungssystemen und -verfahren berücksichtigt werden.
- Diese Maßnahmen sollen sicherstellen, dass standardmäßig nur solche personenbezogenen Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Dies gilt für den Umfang der erhobenen Daten, den Umfang ihrer Verarbeitung, die Speicherdauer und ihre Zugänglichkeit.
- Sicherheitsmaßnahmen (Artikel 32 DSGVO):
- Unternehmen sind verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zu diesen Maßnahmen gehören unter anderem:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
- Unternehmen sind verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zu diesen Maßnahmen gehören unter anderem:
- Meldung von Datenschutzverletzungen (Artikel 33 und 34 DSGVO):
- Im Falle einer Datenschutzverletzung, die voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche die Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, darüber informieren, sofern nicht die Datenschutzverletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Mitteilung an die Aufsichtsbehörde muss mindestens folgende Informationen enthalten:
- die Art der Datenschutzverletzung, einschließlich, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- die wahrscheinlichen Folgen der Datenschutzverletzung;
- die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
- Wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche auch die betroffene Person unverzüglich über die Datenschutzverletzung informieren.
- Im Falle einer Datenschutzverletzung, die voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche die Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, darüber informieren, sofern nicht die Datenschutzverletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Mitteilung an die Aufsichtsbehörde muss mindestens folgende Informationen enthalten:
- Datenschutz-Folgenabschätzung (Artikel 35 DSGVO):
- Unternehmen müssen eine Datenschutz-Folgenabschätzung durchführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Datenschutz-Folgenabschätzung ist eine systematische Beschreibung der vorgesehenen Verarbeitungsvorgänge und der Zwecke der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, um den Schutz personenbezogener Daten zu gewährleisten und die Einhaltung dieser Verordnung nachzuweisen.
- Ernennung eines Datenschutzbeauftragten (Artikel 37-39 DSGVO):
- Bestimmte Unternehmen müssen einen Datenschutzbeauftragten (DSB) benennen, wenn:
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeit);
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung betroffener Personen in großem Umfang erforderlich machen;
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
- Der Datenschutzbeauftragte hat unter anderem die Aufgabe, den Verantwortlichen oder den Auftragsverarbeiter und die Beschäftigten, die Verarbeitungsvorgänge durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung zu unterrichten und zu beraten, die Einhaltung dieser Verordnung zu überwachen, Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung zu leisten und mit der Aufsichtsbehörde zusammenzuarbeiten.
- Bestimmte Unternehmen müssen einen Datenschutzbeauftragten (DSB) benennen, wenn:
Zusammenfassung:
Die DSGVO stellt klare Anforderungen an Unternehmen, um den Schutz personenbezogener Daten zu gewährleisten. Diese Pflichten umfassen die Führung eines Verzeichnisses der Verarbeitungstätigkeiten, die Implementierung von Datenschutzmaßnahmen durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, die Umsetzung angemessener Sicherheitsmaßnahmen, die Meldung von Datenschutzverletzungen, die Durchführung von Datenschutz-Folgenabschätzungen und gegebenenfalls die Ernennung eines Datenschutzbeauftragten. Die Einhaltung dieser Pflichten ist unerlässlich, um den Anforderungen der DSGVO gerecht zu werden und die Rechte und Freiheiten der betroffenen Personen zu schützen.