Home

Rechtliche Verpflichtungen

Rechtliche Verpflichtung

MODUL-INHALTE

In diesem letzten Modul werden einige der neuen rechtlichen Verpflichtungen der für die Datenverarbeitung Verantwortlichen und der Auftragsverarbeiter, die durch die europäische Verordnung auferlegt werden, dargelegt.

PÄDAGOGISCHE ZIELE

  • Die wichtigsten rechtlichen Verpflichtungen kennen, die durch das GDPR auferlegt werden
  • Verstehen, dass die Verantwortung sowohl von den für die Verarbeitung Verantwortlichen als auch von den Auftragsverarbeitern getragen wird
  • Verständnis der Rolle des DPO, Datenschutzbeauftragter
  • Sich des hohen Sicherheitsniveaus bewusst werden, das im Hinblick auf den Datenschutz erwartet wird
  • Verstehen Sie, dass die Einhaltung der Vorschriften die Investition aller erfordert

Die europäische Verordnung erlegt neue Verpflichtungen auf, die erhebliche Auswirkungen auf alle Einrichtungen haben werden, die personenbezogene Daten zu verwalten haben: Unternehmen, Verbände, öffentliche Einrichtungen sowie deren Unterauftragnehmer.

Und das Prinzip des "Privacy by Design" ist eine dieser neuen Verpflichtungen. Denn mit dem GDPR muss jedes Projekt bereits in der Entwurfsphase den Datenschutz integrieren: Welche Daten müssen gesammelt werden, zu welchem Zweck, welche Informationen müssen an Kunden oder Interessenten übermittelt werden, muss deren Zustimmung eingeholt werden? Muss eine Datenschutzfolgenabschätzung durchgeführt werden? In Anbetracht der Gesamtheit der verarbeiteten Daten ist es unerlässlich, den DPO von Anfang an in das Projekt einzubeziehen.

Der DPO ist der Datenschutzbeauftragte. Er muss von den Unternehmen bestellt werden, sobald die Datenverarbeitung regelmäßig durchgeführt wird oder die betreffenden Daten sensibel sind.

Der DPO ist der primäre Ansprechpartner für die Kontrollstelle und stellt sicher, dass die Vorschriften eingehalten werden.

Zur Erfüllung seines Auftrags orchestriert er Aktivitäten zur Sensibilisierung, Beratung, Risikobewertung und Kontrolle der Mitarbeiter.

Der Datenschutzbeauftragte ist auch für die Überwachung des Registers der Verarbeitungsvorgänge - eine weitere neue Verpflichtung der europäischen Verordnung - für Unternehmen und ihre Unterauftragnehmer zuständig. In diesem Register müssen genaue Informationen über die im Unternehmen durchgeführten Verarbeitungen festgehalten werden: Kontaktdaten des für die Verarbeitung Verantwortlichen, Zweck, Empfänger der Daten, Aufbewahrungszeitraum, Hosting und mögliche Übertragungen usw.

Denn Unternehmen müssen nachweisen, dass sie die Vorschriften einhalten: das ist das Prinzip der Verantwortung oder "accountability".

Wie kann dies geschehen?

Durch die Annahme interner Vorschriften und geeigneter Maßnahmen, um sicherzustellen, dass jeder Verarbeitungsvorgang in Übereinstimmung mit der Europäischen Verordnung durchgeführt wird, und durch die Möglichkeit, dies der Kontrollbehörde nachzuweisen: Dokumentation, Prüfungen, Risikoanalysen usw.

Es muss alles getan werden, um die persönlichen Daten von Kunden und Mitarbeitern zu schützen! Dies ist ein weiterer sehr wichtiger Punkt der Verordnung: Sicherheit! Die Neuheit besteht darin, dass das Unternehmen im Falle einer Sicherheitslücke oder eines Sicherheitsbruchs 72 Stunden Zeit hat, um die zuständige Kontrollbehörde zu benachrichtigen und die betroffenen Personen im Falle eines hohen Risikos der Verletzung ihrer Privatsphäre zu informieren.

Da diese Frist sehr kurz ist, müssen die Unterauftragnehmer ihrerseits reaktiv sein und ihren Kunden so schnell wie möglich über jede Datenverletzung informieren! Die Datensicherheit wird daher mit der europäischen Verordnung eine Stufe höher gesetzt und muss in allen Abteilungen jeder Organisation sowie bei ihren Unterauftragnehmern gewährleistet werden.

Und dies ist nicht die einzige Neuerung für Subunternehmer, die ihre Kunden bei der Einhaltung der Vorschriften unterstützen und beraten müssen:

  • Transparenz und Rückverfolgbarkeit
  • Berücksichtigung der Datenschutzprinzipien bereits in der Entwurfsphase und standardmäßig
  • Hilfe, Aufmerksamkeit und Beratung

Und wie bei den für die Datenverarbeitung Verantwortlichen ist ihre Verantwortung engagiert und das Risiko von Sanktionen ist vorhanden.

Ein letzter Punkt: Grundsätzlich ist die Übermittlung von personenbezogenen Daten außerhalb des Gebiets der Europäischen Union verboten, es sei denn, das Land oder der Empfänger bietet ein angemessenes Schutzniveau. Um diesen neuen Verpflichtungen gerecht zu werden, ist also die Investition eines jeden erforderlich!

Der DPO ist hier, um Ihnen zu helfen!