Am 25. Mai 2018 tritt die neue EU-DSGVO in Kraft. Ab diesem Datum müssen alle Datenanwendungen im Unternehmen einwandfrei in einem sogenannten „Verzeichnis der Verarbeitungstätigkeiten“ erfasst sein und den behördlichen Anforderungen entsprechen.

Durch das neue EU-Recht werden das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), abgelöst.

Alle Unternehmen, die in irgendeiner Form personenbezogene Daten erfassen oder verarbeiten, sind von dieser EU-Verordnung betroffen. Dies gilt sowohl für Kunden- als auch für Mitarbeiter-Daten.

Kurz gesagt ist nahezu jedes Unternehmen dazu verpflichtet!

Wer die getroffenen Regeln verletzt, muss mit heftigen Sanktionen rechnen. Die Aufsichtsbehörden können Bußgelder von bis zu 20 Mio. verhängen. Gegen Unternehmen sind aber noch deutlich höhere Geldbußen möglich. Hier können die Aufsichtsbehörden Bußgelder von bis zu 4% des weltweiten Umsatzes des Vorjahrs verhängen. Je nachdem welcher Betrag höher ist.

Wesentliche Neuerungen in der EU-DSGVO

Recht auf Datenübertragung
Mit der neuen EU-Verordnung müssen Unternehmen ferner in der Lage sein, die von dem Betroffenen überlassenen Daten in einem portablen und dennoch sicheren Format an diesen oder – auf dessen Wunsch – direkt an einen Dritten auszuhändigen.
Die Einwilligungshandlung muss strengeren Vorgaben genügen (z. B. durch Kontrollkästchen auf Webseiten, Auswahl spezifischer Einstellungen usw.). Das stillschweigende Einverständnis genügt nicht mehr aus. Sind unterschiedliche Datenverarbeitungsvorgänge geplant, muss in jeden einzelnen gesondert eingewilligt werden.
Die erteilte Einwilligung muss der Betroffene jederzeit und unbegründet widerrufen können. Der Widerruf muss einfach und verständlich sein.
Recht auf Vergessen werden
Der Betroffene hat das Recht, seine personenbezogenen Daten unter gewissen Voraussetzungen innerhalb bestimmter Fristen löschen zu lassen.
Nachweispflicht
Der Verarbeitende hat nicht nur die Pflicht, die Datenverarbeitung datenschutzrechtskonform durchzuführen, sondern muss die Einhaltung im Bedarfsfall auch nachweisen können.
Zweckbindungsgrundsatz
Personenbezogene Daten darf man, abgesehen von einigen Ausnahmen, nur zu dem Zwecke verarbeiten, zu dem sie erhoben wurden.
Datenschutzverstöße
Die Meldepflicht im Falle einer Datenpanne wurde beschränkt auf einen Zeitraum von 72 Stunden
Das altbekannte Verfahrensverzeichnis
Das Verzeichnis von Verarbeitungstätigkeiten nach der EU-DSGVO ist im Grundsatz nichts anderes, als das bereits bekannte Verfahrensverzeichnis. Es handelt sich dabei um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Das Verzeichnis von Verarbeitungstätigkeiten löst das alte Verfahrensverzeichnis ab, bringt allerdings auch einige Änderungen mit sich.

Verzeichnis der Verarbeitungstätigkeiten

Eigentlich ist die Pflicht, ein Verzeichnis über alle relevanten Verarbeitungstätigkeiten führen zu müssen, nicht neu. Allerdings erhielt man bei einem Verstoß bisher keine direkten Bußgelder. Mit Einführung der Datenschutz-Grundverordnung müssen die Verantwortlichen nun die Verzeichnisse von Verarbeitungstätigkeiten jederzeit und vollständig für die Aufsichtsbehörden vorhalten können.

Was sollte das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 EU-DSGVO beinhalten?

Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter)
Zwecke der Verarbeitung
Kategorien von betroffenen Personen und personenbezogenen Daten.
Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (auch in Drittländern)
Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation
Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Im nächsten Teil zeigen wir Ihnen, wie ein Dokumentenmanagementsystem Sie bei der Umsetzung der DSGVO unterstützt!