Sie sind hier: HomeSteuerungsebeneSafety & Security

Datenschutz: Dies gilt es bei der DSGVO zu beachten

Fortsetzung des Artikels von Teil 1.

Unternehmen in der Rechenschaftspflicht

4. Das „Recht auf Vergessenwerden“

Mit dem Inkrafttreten des neuen DSGVO sind die Unternehmen dazu verpflichtet, personenbezogene Daten zu löschen, wünscht es die betroffene Person. Für diese Vorgänge muss es entsprechende Datenverarbeitungsrichtlinien im Unternehmen geben.

5. Verzeichnis von Verarbeitungstätigkeiten

Eine wesentliche Änderung zu der bisherigen gesetzlichen Regelung ist, dass künftig eine sogenannte Rechenschaftspflicht seitens des Unternehmens besteht. Das heißt: Das Unternehmen muss bei der Datenverarbeitung begleitend Nachweise erstellen, dass die Verarbeitung im Einklang mit den DSGVO-Vorgaben steht. Außerdem muss jedes Unternehmen die Datenschutzziele wie Datenvermeidung, Transparenz der Verarbeitung und Zweckbindung nachweisbar verfolgen. Es genügt also nicht mehr die Datenschutz-Vorgaben zu erfüllen, sondern man muss dieses auch den Aufsichtsbehörden gegenüber nachweisen können. Auf Anfrage muss die Firma diese Verarbeitungstätigkeits-Verzeichnisse der Aufsichtsbehörde vorlegen.

Ein fehlender Nachweis kann laut SoftGuide schon zu einem Bußgeld führen - selbst dann, wenn die Verarbeitung rechtskonform erfolgt ist. Einige Sachverhalte sind noch nicht eindeutig geregelt. Etwa ist laut dem Bundesverband der Datenschutzbeauftragten unklar, wie Unternehmen mit den Einwilligungen von Kunden verfahren müssen, wenn sie für mehrere Zwecke personenbezogene Daten erheben möchten.

Zwar gibt es nach Artikel 30 Absatz 5 DS-GVO Ausnahmen was die Führung dieses Verzeichnisses angeht, diese sind allerdings so speziell gefasst, dass im Grunde alle Unternehmen (inklusive Kleinstgewerbetreibende, Arztpraxen, Apotheken, Bildungseinrichtungen und Vereine) ein solches Verzeichnis führen müssen. SoftGuide empfiehlt, diese Verzeichnisse für die unterschiedlichen Verarbeitungstätigkeiten einzeln zu erstellen etwa für das CRM-System, das HR-Informationssystem oder das Zeiterfassungssystem.