A NACH B
38
März.2018
4 Irrtümer über Datenschutz
01
Der Datenschutzbeauftragte ist für alles verantwortlich. Schließlich haben wir ihn hierfür bestellt.
Es gilt das Gebot der Funktionstrennung.
A NACH B
März.2018
39
Die (weiterhin) allgemeinen Gebote im Datenschutz
03
Mit der DS-GVO ändert sich nun alles.
Zulässigkeit prüfen
Datensicherheit
Stimmt der Betroffene zu – und wird
Entsprechend dem (anzunehmenden)
vorher
Schutzbedarf
entsprechend
aufgeklärt?
der
personenbezoge-
Datenvermeidung/Datensparsamkeit in Verbindung mit Zweckbindung
Gibt es einen geschäftlichen Zweck,
nen Daten (mit Blick auf die Betrof-
Personenbezogene Daten und Informa-
Art. 39 DS-GVO stellt die Aufgaben des Datenschutzbe-
Diese Sorge kann entstehen – auch aufgrund der knapp
der wirklich Vorrang hat gegenüber
fenen) ist ein Sicherheitskonzept mit
tionen dürfen nur insofern von Ihnen
auftragten klar:
bemessenen Zeit zur Umsetzung sowie der Drohung
schutzwürdigen Interessen Betroffe-
geeigneten Sicherheitsmaßnahmen so
erfasst und verarbeitet werden, wie Sie
• Unterrichtung und Beratung der Geschäftsleitung
erheblich gestiegener Sanktionen.
ner, und gibt es kein milderes Mittel?
auszulegen, dass die Sicherheit u. a.
einen entsprechenden Zweck begrün-
• Überwachung (der Einhaltung der DS-GVO)
Aus Wahrnehmung der bisherigen Gesetzgebung in
Gibt es vertragliche oder gesetzliche
nach Stand der Technik angemessen
den und eine Erlaubnis nachweisen
• Beratung auf Anfrage
Deutschland (mit dem BDSG) sind die Unterschiede
Verpflichtungen?
gewährleistet ist. Für den Fall, dass Sie
können. Vermeiden Sie Datensamm-
• Zusammenarbeit mit der Aufsichtsbehörde
aber objektiv nicht sehr groß. Viele Prinzipien und auch
Wenn dies nicht der Fall ist, wird
Auftragsverarbeiter für Kunden sind,
lung über den notwendigen Umfang
Viele Dinge, die in der Praxis häufig als Holschuld des
Unterlagen können weiterverwendet werden; häu-
es „eng“, das Verfahren wirklich zu
werden diese Bedarf haben, dass Sie
hinaus auch aus Gründen der Ressour-
Datenschutzbeauftragten gesehen wurden, sieht die
fig bedarf es einer Migration in Form von geänderten
begründen. Dieser Umstand ist auch
Ihr
offenlegen.
cen. Die Kontrolle soll möglichst in die
Gesetzgebung als Bringpflicht der Chefetage bzw. der
Begriffen oder einiger Zusätze.
Sicherheitskonzept
intern klarzustellen, wo immer perso-
Wer als Auftragsverarbeiter sehr viele
Hand des Betroffenen selbst gelegt
von ihr zugewiesenen Rollen, die mit personenbezoge-
nenbezogene Daten in Erwägung gezo-
Kunden hat, ist gut beraten, sich über
werden. Dieses Gebot ist auch Anlass
nen Daten verantwortlich umgehen.
gen werden.
geeignete Zertifikate Gedanken zu
für die eingeführten Prinzipien (in Art.
machen.
25 DS-GVO):
02
Datenschutz ist nur lästig.
04
•Privacy-by-design (Datenschutz durch Technikgestaltung)
Ich muss immer die neueste Technik einsetzen.
•Privacy-by-default (datenschutzfreund-
Dokumentation, Rechenschaft
liche Voreinstellungen)
Das stimmt so pauschal nicht. Die DS-GVO erwähnt in
Sie es tun – bzw. was Grundlage Ihrer
Zunächst: Mag sein, dass das Kümmern um Datenschutz
Art. 32 den Begriff „Stand der Technik“. Das ist nach
Entscheidungen war/ist. Für die meisten
nicht ausdrücklich ein Spaßfaktor im Unternehmen ist.
herrschender Meinung ein milderer Begriff, der neben
Anliegen wird Ihr Datenschutzbeauftrag-
Zielgruppe ist der Betroffene, über den personenbezogene Daten erhoben, verarbeitet und genutzt werden
Doch Datenschutz schützt die Personen. Somit auch Ihre
Modernität auch die Bewährtheit im Praxiseinsatz ein-
ter die entsprechenden Formerforder-
Der Betroffene hat Interesse, dass er
Mitarbeiter, Ihre Geschäftspartner, Ihre Interessenten, Ihre
fließen lässt. Der Stand der Technik ist ein Umstand, der
nisse aus der Gesetzgebung kennen.
vor möglichem Missbrauch geschützt
Webseitenbesucher – und nicht zuletzt – Sie selbst.
neben weiteren Kriterien wie Implementierungskosten
Anregungen lassen sich – wie oft – auch
ist. Daher erwachsen dem Betroffe-
Wer Datenschutz ernst nimmt und gut präpariert ist, wird
und Risikobetrachtung zu berücksichtigen ist.
aus einschlägigen Adressen (BSI, IHK, …)
nen mit der Gesetzgebung zum Daten-
die Compliance zu datenschutzrechtlichen Regelungen als
im Internet beschaffen. Nutzen Sie dabei
schutz
Wettbewerbsfaktor in seinem Markt erleben.
nach Möglichkeit Ihr auch sonst genutz-
auf Auskunft, auf Änderung oder gar
tes Dokumentationswesen. Beachten
Löschung der Daten. Entsprechend
Sie dabei ein entsprechendes Berechti-
erwachsen Unternehmen Informati-
gungskonzept.
onspflichten, um mögliche Betroffene
Belegen Sie, was Sie tun und warum
unmittelbar
aufzuklären.
Rechte.
Recht