Datenschutzgrundverordnung: Welche Evaluations- & Dokumentationspflichten gibt es?

Veröffentlicht am 10 August 2017 | von Sebastian Pieper

0

Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, welche Compliance Anforderungen Unternehmen erfüllen müssen sowie welchen Evaluations- und Dokumentationspflichten sie unterliegen.

Zunächst ist festzuhalten, dass die Compliance-Anforderungen an Unternehmen nach der Datenschutzgrundverordnung stark ansteigen werden. Es ist erklärtes Ziel der Verordnung, dass Unternehmen mehr in die Pflicht genommen werden, relevante Datenverarbeitungsvorgänge vernünftig zu dokumentieren und ihre Organisation so auszugestalten, dass die Einhaltung des Datenschutzrechts sichergestellt wird. Eine umfassende Zusammenfassung aller Compliance-Anforderungen nach der Verordnung würde den Rahmen sprengen. Neben der Bestellung eines Datenschutzbeauftragten sind folgende Anforderungen besonders zu erwähnen:

  • Datenverarbeitungen im Auftrag müssen vertraglich geregelt werden. Entsprechende Verträge müssen insbesondere Aufsichts- und Weisungsrechte des Auftraggebers sowie die Maßnahmen zur Gewährleistung der Datensicherheit festlegen.
  • Verantwortliche und deren Auftragsdatenverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um gespeicherte Daten und deren Verarbeitungsvorgänge vor Verlust, unerlaubtem Zugriff und vergleichbaren Risiken zu schützen.
  • Verantwortliche müssen ein Verzeichnis der Verarbeitungstätigkeiten führen. Dies ähnelt dem bislang in Deutschland bekannten Verfahrensverzeichnis. Inhalt sind etwa Angaben zu den Zwecken der Datenverarbeitung, Kategorien von betroffenen Personen und verarbeiteten Daten, Angaben zu einer etwa beabsichtigten Offenlegung von Daten an Dritte und ggfs in Drittländer sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit. Unternehmen mit weniger als 250 Beschäftigten sind unter gewissen Voraussetzungen von dieser Pflicht ausgenommen.
  • Unternehmen müssen bei der Entwicklung ihrer Prozesse und Produkte dem Datenschutz durch „privacy by design“ Rechnung tragen und bei besonders kritischen Vorgängen ein „data protection impact assessment“ vornehmen.

Insgesamt ist die interne Organisation so aufzustellen, dass Datenschutzverstöße vermieden werden. Dazu gehören interne Audits und Code of Conducts. Lässt ein Unternehmen es diesbezüglich an der notwendigen Sorgfalt vermissen, wird dies insbesondere bei Datenschutzverstößen und der Frage, ob diese mit Strafen geahndet werden (und in welcher Höhe), relevant sein. Angesichts der hohen Strafandrohungen nach der Datenschutzgrundverordnung (bis zu 4 Prozent des Jahresumsatzes) ist das ein ganz wesentlicher Punkt.

Checkliste zur Datenschutzgrundverordnung zum kostenlosen Download

Dieser Beitrag ist ein Auszug aus der „Checkliste: 37 Fragen zu Datenschutzgrundverordnung“ von artegic und Bird&Bird. Die vollständige Checkliste finden Sie zum kostenlosen Download unter https://www.artegic.de/checkliste-datenschutzgrundverordnung

Checkliste: 37 Fragen zur Europäischen Datenschutzgrundverordnung

Checkliste: 37 Fragen zur Europäischen Datenschutzgrundverordnung

Übersicht
Datenschutzgrundverordnung: Welche Evaluations- & Dokumentationspflichten gibt es?
Artikel Name
Datenschutzgrundverordnung: Welche Evaluations- & Dokumentationspflichten gibt es?
Beschreibung
Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, welche Compliance Anforderungen Unternehmen erfüllen müssen sowie welchen Evaluations- und Dokumentationspflichten sie unterliegen.
Autor
artegic AG


Autor:


Die artegic AG unterstützt Unternehmen beim Aufbau von kundenzentriertem, digitalen, Best-In-Class Dialogmarketing. artegic hat über 10 Jahre Erfahrung im Bereich Marketing Engineering. Das Leistungsportfolio umfasst Beratung, IT-Integration und Technologie für Realtime Marketing Automation und Online CRM. artegic ist der führende deutsche Spezialanbieter von Standardsoftware für Realtime Marketing Automation mit E-Mail und Mobile sowie Betreiber einer der größten Software-as-a-Service Plattformen für digitales Marketing in Europa. Mit 65 Mitarbeitern an den deutschen Standorten Bonn und München sowie internationalen Repräsentanzen steht artegic für nachhaltig erfolgreiches Dialogmarketing mit signifikant besseren Ergebnissen und weniger operativem Aufwand. Kern der Lösungen von artegic ist die vielfach prämierte ELAINE Online Dialog CRM Suite für beeindruckendes digitales Cross-Channel Dialogmarketing in Echtzeit. 2015 wurde die Lösung von der Fachpresse zur besten europäischen Marketing Suite für kundenzentriertes Marketing gekürt. Über artegic Technologie stehen rund 82 Prozent der Deutschen Internetnutzer mit Unternehmen in Kontakt. Jeder dritte DAX Konzern sowie internationale Key-Player wie BMW, PAYBACK, RTL, BURDA, REWE, Web.de, und maxdome zählen zu den Kunden von artegic. Weltweit werden jeden Monat über artegic Technologie rund 2,7 Mrd. E-Mails, SMS und Social Media Messages in 141 Länder versandt. artegic ist vom TÜV Rheinland unternehmensweit nach dem internationalen Standard für IT- und Datensicherheit ISO/IEC 27001 zertifiziert. Das 2005 gegründete Fraunhofer Spin-Off wurde vielfach ausgezeichnet für Innovation und die richtungweisende Umsetzung datenschutzrechtlicher Anforderungen u.a. mit dem eco Internet Award, dem Cased Security Award und dem International Business Award (Stevie).



Nach Oben ↑