DSGVO – Organisatorischer und technischer Datenschutz – Teil 4

Ein Gastbeitrag zur DSGVO von:

Dr. Oliver Hornung, Rechtsanwalt für IT & Digital Business 

und Partner von SKW Schwarz Rechtsanwälte

Folgende Themen werden in dieser Beitragsserie behandelt

  1. Ziele und Grundsätze.
  2. Rechte der Betroffenen.
  3. Pflichten für Unternehmen.
  4. Internationale Datentransfers ins Ausland.
  5. Technischer und organisatorischer Datenschutz.
  6. Auftragsdatenverarbeitung.
  7. Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten.
  8. Neues europäisches Datenschutzrecht gilt auch für Website-Betreiber.
  9. Aufsichtsbehörden.
  10. Bußgelder und Sanktionen.
  11. Beschäftigtendatenschutz.
  12. Was ist für Unternehmen zu tun?

Die DSGVO stellt die Bedeutung des technischen und organisatorischen Datenschutzes deutlich heraus. Hierzu zählen die Regelungen zu Privacy by Design / Privacy by Default, zur Auftragsdatenverarbeitung, zu Meldungen bei Datenschutzverletzungen und zu den betrieblichen Datenschutzbeauftragten.

 

Privacy-by-Design und Privacy-by-Default

Die DSGVO verpflichtet den für die Verarbeitung Verantwortlichen dazu, bereits bei der Entwicklung von Produkten und Diensten datenschutzrechtliche Vorgaben für die Datenminimierung zu berücksichtigen (zum Beispiel Art und Umfang der erhobenen Daten, Pseudonymisierung und Anonymisierung, Zugriffsrechte und Speicherdauer). Ferner besteht die Verpflichtung, Standardeinstellungen so vorzunehmen, dass nur diejenigen Daten erhoben werden, die für den konkreten Zweck benötigt werden.

 

Meldungen von Datenschutzverletzungen

Verletzungen des Schutzes personenbezogener Daten müssen unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Aufsichtsbehörde gemeldet werden. Eine Ausnahme besteht dann, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen führt. Ein solches Risiko kann zum Beispiel durch eine geeignete Verschlüsselung ausgeschlossen werden, die zum Beispiel beim Verlust eines Datenträgers die Kenntnisnahme der Daten durch Dritte verhindert. Besteht aber die Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen bewirkt, muss der Verantwortliche auch die betroffene Person ohne unangemessene Verzögerung benachrichtigen. Eine Ausnahme gilt wiederum dann, wenn er durch geeignete technische und organisatorische Maßnahmen dafür Sorge getragen hat, dass eine Kenntnisnahme durch Dritte verhindert werden kann.