Fragestellung:Welche neuen Pflichten gibt es für Veranwortliche und Auftragsverarbeiter?
Letze Änderung am 12. 1. 2018 von Admin.
ID: 451
| Fragestellung | Name der Fragestellung
|
Welche neuen Pflichten gibt es für Veranwortliche und Auftragsverarbeiter? |
| Status | Status der Fragestellung: offen - in Bearbeitung - teilweise beantwortet - abschließend beantwortet
|
3 - teilweise beantwortet |
| Fragetext | Detailbeschreibung der Fragestellung
|
Welche neuen Pflichten gibt es für Verantwortliche und Auftragsverarbeiter? |
| Antwort | Beantwortung der Fragestellung
|
Im Folgenden erhalten Sie einen kurzen Überblick über die wesentlichsten Pflichten, welche auf die Verantwortlichen bzw. auf die Auftragsverarbeiter im Zuge der DSGVO zukommen werden:
Verantwortliche müssen schriftlich ein Verzeichnis aller Verarbeitungstätigkeiten (= Datenanwendungen), die ihrer Zuständigkeit unterliegen, führen. Dieses Verzeichnis hat jedenfalls zu enthalten: seinen Namen und seine Kontaktdaten, Daten eines mit ihm gemeinsamen Verantwortlichen (falls vorhanden), Daten seines Vertreters (falls vorhanden), Daten des Datenschutzbeauftragten falls vorhanden), die Zwecke der Verarbeitung, die Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (= betroffene Personenkreise und Datenarten), Kategorien von Empfängern (einschließlich Empfänger in Drittländern oder internationalen Organisationen); wenn möglich: Löschungsfristen, Beschreibung technischer und organisatorischer Maßnahmen. Auch Auftragsverarbeiter müssen schriftlich ein Verzeichnis aller Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten führen. Der Verantwortliche, sein Auftragsverarbeiter oder gegebenenfalls deren Vertreter haben der Datenschutzbehörde auf deren Anfrage das Verzeichnis zur Verfügung zu stellen. Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, trifft die Pflicht zur Führung eines Verzeichnisses nicht, außer eine Verarbeitung birgt ein Risiko für Rechte und Freiheiten der Betroffenen oder sie erfolgt nicht nur gelegentlich oder umfasst Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung (Art. 9 Abs. 1) oder Daten über strafrechtliche Verurteilungen bzw. über Straftaten (Art. 10). Zur Information: Da die Erstellung und Führung eines Verzeichnisses nach Art. 30 DSGVO ausschließliche Verantwortung von Verantwortlichen/Auftragsverarbeitern ist, bleibt es nach Ansicht der Datenschutzbehörde auch diesen überlassen, wie sie ihr Verzeichnis inhaltlich gestalten wollen. Seitens der Datenschutzbehörde wird es dazu keine Vorgaben/kein Muster geben. DVR-Meldungen können als Vorlage für ein Verzeichnis herangezogen werden, zwingend ist dies jedoch nicht. Seit August 2017 wird im DVR-ONLINE-Meldebereich eines jeden Auftraggebers eine Schnittstelle zur Verfügung gestellt, sodass bestehende DVR-Meldungen exportiert und in ein Verzeichnis nach Art. 30 DSGVO übertragen werden können.
Der Verantwortliche und der Auftragsverarbeiter, gegebenenfalls deren Vertreter, haben mit der Datenschutzbehörde auf deren Anfrage zusammenzuarbeiten. *Sicherheit der Verarbeitung (Art. 32) Der Verantwortliche und sein Auftragsverarbeiter müssen durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau gewährleisten, dies kann u.a. nachgewiesen werden durch genehmigte Verhaltensregeln (Art. 40) oder aufgrund genehmigter Zertifizierungsverfahrens (Art. 42). *Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33) Ein Verantwortlicher hat eine Meldung im Falle einer Verletzung des Schutzes personenbezogener Daten an die Datenschutzbehörde zu erstatten, wenn dadurch ein Risiko für die Rechte und Freiheiten der Betroffenen besteht; dies unverzüglich und möglichst binnen 72 Stunden nachdem ihm die Verletzung bekannt wurde. Darüber hinaus sind die notwendigen Informationen (Beschreibung der Verletzung, Anzahl der Betroffenen bzw. der Datensätze, Maßnahmen, wahrscheinliche Folgen, Dokumentation etc.) der Datenschutzbehörde zu übermitteln. *Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 34) Ein Verantwortlicher hat Betroffene über die von ihm verursachten Datenschutzverletzungen zu benachrichtigen, wenn ein hohes Risiko für Rechte und Freiheiten der Betroffenen besteht; dies ohne ungebührliche Verzögerung (Ausnahmen sind hier möglich). *Datenschutz-Folgenabschätzung (Art. 35) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich: • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 oder • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Die Datenschutzbehörde hat eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung jedenfalls durchzuführen ist. Sie wird eine Liste der Verarbeitungsvorgänge, bei denen keine Datenschutz-Folgenabschätzung durchzuführen ist, veröffentlichen. Auch Rechtsvorschriften können eine verpflichtende Datenschutz-Folgenabschätzung vorsehen. Die Datenschutz-Folgenabschätzung hat zumindest zu enthalten: • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Datenschutz-Folgenabschätzung vorgenommen werden. Hinweis: • In der Leitlinie der Art. 29-Gruppe zur Datenschutz-Folgenabschätzung (siehe dazu oben Kapitel IV) werden neun Kriterien angeführt, die für die Durchführung einer Datenschutz-Folgenabschätzung ausschlaggebend sein können. • In der genannten Leitlinie finden sich Hinweise auf bereits etablierte Verfahren für Datenschutz-Folgenabschätzungen. • Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist grundsätzlich keine Datenschutz-Folgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist (das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1. September 2012), kommt dies hingegen nicht in Betracht. Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen des Art. 35 Abs. 1 DSGVO zutreffen. Generell wird empfohlen, bereits existierende Datenverarbeitungsvorgänge einer regelmäßigen Evaluierung zu unterziehen, ob sich Voraussetzungen geändert haben. Bejahendenfalls wäre - bei Vorliegen aller Voraussetzungen - eine Datenschutz-Folgenabschätzung durchzuführen. Überdies wird empfohlen, auch zu dokumentieren, aus welchen Gründen keine Datenschutz-Folgenabschätzung durchgeführt wurde. *Vorherige Konsultation (Art. 36) Der Verantwortliche hat vor Beginn der Verarbeitung die Datenschutzbehörde zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung gemäß Art. 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Sollte die Datenschutzbehörde zur Auffassung gelangen, dass die geplante Verarbeitung nicht im Einklang mit der DSGVO stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen (und gegebenenfalls dem Auftragsverarbeiter) entsprechende schriftliche Empfehlungen und kann ihre in Art. 58 genannten Befugnisse ausüben. Der Verantwortliche hat der Datenschutzbehörde im Rahmen einer Konsultation folgende Informationen zur Verfügung zu stellen: • gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen; • die Zwecke und die Mittel der beabsichtigten Verarbeitung; • die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß der DSGVO vorgesehenen Maßnahmen und Garantien; • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; • die Datenschutz-Folgenabschätzung gemäß Art. 35 und • alle sonstigen von der Aufsichtsbehörde angeforderten Informationen. Darüber hinaus können Verantwortliche durch Rechtsvorschriften verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen. *Benennung eines Datenschutzbeauftragten (Art. 37) Der Verantwortliche und der Auftragsverarbeiter haben einen Datenschutzbeauftragten zu benennen, wenn: • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht. Andere Verantwortliche oder Auftragsverarbeiter können einen Datenschutzbeauftragten auf freiwilliger Basis bestellen. Eine Gruppe von Unternehmen bzw. öffentliche Einrichtungen können einen gemeinsamen Datenschutzbeauftragten benennen. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Datenschutzbehörde mitzuteilen. |
| Thema | Übergeordnetes Thema der Fragestellung
|
Wesentliche Pflichten |
| Stichwort | Stichworte zur Fragestellung
|
Pflichten, Verantwortliche, Auftragsverarbeiter |
| Beantwortet durch | Institution oder Benutzer, der die Fragestellung beantwortet hat.
|
Datenschutzbehörde |
| Quelle | Quelle der Antwort, z. B: ein Dokument
|
Datei:DSGVO-Leitfaden.pdf |
| Paragraph | Paragraph der VRV 2015, den die Fragestellung betrifft.
|
DSGVO:Artikel 30. Verzeichnis von Verarbeitungstätigkeiten, DSGVO:Artikel 31. Zusammenarbeit mit der Aufsichtsbehörde, DSGVO:Artikel 32. Sicherheit der Verarbeitung, DSGVO:Artikel 33. Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, DSGVO:Artikel 34. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, DSGVO:Artikel 35. Datenschutz-Folgenabschätzung, DSGVO:Artikel 36. Vorherige Konsultation, DSGVO:Artikel 37. Benennung eines Datenschutzbeauftragten |
| Verweis | Verweise zu weiteren, ähnlichen Fragestellungen
|
|
| Aufgabe für | BenutzerInnen können Aufgaben zugewiesen werden, die in der Liste auf ihrer Benutzerseite angezeigt werden.
|
Diskussion
Collaboration Extension Warnung
- Sie dürfen aktuell keine Kommentare eingeben. Bitte melden sich sich an.
Weitere Informationen
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (siehe Art. 4 DSGVO).
eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung (siehe Art. 4 DSGVO)
eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt (siehe Art. 4 DSGVO)
die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden (siehe Art. 4 DSGVO)
eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (siehe Art. 4 DSGVO)
jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen (siehe Art. 4 DSGVO)
