In unserem zweiten Teil zur DSGVO (Teil 2: Welche Folgen hat die DSGVO für kleine und mittlere Unternehmen?) haben wir die Folgen für KMUs in Deutschland sowie die Notwendigkeit einer neuen Datenschutzerklärung beleuchtet. Leider reicht eine solche Erklärung nicht, um sich juristisch vollständig abzusichern. Die europäischen Politiker haben die Verarbeitung personenbezogener Daten juristisch auf vollkommen neue Füße gestellt. Der Aufwand, die eigenen Prozesse im Sinne der DSGVO umzustellen, hängt stark davon ab, wie viele personenbezogene Daten das Unternehmen im Einzelfall bearbeitet und wie umfangreich bisher die Verarbeitung bereits dokumentiert wurde.
Jedes Unternehmen muss eine Übersicht von Verarbeitungstätigkeiten vorweisen, in denen alle Verarbeitungsprozesse zur Verarbeitung personenbezogener Daten aufgelistet sind.
Mit der neuen DGSVO wurden die Rechte von Betroffenen dahingehend gestärkt, dass Unternehmen im Rahmen des Rechts auf Auskunft verpflichtet sind, auf Anfrage personenbezogene Daten zur Verfügung stellen. Damit will der Gesetzgeber Transparenz schaffen. So können beispielsweise Bewerber oder auch Kunden auf Wunsch erfahren, warum und wie lange ihre Daten im Unternehmen verarbeitet werden. Zudem muss ein Unternehmen alle „automatisierten Verarbeitungen“ der zuständigen Aufsichtsbehörde (in Deutschland sind das die Datenschutzbeauftragten der Länder) melden. Diese gesetzliche Meldepflicht dürfte jedoch in den meisten Fällen entfallen, denn sie gilt nicht, wenn das Unternehmen einen betrieblichen Datenschutzbeauftragten bestellt hat. Nur, wenn es um Daten geht, die an Dritte übermittelt, oder für Markt- und Meinungsforschung genutzt werden, muss die Aufsichtsbehörde trotzdem informiert werden.
Informationen über die technische und organisatorische Dokumentation sind zwar ebenfalls zu dokumentieren, allerdings nur für den internen Gebrauch bestimmt und lediglich bei Prüfungen durch die Datenschutzbehörde vorzulegen.
Wer sich genauer über die Anforderungen und Eigenheiten des Verfahrensverzeichnisses informieren will, kann sich beispielsweise den Leitfaden des Bitkom ansehen. Hier werden alle Fragen bezüglich, Verantwortlichkeit, der korrekten Form oder den Voraussetzungen für die diesbezügliche Software erklärt und an Beispielen illustriert.
Lesen Sie im ersten Teil unserer Reihe, warum es die DSGVO überhaupt gibt.
