Wer keine per SSL-Zertifikat verschlüsselte Verbindung zur Webseite hat, ist extrem gefährdet und muss mit Klagen und Abmahnungen rechnen. Ein grünes Schlosssymbol sowie das “https://..” in der Adresszeile bedeuten, dass Ihre Website Daten gesichert überträgt.

Es wird keine Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) mehr geben.

Stattdessen stärkere Verantwortung für Zuständige (derzeit „Auftraggeber“) und Auftragsverarbeiter (derzeit „Dienstleister“) und weitreichende Neuregelung der Pflichten bei der Datenverarbeitung.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („privacy by design/privacy by default“): Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Verordnung genügt und die Rechte der betroffenen Personen geschützt werden. Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Verantwortliche und Auftragsverarbeiter müssen ein „Verzeichnis von Verarbeitungstätigkeiten“ führen: Der Inhalt ist ähnlich den derzeitigen DVR-Meldungen und hat insbesondere die eigenen Kontaktdaten, die Zwecke der Verarbeitung, eine Beschreibung der Datenkategorien und der Kategorien von betroffenen Personen, die Empfängerkategorien, gegebenenfalls Übermittlungen von Daten in Drittländer, wenn möglich die vorgesehenen Löschungsfristen und eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen zu enthalten.

Die Pflicht zur Führung dieses Verzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeitern nur dann nicht, wenn die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten
der betroffenen Personen birgt, die Verarbeitung nur gelegentlich erfolgt und keine Verarbeitung besonderer Datenkategorien bzw. keine Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten umfasst.

(Leider fällt fasst jedes Unternehmen darunter, da bereits ein Kundenverzeichnis in Excel als Datenverarbeitung gilt, die nicht nur gelegentlich erfolgt)

Verletzungen des Schutzes personenbezogener Daten sind sowohl den nationalen Aufsichtsbehörden (ohne unangemessene Verzögerung – möglichst binnen höchstens 72 Stunden nach dem Entdecken; außer die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten) als auch der betroffenen Person (ohne unangemessene Verzögerung, wenn die Wahrscheinlichkeit besteht, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen
Rechte und Freiheiten bewirkt) zu melden.

Pflicht zur Datenschutz-Folgenabschätzung bei Verarbeitungsvorgängen, die (insbesondere bei Verwendung neuer Technologien) aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

Vorherige Konsultation der Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen (Verantwortliche und Auftragsverarbeiter), wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit in der umfangreichen Vearbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen/Straftaten besteht.

a) Informationen und Betroffenenrechte sind ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats zu erledigen (diese Frist kann um höchstens weitere 2 Monate verlängert werden)
b) Auskunftsrecht (ua auch über geplante Speicherdauer)
c) Recht auf Berichtigung
d) Recht auf Löschung und auf „Vergessenwerden“
e) Recht auf Einschränkung der Verarbeitung
f) Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung an alle Empfänger
g) Recht auf Datenübertragbarkeit
h) Widerspruchsrecht
i) Regelungen betreffend automatisierte Generierung von Einzelentscheidungen einschließlich profiling
j) Befugnisse und Aufgaben der Aufsichtsbehörden werden erweitert, insbesondere auch Verhängung von hohen Geldstrafen

Gibt es eine Grundlage für die Datenverarbeitung (z.B. Vertrag, Einwilligung, Gesetz, …)?

Wurden die Informationspflichten gegenüber der betroffenen Person erfüllt?

Wurden die Grundsätze der Verarbeitung eingehalten (Speicherbegrenzung, Datenminimierung, …)?

Sind Datensicherheitsmaßnahmen angepasst und auf dem aktuellen Stand? Werden Daten regelmäßig gesichert?

Können Sie rechtzeitig auf Anfragen von Kunden, Mitarbeitern, u. A. reagieren?

Haben Sie ein Protokoll Ihrer Datenverarbeitungsvorgänge erstellt? Wurden Risiken eingeschätzt?

Werden Daten weitergegeben? Gibt es dafür eine Grundlage? Ziehen Sie Auftragsverarbeiter heran? Haben Sie dafür einen schriftlichen Vertrag?

Werden die Daten wieder gelöscht, sobald sie nicht mehr erforderlich sind?

Werden Daten gelöscht, wenn ein Antrag darauf gestellt wird?

Wurde allen Datenempfängern mitgeteilt, dass eine Löschung/Richtigstellung durchgeführt wurde?