Neuregelungen im Datenschutz

Auftragsverarbeitung und weitere Änderungen

Auftragsverarbeitung

Ein anderes wichtiges Thema ist die Zusammenarbeit mit Dienstleistern, wenn sie personenbezogene Daten erhalten oder einsehen können. Das ist etwa der Fall, wenn ein externes Lohnbüro eingeschaltet wird oder wenn personenbezogene Daten in einem externen Rechenzentrum bzw. in einer Cloud gespeichert werden. Hier lag auch schon bisher eine Auftragsdatenverarbeitung vor, für die eine spezielle datenschutzrechtliche Vereinbarung geschlossen werden musste, in der die Pflichten zum Datenumgang definiert waren. Das bleibt im Prinzip so, allerdings ändern sich die Pflichtinhalte des Vertrags. Somit müssen nicht nur eventuell fehlende Verträge abgeschlossen, sondern auch bestehende Verträge angepasst werden, um hohe Bußgelder zu vermeiden. Weil dies mit Aufwand verbunden ist, sollten Sie umgehend mit den Vorbereitungen beginnen, denn zum Stichtag 25. Mai 2018 wird die EU-Verordnung vollständig in Kraft treten.

Weitere Änderungen

Daneben müssen etliche weitere Änderungen berücksichtigt werden, u.a.:

  • Wenn Betroffene ihre Rechte einfordern (z. B. Auskunft über ihre Daten), müssen diese Begehren innerhalb eines Monats beantwortet werden. Um dies sicherzustellen, sollten entsprechende Prozesse vorbereitet werden.
  • In Konzernen wird es zukünftig etwas leichter, personenbezogene Daten zwischen den Konzerngesellschaften auszutauschen, etwa bei Shared Service Centern für eine gemeinsame Entgeltabrechnung. Bei solchen internen Verwaltungszwecken kann von einem berechtigten Interesse für die Datenübermittlung ausgegangen werden. Zudem gibt es die Möglichkeit, eine gemeinsame datenschutzrechtliche Verantwortung zwischen zwei oder mehreren Unternehmen festzuschreiben.
  • Für Datenverarbeitungen, die ein besonderes datenschutzrechtliches Risiko darstellen, muss vorab eine Datenschutz-Folgenabschätzung durchgeführt und dokumentiert werden. Ihr Datenschutzbeauftragter kann Sie dabei unterstützen.
  • Kommt es zu einer Datenpanne (insbesondere weil Unbefugte Kenntnisse von personenbezogenen Daten erlangt haben, etwa nach einem Hackerangriff oder einem Fehlversand), greifen weitreichende Informationspflichten gegenüber der Behörde und den Betroffenen.

Praxistipp

Eine aktualisierte Mustervertragsanlage zur Auftragsdatenverarbeitung verschafft Ihnen einen Überblick, welche Anforderungen auf Auftraggeber und -nehmer zukommen.