Das neue Datenschutzrecht

Nun ist es bald soweit! Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft.

Das aus 99 Regelungen bestehende Artikelgesetz enthält Vorschriften „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“. Der Vorteil dieses „Regelungsmonsters“ ist, dass viele Begriffe legal definiert werden und somit zum Verständnis beitragen. Es empfiehl sich daher, dieses Gesetz in seiner ganzen Länge einmal zu lesen.

Gleichwohl bleiben genügend Fragen.

  1. Muss mein Betrieb beispielsweise einen Datenschutzbeauftragten benennen?

Hier gilt wie im bisherigen Recht grundsätzlich die sog. 10-Personen-Regel: Sind mindestens zehn Personen in dem Betrieb beschäftigt, muss ein Datenschutzbeauftragter bestellt werden.

Bei der Anzahl der Beschäftigten kommt es auf die Kopfzahl an. Neben Vollzeitkräften zählen hierzu auch Teilzeitkräfte, freie Mitarbeiter, Studenten und Praktikanten, die mit der Datenverarbeitung befasst sind. Natürlich zählt auch der Betriebsinhaber dazu. Ein Datenschutzbeauftragter kann intern durch einen Mitarbeiter, aber auch extern durch einen geeigneten Dienstleister bestellt werden.

Der Betriebsinhaber kann selbst kein  Datenschutzbeauftragter sein, da der Beauftragte für die Überwachung der Einhaltung dieser Verordnung zuständig ist und der Betriebsinhaber sich nicht selbst überwachen kann. Gleiches gilt für den Geschäftsführer eines als Kapitalgesellschaft geführten Betriebes.

Die Benennung eines Datenschutzbeauftragten ist unabhängig von der 10-Personen-Regel vorgeschrieben, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung von Gesundheitsdaten besteht. (Art. 37 i.V.m. Art 9 DSGVO). Neben Heilbetrieben können hier auch Spas oder andere Wellness orientierte Unternehmen, die Gesundheitsfragebögen von Gästen einfordern und speichern, betroffen sein.

2. Das neue Gesetz schreibt die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten vor.

Dies ist ein nicht zu unterschätzender und mühsamer Prozess, da es oft nicht so einfach ist, den Überblick darüber zu gewinnen, welche Prozesse des Datenschutzes es in dem Betrieb gibt.

Beispielsweise fallen darunter

  • Betriebssoftware
  • Buchhaltungssoftware (FiBU/Lohn)
  • Software zur Versendung und Verwaltung von E-Mails
  • Websites
  • Betriebsseiten in sozialen Netzwerken (z.B. Twitter, Facebook, Xing)
  • Elektronische Personalakten
  • aber auch Profanes wie Urlaubslisten.

Ein bestimmter Aufbau für dieses Verzeichnis ist nicht vorgeschrieben. Es kann schriftlich oder elektronisch, beispielsweise als Word-oder Exeldatei geführt werden.

Neben bestimmten Angaben, die für jede Verarbeitungstätigkeit vorgeschrieben sind, sind die Maßnahmen zur Datensicherheit herauszuheben. Maßnahmen der Datensicherheit sind nach der DSGVO zu definieren. Es führt oftmals kein Weg daran vorbei, hier einen IT-Fachmann hinzuzuziehen, wenn das nötige Know How nicht vorhanden ist.

Hier geht es beispielsweise um die Beantwortung der Fragen, wie funktioniert die Datensicherheit, wie sind die Zugriffsrechte auf Daten organisiert, haben ausschließlich Personen Zugriff, die die Daten bei ihrer täglichen Arbeit benötigen und nicht zuletzt, welche Maßnahmen gibt es zur Abwehr von Hackerangriffen und zum Virenschutz?

Abschließend kann man feststellen, dass die neue Datenschutz-Grundverordnung  für den Betriebsinhaber nicht nur einen enormen Arbeitsaufwand darstellt sondern auch eine positive Seite hat. Sie ermöglicht nämlich auch, seinen Betrieb „auf Herz und Nieren“ zu prüfen, soweit es die Datensicherheit betrifft und sich somit vor Schäden zu schützen.