Die Datenschutzfolgenabschätzung ist neu und jetzt in Art. 35 DS-GVO geregelt. Sie dient dazu, bei Verarbeitungen personenbezogener Daten der Betroffenen hohe Risiken abzuschätzen und geeignete Schutzmaßnahmen zum Schutze der Grundrechte zu entwickeln. In Art. 35 DS-GVO finden sich ein paar Beispiele, in welchen Fällen eine Datenschutz-Folgenabschätzung erforderlich ist, wie bspw. bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art. 35 Abs. 3 b DSGVO) und einer umfangreichen Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 c DSGVO).
Die Aufsichtsbehörden werden in Art. 35 Abs. 4 S. 1 DSGVO jedoch verpflichtet, Listen von Verarbeitungsvorgängen (Positivliste) zu veröffentlichen, für die eine DSFA durchzuführen ist. Inzwischen haben auch erste Aufsichtsbehörden erste Positivlisten entwickelt https://datenschutz-hamburg.de/assets/pdf/DSFA%20Muss-Liste%20für%20den%20nicht-öffentlicher%20Bereich-HmbBfDI%20Version%201.0%20%28Entwurf%29.pdf
NEUER DATENSCHUTZ (DSGVO)AiB EXTRA August 2018 NEUER DATENSCHUTZ (DSGVO)
Der neue Beschäftigtendatenschutz - So können Betriebsräte im Datenschutzrecht die Weichen stellen. § 26 BDSG 2018 regelt ab sofort den Beschäftigtendatenschutz. Damit ist es jetzt für Interessenvertretungen das »Grundgesetz des Beschäftigtendatenschutzes«. Nun sind die Betriebsparteien gefordert: Sie müssen die Bestimmungen in konkrete Vereinbarungen überführen. in: AiB EXTRA August 2018 - Matthias Wilke und andere Autoren. Mehr unter:
In allen Unternehmen und Dienststellen kann es zu Datenschutzverletzungen kommen. Für derartige Datenschutzverstöße wird oftmals auch der Begriff der Datenpannen verwendet. Datenpannen beziehen sich auf die Verarbeitung von personenbezogenen Daten. Es können die Daten z.B. von den eigenen Beschäftigten, von Kunden, von Kindern oder Lieferanten sein. Diese personenbezogenen Daten nach Art. 4 Nr. 1 DS-GVO bedürfen bei der Datenverarbeitung des besonderen Schutzes. Im Falle von Datenschutzverstößen ist das jeweilige Unternehmen als Verantwortlicher nach Art. 33, 34 DS-GVO (siehe auch Erwägungsgründe 85, 86,87, 88) verpflichtet, ggf. bei einem hohen Risiko die betroffenen Personen und die zuständige Aufsichtsbehörde bei einem Risiko für natürliche Personen unverzüglich zu informieren. Hierfür muß das Unternehmen oder die Dienststelle geeignete organisatorische Vorkehrungen treffen. Insbesondere die Mitarbeiter müssen mit Hilfe einer Richtlinie zu Datenschutzverletzungen in Kenntnis gesetzt werden, wie sie auf eine „Datenpanne“ reagieren müssen. Von daher ist die Meldung an die zuständige Stelle im Unternehmen von großer Bedeutung, da ansonsten ein Bußgeld nach Art. 83 Abs. 4 S. 1 lit. a DS-GVO verhängt werden kann. Die Aufsichtsbehörden betonen auch gerne, dass die Unternehmen lieber eine Meldung zuviel als eine zuwenig abgegeben sollen. Unternehmen können auch aus dem Feedback der Aufsichtsbehörde für den Datenschutz lernen. Nachfolgend ein Muster zur Information der Mitarbeiter über eine unverzügliche Meldung nach Art. 33 DS-GVO.
Nach dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) gab es einen heftigen Streit darüber, ob der Betriebs- bzw. der Personalrat Verantwortlicher nach Art. 4 Nr. 7 DS-GVO ist. Inzwischen geht die herrschende Meinung in der Literatur und auch überwiegend in der Rechtsprechung davon aus, dass der Betriebsrat Teil der verantwortlichen Stelle (Arbeitgeber als Verantwortlicher) ist und dass der betriebliche Datenschutzbeauftragte den Betriebsrat nicht kontrollieren darf. Insofern bietet es sich an, in einer Rahmenbetriebsvereinbarung zu IT und Datenschutz einen Passus aufzunehmen und Näheres zur Datenverarbeitung des Betriebsrats und der Kommunikation mit dem Arbeitgeber über Datenschutz zu regeln. Der nachfolgende Regelungsvorschlag (Muster) ist immer auf die betriebliche Situation anzupassen. Viel hängt dabei auch davon ob, ob eine vertrauensvollen Zusammenarbeit zwischen Arbeitgeber und Interessenvertretung möglich ist.