Vor gut einem Jahr, am 27. April 2016, wurde die Datenschutz-Grundverordnung (DSGVO) [1] veröffentlicht. In der Halbzeitpause der Vorbereitungen ist es nun an der Zeit, die bisher getroffenen Maßnahmen innerhalb eines Unternehmens noch einmal zu resümieren und die notwendigen Schritte der kommenden zwölf Monate zu planen. Es geht um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Dazu gehören Kundendaten, Mitarbeiterdaten, Sitzungsdaten von Webseitenbesuchern und vieles mehr. Ausgenommen von der Verordnung sind beispielsweise persönliche oder familiäre Tätigkeiten. Die Pflege der eigenen Kontaktdatenbank im Smartphone fällt also nicht darunter. Wer jedoch für den Betrieb von Infrastruktur und Diensten verantwortlich ist, die eine private Nutzung ermöglichen, das können soziale Netzwerke oder Anbieter von Online-Adressbüchern sein, für den gilt die Verordnung.
Die "Benennung eines Datenschutzbeauftragten" regelt Artikel 37 der Verordnung. Datenschutzbeauftragte müssen laut Verordnung von Behörden oder öffentlichen Stellen ebenso benannt werden wie von Unternehmen, deren Kerntätigkeit die Durchführung von Verarbeitungsvorgängen unter bestimmten Umständen ist oder wenn besonders geschützte Datenkategorien wie ethnische Herkunft, Gewerkschaftszugehörigkeit, Gesundheitsdaten oder strafrechtliche Verurteilungen verarbeitet werden. Auch die Anforderungen an die Datenschutzbeauftragten sowie deren Tätigkeiten sind in Artikel 39 "Aufgaben des Datenschutzbeauftragten" beschrieben.
Vor einer möglichen Datenverarbeitung hat die Verordnung allerdings noch die Einwilligung durch die betroffene Person verankert. Dabei wird auch klargestellt, dass eine schriftliche oder digitale Einwilligung erfolgen kann. Wichtig ist dabei aber eine von der Person ausgehende eindeutige Handlung zur Einwilligung.
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.