Die europäische Datenschutz-Grundverordnung

Ab dem 25. Mai 2018 gilt die Anwendbarkeit der neuen Datenschutz-Grundverordnung (DS-GVO). Im Großen und Ganzen sind die datenschutzrechtlichen Konzepte und Grundsätze angelehnt an die bisherige EU-Datenschutzrichtlinie (95/46/EG), deren Vorschriften in Deutschland mit dem Bundesdatenschutzgesetz (BDSG) umgesetzt wurden. Deutsche Unternehmen, die sich bei der Verarbeitung persönlicher Daten bislang an alle Vorgaben des BDSG gehalten haben, haben also keine außerordentlichen Änderungen zu erwarten. Trotzdem ist es notwendig, das Datenschutzmanagement an die Vorgaben der DS-GVO anzupassen und weiterzuentwickeln, um möglichen Bußgeldern zu entgehen.

Die technisch-organisatorischen Maßnahmen (TOM’s) werden mit der DS-GVO erneuert.
Die bekannten Pflichten aus §9 BDSG nebst Anlage behalten grundsätzlich ihre Gültigkeit, erfahren aber eine neue Struktur im Art. 32 Abs. 1 DS-GVO, der die Aspekte des Trennungsprinzips neu in den Fokus nimmt. Erwähnenswert ist die neu hinzutretende obligatorische Einführung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung: Hier ist der Auftragnehmer, d.h. wir als Ihr Dienstleister in der Aktenvernichtung, verpflichtet, die technischen und organisatorischen Maßnahmen kontinuierlich zu überprüfen hinsichtlich ihres ordnungsgemäßen Zustands.

Informationspflicht (Artl. 34 und 36 DS-GVO)

Als Auftragnehmer haben wir die Pflicht, Sie bei (Verdacht auf) Störungen der Prozessabläufe auf Datenschutzverletzungen zu informieren. Auch die von der Verletzung des Schutzes personenbezogener Daten betroffenen Personen müssen benachrichtigt werden.

Auftragskontrolle

Es sollte keine Verarbeitung im Sinne von Art. 28 DS-GVO erfolgen ohne eine entsprechende Weisung des Auftraggebers: z. B. eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht und Nachkontrollen. Wir laden unsere potentiellen Auftraggeber gerne zu einer Besichtigung bzw. Auditierung unserer Anlagen vor Ort ein.

Kontrollen und sonstige Pflichten (Artl. 38 und 39 DS-GVO)

Als Auftragnehmer verpflichten wir uns zur schriftlichen Bestellung eines Datenschutzbeauftragten,
der seine Tätigkeit gem. Artl. 38 und 39 ausüben kann. Bei Anfragen oder Kontrollmaßnahmen der Aufsichtsbehörde sind wir verpflichtet, Sie als Auftraggeber unverzüglich zu benachrichtigen. Soweit Sie einer Kontrolle durch die Aufsichtsbehörde ausgesetzt ist, werden wir Sie nach besten Kräften unterstützen. Als Auftragnehmer kontrollieren wir regelmäßig die internen Prozesse und die TOM’s. Wir stellen Ihnen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO und dem Vertrag niedergelegten Pflichten zur Verfügung.

Auftragsverarbeiter (Art. 28 DS-GVO)

Als Auftragsverarbeiter bieten wir Ihnen hinreichende Garantien dafür, dass geeignete TOM’s so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

Wir nehmen keinen weiteren Auftragsverarbeiter ohne vorherige, gesonderte oder allgemeine Genehmigung des Verantwortlichen in Anspruch. Wir verarbeiten die Daten nur auf dokumentierte Weisung des Verantwortlichen.

Datengeheimnis

Als Auftragnehmer verpflichten wir uns, das Datengeheimnis nach §5 BDSG zu beachten und unsere Mitarbeiter entsprechend schriftlich zu verpflichten. Ab dem 25.05.2018 gewährleisten wir, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Wir überwachen die Einhaltung der datenschutzrechtlichen Vorschriften durch die von uns eingesetzten Mitarbeiter.