Datenschutz-Grundverordnung

Der Begriff Datenschutz-Grundverordnung ist inzwischen fast allgemein bekannt. Es handelt sich um eine Verordnung der Europäischen Union (Verordnung EU 2016/679) zum Datenschutzrecht. Die abgekürzt DSGVO (auch: DS-GVO) genannte Verordnung ist ein Gesetz, das für alle Mitgliedsstaaten unmittelbar anwendbares Recht darstellt. Aus deutscher Sicht ist sie also genauso verbindlich wie ein deutsches Bundesgesetz.

Die DSGVO am 25.5.2018 in Kraft getretene Verordnung wendet sich nicht nur an die Mitgliedsstaaten, sondern verpflichtet alle Behörden und Unternehmen, ihre Regeln zum Datenschutz einzuhalten. Es sind viele Regeln und sie haben verschiedene Zielrichtungen, die ich wie folgt zusammenfasse:

– Organisation des eigenen Datenschutzes, also Datenschutzmanagement (IT-Sicherheit, Zuweisung von internen und externen Zuständigkeiten (Rollenkonzept), Aufbewahrungs- und Löschkonzept, Verwendung sicherer IT-Hardware und Software, Einhaltung gesetzlicher und behördlicher Vorgaben zum Datenschutz);

– Transparenz des eigenen Datenschutzes (Verwendung aktueller und korrekter Datenschutz-Informationen für Mitarbeiter, Kunden und sonstige Dritte sowohl online wie offline, Verknüpfung mit dem Dokumenten- und Vertragsmanagement);

– Rechenschaftspflicht (aktuelle und vollständige Dokumentation des Datenschutzes, inklusive der technischen und organisatorischen Maßnahmen (TOM) nach Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 DSGVO sowie des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO).

Neben der DSGVO gibt es außerdem noch das deutsche Bundesdatenschutzgesetz (BDSG), das ergänzende Regelungen, insbesondere zum Arbeitnehmerdatenschutz (auch: Beschäftigtendatenschutz) in § 26 BDSG sowie Regelungen zur Bestellpflicht eines Datenschutzbeauftragten (§ 38 BDSG) enthält.