Handlungsempfehlungen zur Umsetzung der DSGVO für öffentliche Stellen
Adressat:
Sächsische öffentliche Stellen im Anwendungsbereich der Datenschutz-Grundverordnung (beispielsweise Stadtverwaltungen, Schulen, Kindergärten)
Wer ist für die Umsetzung der Datenschutz-Grundverordnung (DSGVO) verantwortlich?
Der Leiter der jeweiligen Stelle.
Was ist zu tun?
Sie benötigen für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Dies können eine gesetzliche Vorschrift oder die Einwilligung der betroffenen Person sein. Auch Kollektivvereinbarungen wie Betriebs- oder Dienstvereinbarungen zum Datenschutz im Arbeitsverhältnis sind nach Artikel 88 Datenschutz-Grundverordnung zulässig.
Im Folgenden finden Sie in Kurzform (nicht abschließende) Handlungsempfehlungen:
- Internen Datenschutzbeauftragten benennen
Nach Artikel 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung ist das für alle öffentlichen Stellen verpflichtend. - Verzeichnis von Verarbeitungstätigkeiten erstellen.
- Eventuell Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) vornehmen.
- Zuständigkeiten für Informationen bei der Verletzung des Schutzes personenbezogener Daten festlegen (Artikel 33, 34 Datenschutz-Grundverordnung)
Verantwortliche sind verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten (zum Beispiel bei einem Datenleck) dies der zuständigen Datenschutzaufsichtsbehörde – soweit möglich innerhalb von 72 Stunden – zu melden und, wenn der Vorfall ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, auch die betroffene Person zu benachrichtigen. - Vorhandene Einwilligungen prüfen.
Insbesondere muss gemäß Artikel 7 Absatz 3 Datenschutz-Grundverordnung die betroffene Person vor Abgabe der Einwilligung darüber in Kenntnis gesetzt worden sein, dass der Widerruf einer Einwilligung nur die Datenverarbeitung ab diesem Zeitpunkt betrifft; weiterhin muss der Verantwortliche gemäß Artikel 7 Absatz 1 Datenschutz-Grundverordnung die Einwilligung nachweisen können. - Einhaltung der erweiterten Informationspflichten des Verantwortlichen gegenüber der betroffenen Person nach Artikel 13 und Artikel 14 Datenschutz-Grundverordnung sicherstellen.
Diese sind insbesondere unabhängig von einer Kenntnis der betroffenen Person und umfassen unter anderem neben der Dauer der Datenspeicherung auch das Bestehen eines Beschwerderechts bei der Datenschutzaufsichtsbehörde. - Bestehende Verträge daraufhin überprüfen, ob Vorgaben für Vereinbarungen mit Auftragsverarbeitern gemäß Artikel 28 und 29 Datenschutz-Grundverordnung eingehalten werden.
Insbesondere können Unterauftragnehmer gemäß Artikel 28 Absatz 2 Datenschutz-Grundverordnung nur nach vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung des Auftraggebers in Anspruch genommen werden. - Prüfen, ob eine gemeinsame Verantwortlichkeit mit anderen Stellen vorliegt. Dies ist gemäß Artikel 26 DSGVO dann der Fall, wenn beide Stellen gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Dann ist in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung gemäß der Datenschutz-Grundverordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 DSGVO nachkommt.