Eine Welle rollt auf die Unternehmen zu und viele wissen nicht, was zu tun ist.
Die Zeit ist kurz, denn die Übergangsfrist endet im Mai 2018.
Die Pflichten der verantwortlichen (verarbeitenden) Stelle fallen immer der Geschäftsführung zu. Unabhängig von der Bestellung eines Datenschutzbeauftragten umfassen sie u. a. auch heute schon:
- Gewährung der Betroffenenrechte (Benachrichtigung, Auskunft, Korrektur, Sperrung, Löschung)
- transparente und dokumentierte EDV (Verfahrensverzeichnis)
- Schutz der EDV und der Daten im Sinne der IT-Sicherheit (§ 9 BDSG nebst Anhang)
- Nachvollziehbarkeit von Zugriffen, Änderungen und Weitergaben an Dritte
Das Verfahrensverzeichnis ist ein Element des deutschen Datenschutzes.
Nach § 4d, § 4e des Bundesdatenschutzgesetzes (BDSG) muss jede staatliche oder private Stelle, die personenbezogene Daten verarbeitet, den Umgang mit diesen Daten dokumentieren. Für diese Dokumentation hat sich die Bezeichnung Verfahrensverzeichnis oder Verfahrensübersicht eingebürgert.
Gemäß § 4g Abs. 2 S. 1 BDSG ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 BDSG genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen (häufig bezeichnet als internes Verfahrensverzeichnis).
Soweit im Unternehmen ein Datenschutzbeauftragter ernannt ist, macht dieser gemäß § 4g Abs. 2 S. 2 BDSG Teile dieses internen Verfahrensverzeichnisses (konkret die Angaben nach § 4e Satz 1 Nr. 1 bis 8 BDSG) auf Antrag jedermann in geeigneter Weise verfügbar. Man spricht insoweit häufig vom öffentlichen Verfahrensverzeichnis. Sofern ein Datenschutzbeauftragter nicht bestellt ist, obliegt diese Verpflichtung der verantwortlichen Stelle. Ab Mai 2018 entfällt das Verzeichnis für jedermann, nur noch die betroffenen und die Aufsichtsbehörde haben ein Anspruch auf Auskunft.
Wird das Verfahrensverzeichnis nicht oder nicht ordnungsgemäß geführt, ist mit einem Einschreiten der Aufsichtsbehörden zu rechnen, die häufig von Dritten informiert werden, wenn ein Unternehmen auf Anfrage kein Verfahrensverzeichnis vorlegen kann. Die Aufsichtsbehörden haben ausweislich des § 38 Abs. 4 BDSG einen Anspruch auf Einsicht des Verfahrensverzeichnisses. Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind hierzu notfalls befugt, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Liegt kein ordnungsgemäßes Verfahrensverzeichnis vor, so kann dies je nach Aufsichtsbehörde auch die Verhängung eines Zwangsgeldes zur Folge haben, um die Erstellung eines Verzeichnisses zu veranlassen.
Unternehmen, die mit personenbezogenen Daten arbeiten, müssen zukünftig einen stärkeren Fokus auf die veränderten Anforderungen werfen. Ein Umdenken dürfte dadurch entstehen, dass Betroffene nach Inkrafttreten der neuen Verordnung zu Beginn der Datenerhebung über Ihre Rechte aufgeklärt werden müssen, welche Daten ein Unternehmen über sie speichert, nutzt oder weitergibt Die Informationen müssen ohne Verzögerung und „in präzisier, transparenter, verständlicher sowie leicht zugänglicher Form“ (Art.12 – EU-DSGVO) an den Betroffenen übermittelt werden. Darüber hinaus sind Unternehmen zukünftig verpflichtet, personenbezogene Daten, die veröffentlicht wurden, auf Verlangen unverzüglich zu löschen, es sei denn ein triftiger Grund steht dem entgegen.