Datenschutzrichtlinie (DSGVO)
Dokumentationspflicht
Wenngleich keine Meldung mehr an das Datenverarbeitungsregister erfolgen muss, so ist nun ein schriftliches Verzeichnis zu führen (Dokumentationspflicht), das folgende Inhalte erfasst:
- die Namen und Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
- den Zweck der Datenverarbeitung,
- die Beschreibung der Kategorien betroffener Personen und personenbezogener Daten (z.B. Kunden und Lieferanten, Rechnungsdaten, Adressdaten),
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z.B. Sozialversicherung, Finanzamt, Rechtsanwalt, Steuerberater), einschließlich Empfänger in Drittländern oder internationalen Organisationen (z.B. Konzernmutter in USA),
- gegebenenfalls die Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angaben des betreffenden Drittlands oder der betreffenden internationalen Organisation,
- nach Möglichkeit die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien, und
- nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen.
Data breach
Im Falle einer „Verletzung des Schutzes personenbezogener Daten“ („data breach“, d.h. einer Verletzung der Datensicherheit, die – unbeabsichtigt oder unrechtmäßig – zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt…) sind nachfolgende Schritte erforderlich:
- die unverzügliche Meldung an die zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, sowie
- die Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.