Informationen zur DSGVO
Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) auch in Sachsen unmittelbar geltendes Recht. Zugleich ist das neue Bundesdatenschutzgesetz in Kraft getreten und landesrechtliche Bestimmungen wie das Sächsische Datenschutzdurchführungsgesetz werden ebenfalls zu diesem Zeitpunkt in Kraft treten. Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Der Anwendungsbereich der DSGVO wird sehr weit gefasst, letztlich wird jeder Umgang mit personenbezogenen Daten einbezogen. Für öffentliche Stellen gilt dabei wie bisher, dass die Verarbeitung personenbezogener Daten einer Rechtsgrundlage bedarf. In vielen Fällen werden dies für Kommunalverwaltungen auch nach neuer Rechtslage die bekannten spezialgesetzlichen Regelungen sein wie bspw. die Verarbeitung auf Grundlage der Regelungen im SGB oder im Gewerberecht.
Daneben treten mit der DSGVO aber auch einige bedeutende Änderungen für die Verantwortlichen und Auftragsverarbeiter in Kraft, über die wir nachfolgend einen Überblick geben wollen.
Neue Anforderungen, auf die Ihre Verwaltung vorbereitet sein sollte, sind insbesondere:
- Die Dokumentationspflichten für den Verantwortlichen, dass die Datenverarbeitung ordnungsgemäß erfolgt (Art. 5 Abs. 2 DSGVO), spürbar erweitert.
- Die Rechte der von der Verarbeitung betroffenen Personen werden gestärkt, namentlich
- die umfassenden Auskunftsrechte der Betroffenen, über Art und Umfang der Datenverarbeitung (Art. 12 bis 15 DSGVO). Neu ist in diesem Zusammenhang die Pflicht der verantwortlichen Stelle, bestimmte Informationen bereits zu Beginn der Verarbeitung zur Verfügung zu stellen
- das Recht auf Berichtigung, gegebenenfalls Löschung und auf Vergessen werden der erhobenen Daten (Art. 16, 17 DSGVO)
- Recht auf Datenübertragbarbeit, welches die verantwortliche Stelle künftig gesetzlich verpflichtet, dem Betroffenen die verarbeiteten Daten entweder auf Anforderung in einer strukturierten, gängigen und maschinenlesbaren Form zur Verfügung zu stellen oder, sofern technisch möglich, an einen anderen Verantwortlichen direkt zu übermitteln
- Vorstehende Rechte der Betroffenen werden nun erstmals mit einer Regelung verbindlicher Reaktionszeiten für den Verantwortlichen und die Auftragsverarbeiter gestärkt.
- Dies wiederum erfordert von Ihnen als verantwortliche Stelle den Aufbau eines effektiven Datenschutzmanagements in Ihrer Verwaltung.
- die Pflicht jeder öffentlichen Stelle zur Benennung eines behördlichen Datenschutzbeauftragten, dessen Kontaktdaten zu veröffentlichen und der zuständigen Aufsichtsbehörde diese Ernennung anzuzeigen (Art. 37 DSGVO),
- Die Pflicht zur Erstellung eines Verzeichnisses aller Verarbeitungstätigkeiten (Art. 30 DSGVO). Dabei können Sie die bisherigen Verfahrensverzeichnisse Ihrer Verwaltung als Basis für das zu erstellende Verzeichnis nutzen.
- Die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung im Falle der Verarbeitung besonders schutzbedürftiger Daten. Diese ersetzt die bisherige Vorabkontrolle bei der Einführung und Änderung von Verfahren.
- Die fristgebundene Pflicht zur Meldung von Datenschutzverstößen an die zuständige Aufsichtsbehörde.
- Die Anpassung oder Neuformulierung von Einwilligungserklärungen zur Verarbeitung personenbezogener Daten, sofern Sie als verantwortliche Stelle im Einzelfall personenbezogene Daten auf der Grundlage von Einwilligungen und nicht auf Basis gesetzlicher Anforderungen verarbeiten.
- Die geänderten Anforderungen an die Vereinbarungen mit Auftragsverarbeitern. Bestehende Verträge sind daraufhin zu überprüfen und anzupassen, dass die neuen Vorgaben gemäß Artikel 28 und 29 DSGVO eingehalten werden.
KISA stellt Ihnen eine Vielzahl verschiedener Datenverarbeitungsverfahren und damit zusammenhängende Verarbeitungsleistungen zur Erledigung oder Vereinfachung von Verwaltungsaufgaben zur Verfügung. In fast allen Fällen unserer Beauftragung verarbeiten wir in diesem Zusammenhang personenbezogene Daten in Ihrem Auftrag. Um für die Verarbeitung dieser Daten eine rechtliche Grundlage gemäß DSGVO zu schaffen, sind unsere Auftraggeber und Verantwortliche der Daten verpflichtet, mit uns eine schriftliche Vereinbarung zur Auftragsverarbeitung abzuschließen.
Wir wollen unsere Kunden bei Erfüllung dieser Aufgabe gern unterstützen und stellen daher einen Vertrag über die Auftragsverarbeitung zur Verfügung, der die erhöhten Anforderungen der DSGVO berücksichtigt und sowohl Ihre Rechte und Pflichten als Verantwortlicher und Auftraggeber von KISA als auch die Rechte und Pflichten von KISA als Auftragnehmer abbildet und auf dessen Grundlage wir künftig unsere Verarbeitungsleistungen anbieten.
Sollten Sie Fragen haben oder bei der Umsetzung der notwendigen Maßnahmen Unterstützung benötigen, stehen wir Ihnen unter datenschutz@kisa.it jederzeit gern zur Verfügung. Gern unterbreiten wir Ihnen ein individuelles Angebot.