Grundlegend kann man die künftigen Pflichten in 4 Bereiche gliedern:
- Dokumentationspflichten (Aufstellung Verarbeitungstätigkeiten und genutzte IT-Systeme) –Teil 1-
- Informationspflichten (Datenschutzhinweise) – Teil 2-
- Aufbewahrungsfristen und Löschprozesse (Fristen definieren und Löschkonzept vorhalten) –Teil 3-
- Betroffenenrechte (welche Rechte hat der Verbraucher?) –Teil 4-
-Teil 1-
Was sind Dokumentationspflichten?
Die wichtigsten Fragen, die Sie sich in diesem Zusammenhang stellen sollten sind:
- Was sind die relevanten Prozesse im Zusammenhang mit der Verarbeitung personenbezogener Daten?
- Was ist die Rechtsgrundlage bei dieser Verarbeitung ?[1]
- In welchen Systemen werden die personenbezogenen Daten gespeichert und wie lange?
- Wohin werden diese Daten weitergeleitet?
In den Dokumentationspflichten liegt ein wesentlicher Unterschied zum alten Recht. Künftig muss nicht nur die Verfolgung der Datenschutzgrundsätze, sondern auch die Erfüllung sämtlicher Detailverpflichtungen durch das jeweilige Unternehmen, also auch durch Sie als Vermittler, nachgewiesen werden.
Jedes Unternehmen muss alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, in einem Verzeichnis dokumentieren und beschreiben.
Wie sieht solche eine Dokumentation in der Praxis aus?
In der Praxis setzt man diese Pflicht idealerweise über die Beschreibung einer Verarbeitung im sog. „Verzeichnis für Verarbeitungstätigkeiten“ um und ergänzt diese um die Rechtsgrundlage, auf die die jeweilige Datenverarbeitung gestützt wird. Eine Datenverarbeitung kann bspw. die Vermittlung einer Baufinanzierung oder einer Versicherung sein. Hinzu kommt, dass auch die eingesetzten IT-Systeme (z.B. eigener PC, CRM-Tool etc.) datenschutzrechtlich bewertet und dokumentiert werden müssen.
Des Weiteren müssen Sie sich Gedanken machen, wie lange Sie die Daten aufbewahren sollten. Zum einen greifen die gesetzlichen Aufbewahrungsfristen nach Abgabenordnung (AO) bzw. Handelsgesetzbuch (HGB) zum anderen sind die datenschutzschutzrechtlichen Vorgaben dazu zu beachten. Demnach sind Unternehmen verpflichtet, personenbezogene Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen (nach AO oder HGB) bestehen. Dazu konkret mehr in unserem dritten Newsletter.
Wie die Dokumentation einer Verarbeitungstätigkeit aussehen kann und welche Fragen dabei beantwortet werden müssen, können Sie unserem Template entnehmen. Bitte beachten Sie, dass wir die Verwendung ohne Anerkennung einer Rechtspflicht als reinen Service zur Verfügung stellen.
Es gilt, insbesondere bei kritischen Datenverarbeitungen (z.B. Verarbeitung sensibler Datensätze wie Gesundheitsdaten) vorab den Verarbeitungsprozess zu beschreiben und die datenschutzrechtliche Zulässigkeit des Verfahrens (Rechtsgrundlage) zu dokumentieren. Hierbei wird nach DSGVO eine sogenannte Risikofolgenabschätzung notwendig.
Wichtig: Eine Risikofolgeabschätzung sollten Sie immer von einem Datenschutzbeauftragten bzw. einem rechtskundigen Experten vornehmen lassen. Von diesem können Sie sich auch hinsichtlich der von Ihnen erfassten Verarbeitungstätigkeiten beraten lassen.
Hinweis: Die Datenschutzbehörde kann jederzeit Einblick in das Verzeichnis der Verarbeitungstätigkeiten verlangen -auch im alten Recht (BDSG) gab es ähnliche Verpflichtungen.
Vergessen Sie nicht, die Daten gehören immer Ihren Kunden!
Im nächsten Newsletter geht es um das Thema „Datenschutzhinweise“.
Ihr Qualitypool-Team
[1] Einen Überblick über mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten nach DSGVO erhalten Sie im Template.