Zum Zeitpunkt der Datenerhebung muss der Betroffene über Art und Umfang der Verarbeitung seiner Daten nach Art. 13 bzw. 14 DSGVO informiert werden. Dazu gehören z.B. Informationen über die Art der Daten und die Dauer der Speicherung. Auch zu welchem Zweck und nach welcher rechtlichen Grundlage die Verarbeitung erfolgt, muss z.B. beschrieben sein. Die beiden Artikel der DSGVO beschreiben die bis zu 17 Themen, über welche die Betroffenen zu informieren sind.

Die Datenschutzerklärung ist eine Form der Informationspflicht nach Art. 13 DSGVO. Ihr Inhalt ist sehr umfangreich und vielfältig. Dazu muss sie leicht verständlich geschrieben sein. Da z.B. bei dem Besuch einer Website i.d.R. Informationen über den Besucher gespeichert werden, betrifft die Pflicht so ziemlich jeden Betreiber. Auch das Löschen der Website mit dem Hinweis, dass sich diese im Bau befindet, hilft an dieser Stelle nicht weiter. Gespeichert werden auch die Daten von Besuchern leerer Seiten und die sind dann in dem Moment zu informieren.Ich bin ein Inhaltselement. Klicke auf den Bearbeiten-Button, um diesen Text zu verändern. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Zu den zuvor genannten Infos müssen die Unternehmen laut DSGVO Betroffene auch über ihre Rechte im Datenschutz aufklären. Außerdem müssen sie diesen Rechten von sich aus proaktiv nachkommen. Zu den Rechten gehören z.B. das Auskunftsrecht, das Recht auf Berichtigung der Daten, das Recht auf Löschung und Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit und das Widerspruchsrecht.Akkordeon Inhalt

Bei Online Diensten, bei Software und bei sonstigen techn. Angeboten sind die Voreinstellungen möglichst datenschutzfreundlich zu wählen („privacy by default“). So sollen die Nutzer geschützt werden, die von sich aus weniger von Datenschutz verstehen und Einstellungen falsch oder gar nicht wählen.  Nicht nur das Design, sondern auch die techn. Gestaltung soll sich laut DSGVO möglichst am Datenschutz orientieren („privacy by design“). So soll schon in der Entwicklung von Software z.B. über TOMs (technisch organisatorische Maßnahmen) ein hoher Datenschutz gewährleistet werden.Akkordeon Inhalt

Firmen, die die Verarbeitung im Auftrag vergeben, sind für die Daten weiter selbst in der Verantwortung. Für die eigene Absicherung hat sich von daher der AVV (Auftrags Verarbeitungs Vertrag bewährt. Hier ist nach Art. 28 und Art. 29 DSGVO zu regeln, wie extern mit den Daten umzugehen ist um für den Schutz deren zu sorgen. Das Ausgliedern von Prozessen die personenbezogene Daten verarbeiten darf nicht auf Kosten des Datenschutzes gehen. Typische Verarbeiter im Auftrag sind z.B. die Lohnbuchhaltung, Google (Analytics), Cloud Dienstleister, etc.Akkordeon Inhalt

Das  Verarbeitungsverzeichnis beschreibt alle Tätigkeiten bei denen Daten verarbeitet werden. Für jede Tätigkeit muss laut Art. 30 DSGVO folgendes beschrieben sein: Wer ist die Verantwortliche Stelle?Wer ist Datenschutzbeauftragter? Was ist der Zweck der Verarbeitung? Wer sind die betroffenen Personen? Welche Kategorien an Daten gibt es? Wer sind die Empfänger der Daten? Werden die Daten ggf. an ein Drittland übermittelt? Wie sind die Fristen für das Löschen der Daten? Die TOM’s (techn. organis. Maßnahmen) und ggf. die Verarbeiter im Auftrag und deren Vertreter.

Eine Datenschutz Folgenabschätzung (DSFA) ist eine Bewertung der mögl. Folgen der Verarbeitung von Daten. Sie ist i.d.R. immer dann durchzuführen, wenn z.B. besonders sensible Daten oder Daten nach Art. 9 DSGVO verarbeitet werden. Auch kann der Umfang der Verarbeitung eine DSFA erfordern. Ergibt sich aus einer Bewertung der Risiken, dass eine DSFA durchzuführen ist, so ist das Verfahren und die möglichen Auswirkungen bzgl. Integrität, Vertraulichkeit und Verfügbarkeit zu bewerten. Risiken sollen, soweit nach Stand der Technik sinnvoll möglich, minimiert werden. Eine erneute Bewertung ist anschließend durchzuführen. 

Die DSGVO verpflichtet Unternehmen zum Datenschutz. Dazu ist u.U. eine verantwortliche Person zu benennen, die die dazu nötige Fachkunde hat – der Beauftragte für Datenschutz! So wird laut DSGVO ein Datenschutzbeauftragter (DSB) erforderlich, wenn Daten nach Art. 9  oder Art. 10 DSGVO (z.B. Gesundheitsdaten oder Daten über Straftaten) verarbeitet werden. Ein DSB ist auch erforderlich, wenn Daten geschäftsmäßig (z.B. zur Übermittlung oder Marktforschung) verarbeitet werden. Auch ein DSB nötig, wenn die Verarbeitung Risiken für die Rechte und Freiheiten der Betroffenen birgt oder Daten aus laufender Überwachung von Personen verarbeitet werden. Die DSGVO ist explizit erwähnt, dass der Datenschutzbeauftragte intern wie auch extern sein darf. Vor allem für kleine Firmen ist ein externer Datenschutzbeauftragter oftmals sinnvoller, da interne Mitarbeiter wegen des hohen  Aufwandes i.d.R. deutlich teurer sind, zudem viel Zeit für die eigentliche Arbeit verlieren und die Firma das gesamte Risiko allein trägt. Für ein System, das ohne Erfahrung aufgebaut ist und Prüfungen mit sehr hohen Strafen standhalten muss.