Die DSGVO bringt für alle Unternehmen eine Reihe Verpflichtungen mit sich, die bislang nur teilweise im Bundesdatenschutzgesetz enthalten waren. Neben den öffentlich sichtbaren Informationspflichten sind eine Reihe Pflichtdokumente vorzuhalten und auf Anfrage den Behörden vorzulegen.
Unabhängig von der Betriebsgröße sind dies vor allem:
- das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO
- Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO bzw. zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO
- die Dokumentation der technisch-organisatorischen Maßnahmen des Datenschutzes
Die Aufgabe des betrieblichen (oder externen) Datenschutzbeauftragten ist, den Verantwortlichen bei der Erstellung der Pflichtdokumentation zu unterstützen und zu beraten.
Informationspflichten
Die DSGVO hat die Rechte Betroffener gestärkt und den Verantwortlichen Informationspflichten auferlegt, die teilweise schon vor einer Verarbeitung wirksam werden. Je nach Verarbeitungszweck kann dabei auch die Einwilligung des Betroffenen erforderlich sein.
Meldepflichten
Ein besonderes Kapitel sind meldepflichtige Vorfälle nach Artt. 33 bzw. 34 DSGVO. Hier sind dem Verantwortlichen enge (zeitliche) Grenzen gesetzt, die unbedingt zu beachten sind. Der Datenschutzbeauftragte des Unternehmens unterstützt und berät den Verantwortlichen schon im Vorfeld durch präventive Maßnahmen. Kommt es zu einem meldepflichtigen Vorfall, hilft ein gut geschulter DSB dem Verantwortlichen, seinen gesetzlichen Verpflichtungen nachzukommen.