Sächsische Datenschutzbeauftragte

Adressat:

Sächsische öffentliche Stellen im Anwendungsbereich der DS-GVO (beispielsweise Stadtverwaltungen, Schulen, Kindergärten)

Wer ist für die Umsetzung der DS-GVO verantwortlich?

Leiter der jeweiligen Stelle

Was ist zu tun?

Auch nach neuem Recht benötigen Sie für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Dies können wie bisher eine gesetzliche Regelung oder eine Einwilligung der betroffenen Personen sein. Auch Kollektivvereinbarungen wie die Betriebsvereinbarung zum Datenschutz im Arbeitsverhältnis bleiben nach Art. 88 DS-GVO nach wie vor zulässig.

Es gibt jedoch auch zahlreiche Änderungen. Im Folgenden finden Sie in Kurzform (nicht abschließende)  Handlungsempfehlungen:

1. Internen Datenschutzbeauftragten benennen (gemäß Art. 37 Abs. 1 lit. a) DS-GVO für alle öffentlichen Stellen verpflichtend, zur Herstellung vertragsrechtlicher bzw. dienstrechtlicher Rechtssicherheit sollten die Bestellungen der Datenschutzbeauftragten nach § 11 SächsDSG angepasst oder zum Ende des 24. Mai 2018 widerrufen werden und ggf. im Gegenzug Bestellungen zum 25. Mai 2018 nach der Datenschutz-Grundverordnung unter Beachtung der zivil- und dienstrechtlichen Besonderheiten vorgenommen werden.)
   • Kurzpapier Nr. 12
   • Mitteilung benannter Datenschutzbeauftragter
2. „Verzeichnis von Verarbeitungstätigkeiten“ vorbereiten (Art. 30 DS-GVO, bestehende Verfahrensverzeichnisse nach § 10 SächsDSG können hierfür als Ausgangspunkt genutzt werden.)
   • Kurzpapier Nr. 1
   • Muster Verarbeitungsverzeichnis Verantwortlicher
   • Muster Verarbeitungsverzeichnis Auftragsverarbeiter
3. „Datenschutz – Folgenabschätzung“ (Art. 35 DS-GVO) für neue Verfahren schon jetzt vorbereiten
   • Kurzpapier Nr. 5
4. Zuständigkeiten für Informationen bei Datenverlust festlegen (Art. 33 + 34, Verantwortliche werden verpflichtet, Datenlecks und Schutzmaßnahmen unverzüglich -soweit möglich innerhalb von 72 Stunden- dem Sächsischen Datenschutzbeauftragten und den Betroffenen mitzuteilen.)
5. Vorhandene Einwilligungen prüfen, um sicherzustellen, dass sie nach Wirksamwerden der Datenschutz-Grundverordnung fortgelten (insbesondere muss gemäß Art. 7 Abs. 3 DS-GVO die betroffene Person vor Abgabe der Einwilligung darüber in Kenntnis gesetzt werden, dass der Widerruf einer Einwilligung nur die Datenverarbeitung ab diesem Zeitpunkt betrifft; weiterhin muss der Verantwortliche gemäß Art. 7 Abs. 1 DS-GVO die Einwilligung nachweisen können.)
6. Einhaltung der erweiterten Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen nach Art. 13 und Art. 14 Datenschutz-Grundverordnung sicherstellen (Diese sind insbesondere unabhängig von einer Kenntnis der betroffenen Person und umfassen u.a. neben der Dauer der Datenspeicherung auch das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.)
   • Kurzpapier Nr. 10
7. Bestehende Verträge daraufhin überprüfen, ob Vorgaben für Vereinbarungen mit Auftragsverarbeitern gemäß Artikel 28 und 29 Datenschutz-Grundverordnung eingehalten werden (Insbesondere können Unterauftragnehmer gemäß Art. 28 Abs. 2 DS-GVO nur nach vorheriger gesonderter oder mit allgemeiner -und Information im Einzelfall- schriftlicher Genehmigung in Anspruch genommen werden.)
   • Kurzpapier Nr. 13
   • Mustervertrag
8. Prüfen, ob eine gemeinsame Verantwortlichkeit mit anderen Stellen vorliegt (Dies ist gemäß Art. 26 DS-GVO dann der Fall, wenn gemeinsam die Zwecke der und die Mittel zur Verarbeitung festgelegt werden. Dann ist in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt.)
   • Kurzpapier Nr. 16

Weitergehende Informationen finden Sie neben dem Internetangebot des Sächsischen Datenschutzbeauftragten auch bei der Sächsischen Staatsregierung