Pflichten Verantwortlicher und Auftragsverarbeiter

Das bisherige DVR-Meldeverfahren und das DVR selbst wird es nicht mehr geben (Entfall der DVR-Meldepflicht). Stattdessen verpflichtet Art. 30 Verantwortliche und Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten zu führen, das auf Anfrage der Aufsichtsbehörde vorzulegen ist. Diese Verpflichtung gilt nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn,

  • die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,

  • die Verarbeitung erfolgt nicht nur gelegentlich oder

  • es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 (sensible Daten) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10.

Daneben werden Verantwortliche verpflichtet, vor Inbetriebnahme eines neuen Datenverarbeitungssystems eine Datenschutz-Folgenabschätzung durchzuführen und ggf. mit der Aufsichtsbehörde im Rahmen eines Konsultationsverfahrens zusammenzuarbeiten (Art. 35 und 36).

Verantwortliche werden verpflichtet, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erstatten (Art. 33) und ggf. Betroffene von der Verletzung zu verständigen (Art. 34).

Folgende Verantwortliche/Auftragsverarbeiter haben zwingend einen Datenschutzbeauftragten zu bestellen:

  • Behörden und öffentliche Stellen (mit Ausnahme von Gerichten, soweit es nicht die Justizverwaltung betrifft)

  • Wenn die Kerntätigkeit die regelmäßige und systematische Überwachung von Personen darstellt

  • Wenn die Kerntätigkeit in der umfangreichen Verarbeitung von sensiblen Daten nach Art. 9 und Strafdaten nach Art. 10 besteht.