ddm Ausgabe 3 | 2018

ddm | Ausgabe 3 | 2018 67 New Media 2. Meldepflicht Nach Art. 37 Abs. 7 DSGVO müssen die Kontaktdaten des Datenschutzbeauftragten schriftlich an die zuständige Aufsichtsbehörde gemeldet werden. Ebenso ist der Aufsichtsbehörde die Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden zu melden, falls diese „zu einem Risiko für Rechte und Freiheiten natürlicher Personen führt“ (Art. 33 Abs. 1 DSGVO). Einige Aufsichts- behörden bieten über ihre Website eine Onlinemeldung an. 3. Datenschutzfolgenabschätzung Die aus dem BDSG bekannte Vorabkontrolle wird durch die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO abgelöst, und die Durchführung einer solchen sollte immer dann geprüft werden, wenn ein Verfahren möglicherweise ein hohes Risiko für den Betroffenen bezüglich seiner Daten- schutzrechte birgt. Die Datenschutz-Folgenabschätzung erfordert eine umfangreiche Dokumenta- tion. 4. Betroffenenrechte Neben dem Auskunftsrecht, Berichtigungsrecht, Recht auf Löschung, Widerspruchsrecht und dem neuen Recht auf Datenübertragbarkeit, räumt die DSGVO betroffenen Personen ein deutlich umfangreicheres Informationsrecht ein, als dies gemäß BDSG der Fall war. Überarbeiten Sie daher Ihre Einwilligungen und Behandlungsverträge. Im Wesentlichen müssen folgende Informationen, z. B. über Ihre Website oder per Aushang in Ihren Räumlichkeiten angegeben werden: Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters die Kontaktdaten des Datenschutzbeauftragten die jeweiligen Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie zusätzlich die Rechtsgrundlage für die Verarbeitung Darstellung der berechtigten Interessen, falls die Datenverarbeitung auf dem Tatbestand der Interessenabwägung beruht gegebenenfalls die Empfänger/Kategorien von Empfängern der Daten gegebenenfalls Informationen zur Datenübermittlung in Drittländer (Anforderungen beachten!) 5. Datenschutzfreundliche Technik und Voreinstellungen Schon für die Prozessgestaltung und Voreinstellungen gibt die DSGVO spezifische Rahmenbedin- gungen für die Art und Weise vor, wie die Anforderungen der DSGVO umzusetzen sind (Art. 25 DSGVO: Data Protection by design und Data Protection by default). 6. Dokumentationspflichten Die DSGVO verpflichtet in Art. 5 Abs. 2 DSGVO den Verantwortlichen zum Nachweis, dass perso- nenbezogene Daten rechtmäßig verarbeitet werden (Rechenschaftspflicht). Die DSGVO gibt einige Dokumentationspflichten vor, zum Beispiel für das Verarbeitungsverzeichnis in Art. 30 DSGVO, für die Dokumentation von Datenschutzvorfällen in Art. 33 Abs. 5 DSGVO oder für die Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung in Art. 28 Abs. 3 lit. a DSGVO. 7. Strafen Ab sofort drohen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahres- umsatzes - je nach dem, was höher ist. 8. Anforderungen an Webseiten-Inhalte Die Vorgaben für die Datenschutzerklärung auf Webseiten sind deutlich höher. Unter anderemmuss der Datenschutzbeauftragte auf der Seite namentlich genannt sein, und es müssen die Rechts- grundlage und der Zweck der Datenverarbeitung angeben werden. Nina Richard, M. Sc. Nina Richard, M. Sc. ist Leiterin Marketing und Kommunikation bei DATATREE AG/ISDSG, Institut für Sicherheit und Datenschutz im Gesundheitswesen. Zudem betreut Sie die Fort- und Weiterbildungsan- gebote wie den zertifizierten Daten- schutzbeauftragten (IOM) und die Angebote der DATATREE-Akademie.