Sie sind gefragt
Für Sie als Datenschutzbeauftragten ist klar: Sind personenbezogene Daten im Spiel, muss so manches bedacht werden, gerade an Vorgaben aus der Datenschutz-Grundverordnung (DSGVO).
Das gilt besonders, wenn Datenverarbeitungen außerhalb des Unternehmens stattfinden sollen, etwa bei einem Dienstleister oder in der Cloud. Relevant sind immer die folgenden Aspekte:
- Grundsätze der Verarbeitung (Art. 5 Abs. 1 DSGVO).
- Sicherheit der Verarbeitung (Art. 32 DSGVO)
- Betroffenenrechte (Art. 12 ff. DSGVO)
- vertragliche Regelung der Datenverarbeitung (z. B. nach Art. 26 bzw. 28 DSGVO)
- angemessenes Datenschutzniveau bei Drittlandsbezug (Kapitel V der DSGVO)
Es gibt keine Automatismen
Soll eine bereits bestehende Verarbeitung bzw. die der Verarbeitung zugrunde liegende Technik an einen Dienstleister oder zu einem Anbieter in die Cloud ausgelagert werden, heißt das nicht, dass unter Datenschutzaspekten alles in Butter ist. Gerade wenn man meint, dass doch alles schon einmal geprüft wurde und im grünen Bereich wäre, müssen Sie die Hand heben.
Machen Sie klar, dass eine zulässige Verarbeitung vor Ort im Unternehmen zwar datenschutzrechtlich in Ordnung sein kann. Dieselbe Verarbeitung kann jedoch ganz anderen Anforderungen unterliegen, wenn sie durch einen Dienstleister ausgeführt oder in die Cloud verlagert wird.
Zudem muss vieles neu bewertet werden, etwa die möglichen Risiken. Damit Sie keinen wichtigen Aspekt übersehen, können Sie für Ihre Besprechung die folgende Checkliste verwenden:
