Gemäß Artikel 30 DS-GVO hat der Verantwortliche (bzw. sein Auftragsbearbeiter) bei nicht nur gelegentlicher Verarbeitung personenbezogener Daten ein „Verzeichnis der Verarbeitungstätigkeiten“ zu führen.

2. Informationspflichten

Aus den erweiterten Informations- und Auskunftsansprüchen der von der Datenverarbeitung betroffenen Personen aus den Artikeln 12 ff. DS-GVO resultieren umfassende Informationspflichten für die Unternehmen.

3. Meldepflichten bei Datenpannen

Gelangen personenbezogene Daten aufgrund von Datenpannen oder Hackerangriffen ungewollt nach außen, so ist dies von dem Verantwortlichen binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden (vgl. Artikel 33 DS-GVO).

4. Datenschutz-Folgeabschätzung/Videoüberwachung

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Verantwortliche vorab eine sogenannte Datenschutz-Folgenabschätzung gemäß Artikel 35 DS-GVO durchführen.

5. Pflicht zur Bestellung von Datenschutzbeauftragten

Auf Grundlage von Art. 37 DS-GVO hat Deutschland in § 38 BDSG-neu weitere Fälle benannt, in denen ein Datenschutzbeauftragter zu benennen ist. So hat eine Bestellung unabhängig von der Art der Datenverarbeitung zu erfolgen, wenn in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt sind.

6. Beschäftigtendatenschutz

Die Einwilligung von Arbeitnehmern in die Datenverarbeitung im Beschäftigungsverhältnis wird insoweit konkretisiert, als dass , für die Freiwilligkeit der Einwilligung die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen sind.

Datenschutz Niedersachsen