DSGVO: Mit diesen 5 Schritten sind Unternehmen optimal vorbereitet

Fachbeitrag

Seit Mai 2016 ist die endgültige Fassung der Datenschutz-Grundverordnung (DSGVO) verabschiedet und veröffentlicht. Unternehmen haben nun bis zum 25. Mai 2018 Zeit, die neuen datenschutzrechtlichen Anforderungen umzusetzen. Denn dann gilt die Verordnung unmittelbar in allen EU-Mitgliedsstaaten und löst die bisherigen nationalen Regelungen und EU-weiten Richtlinien ab. Welche Maßnahmen Unternehmen bis dahin ergreifen sollten, zeigt der folgende Beitrag.

1. Der Status quo

In einem ersten Schritt sollte eine Bestandsaufnahme der vorhandenen datenschutzrechtlich relevanten Prozesse durchgeführt werden, um zu sehen an welchen Stellen das Unternehmen überhaupt Änderungsbedarf hat. Dann kann im Rahmen dieser sogenannten GAP-Analyse geklärt werden, auf welchem Stand sich der Datenschutz im Unternehmen befindet.

Auf Grund der daraus resultierenden Feststellungen kann dann geprüft werden, inwieweit der Ist-Zustand von den Anforderungen der DSGVO abweicht. Anschließend sollte ein geeigneter Fahrplan für die verbleibende Umsetzungszeit festgelegt werden. So lässt sich systematisch mit entsprechenden Maßnahmen nach und nach der gewünschte Soll-Zustand erreichen.

2. Verfahrensverzeichnisse aufbauen

Das Verzeichnis von Verarbeitungstätigkeiten nach der DSGVO ist im Grundsatz nichts anderes, als das altbekannte Verfahrensverzeichnis nach §§ 4g Abs. 2, 4e BDSG. Es handelt sich also um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden.

Die Pflicht ein solches Verfahrensverzeichnis zu führen trifft sowohl den Verantwortlichen als auch den Auftragsverarbeiter. Inhaltlich werden aber geringere Anforderungen an das Verfahrensverzeichnis eines Auftragsverarbeiters gestellt. Aus Art. 30 Abs. 5 DSGVO ergeben sich auch Ausnahmen für die Erstellung eines Verfahrensverzeichnisses. Die Pflicht zur Führung gilt dann nicht, wenn der Verantwortliche oder Auftragsverarbeiter weniger als 250 Beschäftigte hat, es sei denn, die von vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder die Verarbeitung keine besonders sensiblen Datenkategorien oder strafrechtlich relevanten Daten betrifft.

3. Pflicht statt Kür – das Datenschutz-Management-System

Die DSGVO verpflichtet Unternehmen zudem ein Datenschutz-Management-System einzuführen. Zentrale Normen sind hier Art. 5 und Art. 24 DSGVO, aus denen sich eine Nachweis- und Rechenschaftspflicht für Unternehmen ableitet. Künftig müssen Unternehmen nämlich nicht nur sicherstellen, dass datenschutzrechtliche Vorgaben eingehalten werden, sondern sie müssen dies auch nachweisen können.

Gleiches gilt auch im Bereich Datensicherheit – denn auch hier bedarf es eines Nachweises, dass „geeignete technische und organisatorische Maßnahmen“ eingesetzt werden, die dem Schutz der betroffenen Personen dienen. Im Klartext heißt das, dass künftig Dokumentationen etwa aus den Bereichen: 

  • Datenschutzorganisation und Verantwortlichkeit für Datenverarbeitungen
  • Einbindung des Datenschutzbeauftragten (Fälle, in denen Mitarbeiter sich an den Datenschutzbeauftragten wenden sollten)
  • Verzeichnis von Verarbeitungstätigkeiten (an welchen Stellen liegen personenbezogenen Daten im Unternehmen vor?)
  • Datenschutz-Folgenabschätzung, Art. 35 DSGVO (wie Vorabkontrolle nach § 4d Abs. 5 BDSG beim Umgang mit sensiblen Daten)
  • Vertragsmanagement (welche Dienstleister werden eingesetzt?)
  • Datenschutz-Schulung und Verpflichtung auf das Datengeheimnis
  • Prozess zur Wahrnehmung von Betroffenenrechten
  • Meldung von Datenschutzverstößen
  • Nachweis der Datensicherheit (Umsetzung von technischen und organisatorischen Maßnahmen)

angelegt und gepflegt werden sollten.

Ein DMS kann zwar bei unbeabsichtigten Datenschutzverstößen nicht mit Sicherheit den Vorwurf der Fahrlässigkeit entfallen lassen, ist jedoch nach Art. 83 Abs. 2 d) DSGVO zumindest bußgeldmindernd zu berücksichtigen. Zudem ermöglicht ein effizientes System eine schnelle Reaktion des Unternehmens, falls es tatsächlich zu Datenschutzverstößen kommt.

4. Zulässigkeit der Datenverarbeitung

Des Weiteren ist auch zu überprüfen, ob die Verarbeitung und Nutzung personenbezogener Daten mit der erforderlichen Erlaubnis erfolgt. Daher sollten die Rechtsgrundlagen und Einwilligungen überprüft werden. In Betracht kommen die Artikel 6 bis 11 DSGVO. Aus Art. 7 DSGVO ergeben sich die Bedingungen, unter denen eine Einwilligung künftig rechtskonform sein wird:

  • Freie Entscheidung des Betroffenen
  • Ausführliche, erkennbare und bestimmte Information des Betroffenen
  • Schriftform der Einwilligungserklärung
  • Widerruflichkeit der Einwilligungserklärung

Eine Neuerung ergibt sich im Bereich der Einwilligung von Minderjährigen unter 16 Jahren (bzw. unter 13 Jahren wenn das nationale Recht dies vorsieht). Diese sollen generell nur wirksam sein, wenn und insoweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 Abs. 1 DSGVO)

5. Informationspflichten

Informationspflichten bei Datenerhebung und -verarbeitung sind fester Bestandteil des Datenschutzrechts. Unter der DSGVO vervielfachen sich jedoch die von Unternehmen und Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Maßgebliche Normen sind hier Art. 13 und 14 DSGVO. Nach Art. 13 DSGVO sind insbesondere die folgenden Informationen dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen:

  • Identität des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszwecke und Rechtsgrundlagen
  • Berechtigtes Interesse
  • Empfänger
  • Übermittlung der Daten in Drittstaaten
  • Dauer der Speicherung
  • Betroffenenrechte
  • Widerrufbarkeit von Einwilligungen
  • Beschwerderecht bei der Aufsichtsbehörde
  • Verpflichtung zur Bereitstellung personenbezogener Daten
  • Automatisierte Entscheidungsfindung und Profiling

Aus Art. 14 DSGVO ergibt sich, dass nahezu dieselben Informationspflichten bestehen, wenn die Daten nicht beim Betroffenen selbst erhoben werden.

Rechtzeitiges Handeln zahlt sich aus

Das teils eher stiefmütterlich behandelte Thema Datenschutz darf künftig nicht auf die leichte Schulter genommen werden. Denn der europäische Gesetzgeber hat sich entschieden, die Bußgelder für Datenschutzverstöße drastisch zu erhöhen, auch um dadurch eine abschreckende Wirkung zu erzielen. Während aktuell nach dem BDSG gerade mal Geldbußen von bis zu 300.000 Euro je Verstoß verhängt werden können, sieht die DSGVO als Obergrenze 4 % des globalen Konzernumsatzes des Vorjahres vor. Wenn sich Unternehmen jetzt bereits mit den kommenden Änderungen vertraut machen, kann vieles in die richtige Richtung gelenkt werden und so späteres Nacharbeiten oder sogar wirtschaftliche Einbußen vermieden werden.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

2 Kommentare zu diesem Beitrag

  1. „Die Pflicht zur Führung gilt zum Beispiel dann nicht, wenn der Verantwortliche oder Auftragsverarbeiter weniger als 250 Beschäftigte hat und „die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt“ …“

    Zitiert wird noch der alte Text, welcher auf einer falschen Übersetzung vom Englischen ins Deutsche beruht und bereits vom Gesetzgeber verbessert wurde.
    Man könnte nach dem Text zu der irrigen Annahme kommen, dass man von der Erstellung des Verzeichnisses befreit wird, wenn man nur gelegentliche Datenverarbeitung betreibt.
    Der Link auf Art. 30 beinhaltet jedoch die bereits verbesserte Version.
    Nach dem Wortlaut der Korrektur reicht eine regelmäßige/ständige Verarbeitung aus, damit die Pflichten nach Abs. 1 u. 2 wieder gelten. Und welche Firma hat keine regelmäßige Verarbeitung von personenbezogenen Daten (z.B. Entgeltberechnung der Mitarbeiter)?
    Alle Experten die ich bisher zu dem Thema gehört habe, sehen die gewollte Erleichterung aus Art. 30 Abs. 5 als verfehlt an. Möglich aber dass es Gerichte anders sehen???

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.