EU-Datenschutz-Grundverordnung: Warum jedes Unternehmen jetzt einen Compliance-Verantwortlichen braucht

Posted by Theresa Gloede on 12.06.2017 20:08:26

In Zeiten von Big Data nehmen Cyberattacken auf sensible Daten zu. Mit der EU-Datenschutz-Grundverordnung soll nun EU-weit mehr Datensicherheit gewährleistet werden. Jedes Unternehmen, das Daten verarbeitet, muss ab Mai 2018 die neuen Regelungen einhalten. Ganz gleich, ob es in der IT-Branche tätig ist oder nicht. Aber kein Grund zur Panik: Wer frühzeitig seine bisherige Datenschutzpraxis überprüft und sie an die neuen Vorschriften anpasst, kann die notwendigen datenschutzrechtlichen Prozesse im Unternehmen rechtzeitig anstoßen und hat trotz der höheren Sanktionen nichts zu befürchten. Wir haben für Sie eine Checkliste zusammengestellt, die Sie über die wesentlichen Veränderungen informiert.

Justice.jpg

Die EU-Datenschutz-Grundverordnung ist da: Worauf müssen sich Unternehmen in Deutschland einstellen?

Die EU-Datenschutz-Grundverordnung (EU-DS-GVO) trat bereits am 25. Mai 2016 in Kraft, kommt aber erst zwei Jahre später zur Anwendung und gilt ab 25. Mai 2018 für alle Mitgliedstaaten der Europäischen Union. Sie umfasst alle Vorgänge, an denen EU-Bürger beteiligt sind und bei denen personenbezogene Daten von EU-Bürgern verarbeitet werden. In Deutschland werden hiernach die bisher geltenden Regelungen des Bundesdatenschutzes (BDSG) weitestgehend ersetzt. Auch wenn die Grundsätze des Datenschutzes im Kern erhalten bleiben, so wird sich doch einiges ändern. Zwangsläufig führen diese Änderungen bei jedem Unternehmen dazu, dass die aktuellen datenschutzrechtlichen Prozesse und Abläufe angepasst werden müssen. Betroffen sind nicht nur Unternehmen, die im Internet tätig sind: Es genügt bereits, wenn die Personalabteilung eines Unternehmens die Daten der Mitarbeiter elektronisch verarbeitet. Jedoch enthält die EU-DS-GVO auch 50 sogenannte Öffnungsklauseln, die es dem jeweiligen nationalen Gesetzgeber ermöglichen, einzelne Vorschriften anders zu handhaben. Ein deutsches Datenschutzgesetz wird es deshalb weiterhin geben und ein entsprechender Entwurf liegt auch bereits vor.

Die EU-DS-GVO bestimmt darüber hinaus nicht nur den sachlichen Anwendungsbereich des Datenschutzes, sondern greift insbesondere auch räumlich. US-amerikanische Unternehmen, die in der EU über das Internet agieren, unterliegen somit auch den neuen Vorschriften. Beim Thema Datenschutz müssen demnach Messenger-Apps wie WhatsApp oder Snapchat künftig auch die neuen EU-Regelungen beachten.

EU-Datenschutz-Grundverordnung: Wie gehe ich vor?

  1. Zunächst gilt es, eine Bestandsaufnahme der datenschutzrechtlichen Prozesse in Ihrem Unternehmen durchzuführen und diese zu evaluieren. Beginnen Sie hiermit rechtzeitig, denn das Datenmanagement muss in allen Abteilungen, die Daten verarbeiten, überprüft werden.
  2. Jedes Unternehmen sollte in diesem Zusammenhang einen Compliance-Verantwortlichen ernennen oder extern anheuern, der dafür sorgt, dass die sensiblen Daten in Ihrem Unternehmen stets nach den neuesten Verordnungen behandelt werden.
  3. Setzen Sie sich inhaltlich mit der EU-Datenschutz-Grundverordnung auseinander und mit den daraus resultierenden Änderungen im Vergleich zu bislang geltendem Recht. Hilfestellung bei der Auslegung oder weitere Informationen zur EU-DV-GVO erhalten Sie hier.
  4. Beziehen Sie Ihre Mitarbeiter mit ein und organisieren Sie eine Schulung, sodass sich auch Ihre Mitarbeiter der neuen Datenschutzpraxis bewusst werden. Denn es sind Ihre Mitarbeiter, die die neuen Vorschriften zukünftig beachten und einhalten müssen.
  5. Führen Sie eine Compliance-Gefährdungsanalyse durch, um Compliance-Risiken zu identifizieren und zukünftig zu minimieren.
  6. Überprüfen Sie jene Prozesse und Dokumente in Ihrem Unternehmen, bei denen Daten verarbeitet werden.
  7. Dokumentieren Sie, welche Daten verarbeitet werden, woher diese Daten stammen und an wen sie weitergegeben werden. Nur so können Sie der EU-DV-GVO nachkommen.
  8. Spätestens bis zum 25. Mai 2018 müssen die neuen Regelungen umgesetzt sein, um Sanktionen zu vermeiden.
  9. Die EU-DV-GVO sind nicht nur ein Thema für den betrieblichen Datenschutzbeauftragten und die Geschäftsführung: Informieren Sie alle betroffenen Abteilungen in Ihrem Unternehmen.

Welche Prozesse und Dokumente müssen im Unternehmen überprüft werden?

  • Dokumentation der Datenverarbeitungsprozesse im Unternehmen
  • Datenschutzerklärungen
  • Einwilligungserklärungen
  • Verträge
  • Vorlagen und Prüflisten
  • Prozesse zum Widerruf der Einwilligung
  • Anpassung der Betriebsvereinbarungen an DS-GVO
  • Prozesse zur Umsetzung von Widersprüchen
  • Vereinbarungen zur Auftragsverarbeitung
  • Prozesse bei Datenpannen
  • Verfahren, um Daten in gängigen elektronischen Formaten übertragen zu können
  • Schulungen und Fortbildungen zum Thema Datenschutz und der EU-DS-GVO
  • Compliance-Gefährdungsanalyse zur Festlegung geeigneter technisch-organisatorischer Maßnahmen
  • Einführung von Privacy Impact Assessment
  • Monitoring nationaler und internationaler Gesetzgebung

Wer muss im Unternehmen über die Änderungen informiert werden?

Über die Änderungen Ihrer datenschutzrechtlichen Prozesse sollten neben dem betrieblichen Datenschutzbeauftragten und der Geschäftsleitung auch andere Abteilungen informiert werden:

  • Recht und Compliance
  • IT-Security
  • Finanzen
  • Forschung und Entwicklung
  • Personalabteilung
  • Betriebsrat

Was ändert sich durch die neue Datenschutzgrundverordnung konkret?

  • Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich europaweit nach dem Hauptsitz bzw. der Niederlassung, die generell über die Datenverarbeitung entscheidet
  • Drastische Erhöhung der Geldbußen für Verstöße auf bis zu 4 Prozent des weltweiten Umsatzes pro Verstoß. Die EU-DS-GVO stützt sich auf den weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres des Unternehmens
  • Neue Begriffsdefinitionen
  • Neue Regelung für die Verarbeitung und Weiterverarbeitung von Daten zu anderen Zwecken als den ursprünglichen Erhebungszwecken
  • Die Einwilligungserklärung erfordert eine freiwillige, spezifisch informierte und eindeutige Handlung, welche auch elektronisch abgegeben werden kann
  • Unternehmen müssen danach den Nachweis erbringen, dass eine Einwilligung abgegeben wurde
  • Der Nutzer muss die Einwilligung zudem “jederzeit” und “ohne Begründung” widerrufen können
  • Koppelungsverbot bei Einwilligungen
  • Als Unternehmen müssen Sie dem Nutzer zukünftig eine Reihe an Informationen zur Verfügung stellen. Diese sollten z.B. folgende Fragen beantworten: Auf welcher Rechtsgrundlage stützt sich meine Datenverarbeitung? Wie lange werden die Daten gespeichert?
  • Es gibt eine neue Portabilitätsverpflichtung für Daten, die der Kunde selbst zur Verfügung gestellt hat. Fragt der Kunde die personenbezogenen Daten bei Ihnen an, müssen Sie in der Lage sein, dem Betroffenen diese in einem gängigen und elektronischen Format bereitzustellen und auf Wunsch auch direkt an Dritte zu übermitteln
  • Geben Sie Daten, die nicht aktuell sind, an Dritte weiter, sind Sie in der Pflicht, die Organisation über diese sachliche Unrichtigkeit aufzuklären
  • Der Nutzer ist “deutlich und getrennt” von jeglicher anderer Information auf das Widerspruchsrecht bei Datenschutzerklärungen hinzuweisen
  • “Joint Controllership”: Verarbeiten zwei Parteien gemeinsam Daten, sind beide Parteien für die Einhaltung der Richtlinien verantwortlich und legen die Verantwortlichkeiten vertraglich untereinander fest
  • Im Zuge der Pflichten eines Auftragsverhältnisses wird der Auftragsverarbeiter für seinen Verantwortungsbereich stärker in die Pflicht genommen
  • Datenverarbeiter müssen zukünftig eine schriftliche bzw. elektronische Dokumentation ihrer Verarbeitungstätigkeiten anlegen und auf Verlangen der Aufsichtsbehörde zur Verfügung stellen
  • Das Dokumentieren der Risikoeinschätzung hinsichtlich der angemessenen technisch-organisatorischen Maßnahmen wird notwendig
  • Datenschutz-Folgenabschätzung statt Vorabkontrolle, der ein Risikomanagement vorausgehen sollte
  • Erweiterte Melde- und Benachrichtigungspflichten bei Datenschutzpannen

Spätestens im Mai 2018 geht das Thema Datenschutz alle etwas an. Und weil “Juristendeutsch” bekanntlich für den Laien nicht immer verständlich klingt, gilt es, sich frühzeitig Hilfestellung zur Auslegung der EU-Datenschutz-Grundverordnung zu holen. Bitkom z.B. bietet zu diesem Thema umfassende, weitere Informationen.

Datenschutz wird auch bei Squared Online thematisiert und ist Teil des 3. Moduls ("Optimierend Denken") unseres Digital Marketing und Leadership Kurses. Hier erfahren Sie mehr:

Weitere Infos zu Squared Online

Topics: Optimierend Denken