10-Punkte-Plan zur Umsetzung der EU-DSGVO

Posted by Theresa Gloede on 12.06.2017 21:08:26

Eine neue Studie zeigt: Deutsche Unternehmen sind noch nicht bereit für die neue Datenschutzgrundverordnung. Das kann ab 25. Mai teuer werden. Jedes Unternehmen, das Daten verarbeitet, muss dann die neuen Regelungen einhalten. Ganz gleich, ob es in der IT-Branche tätig ist oder nicht. 


Die DSGVO gilt ab 25. Mai 2018

In Zeiten von Big Data nehmen Cyberattacken auf sensible Daten zu. Mit der EU-Datenschutz-Grundverordnung soll deshalb EU-weit mehr Datensicherheit gewährleistet werden. Wer seine bisherige Datenschutzpraxis noch nicht überprüft und an die neuen Vorschriften angepasst hat, sollte spätestens jetzt handeln.

Wir haben für Sie eine Checkliste mit den wichtigsten Schritten zur Umsetzung der EU-DSGVO zusammengestellt.

Die EU-Datenschutz-Grundverordnung ist da: Worauf müssen sich Unternehmen in Deutschland einstellen?

Die EU-Datenschutz-Grundverordnung (EU-DS-GVO) trat bereits am 25. Mai 2016 in Kraft, kommt aber erst zwei Jahre später zur Anwendung und gilt ab 25. Mai 2018 für alle Mitgliedstaaten der Europäischen Union. Sie umfasst alle Vorgänge, an denen EU-Bürger beteiligt sind und bei denen personenbezogene Daten von EU-Bürgern verarbeitet werden.

In Deutschland werden hiernach die bisher geltenden Regelungen des Bundesdatenschutzes (BDSG) weitestgehend ersetzt. Auch wenn die Grundsätze des Datenschutzes im Kern erhalten bleiben, so wird sich doch einiges ändern. Zwangsläufig führen diese Änderungen bei jedem Unternehmen dazu, dass die aktuellen datenschutzrechtlichen Prozesse und Abläufe angepasst werden müssen.


Von der DSGVO betroffen sind nicht nur Unternehmen, die im Internet tätig sind: Es genügt bereits, wenn die Personalabteilung eines Unternehmens die Daten der Mitarbeiter elektronisch verarbeitet.


Jedoch enthält die EU-DS-GVO auch 50 sogenannte Öffnungsklauseln, die es dem jeweiligen nationalen Gesetzgeber ermöglichen, einzelne Vorschriften anders zu handhaben. Ein deutsches Datenschutzgesetz wird es deshalb weiterhin geben und ein entsprechender Entwurf liegt auch bereits vor.

Die EU-DS-GVO bestimmt darüber hinaus nicht nur den sachlichen Anwendungsbereich des Datenschutzes, sondern greift insbesondere auch räumlich. US-amerikanische Unternehmen, die in der EU über das Internet agieren, unterliegen somit auch den neuen Vorschriften. Beim Thema Datenschutz müssen demnach Messenger-Apps wie WhatsApp oder Snapchat künftig auch die neuen EU-Regelungen beachten. 

10-Punkte-Plan zur Umsetzung der EU-DSGVO: So gehen Sie vor

  1. Zunächst gilt es, eine Bestandsaufnahme der datenschutzrechtlichen Prozesse in Ihrem Unternehmen durchzuführen und diese zu evaluieren. Beginnen Sie hiermit rechtzeitig, denn das Datenmanagement muss in allen Abteilungen, die Daten verarbeiten, überprüft werden.
  2. Jedes Unternehmen sollte in diesem Zusammenhang einen Compliance-Verantwortlichen ernennen oder extern anheuern, der dafür sorgt, dass die sensiblen Daten in Ihrem Unternehmen stets nach den neuesten Verordnungen behandelt werden. Es gibt zudem einige Anbieter, die eine Ausbildung zum Datenschutzbeauftragten anbieten.
  3. Setzen Sie sich inhaltlich mit der EU-Datenschutz-Grundverordnung auseinander und mit den daraus resultierenden Änderungen im Vergleich zu bislang geltendem Recht. Hilfestellung bei der Auslegung oder weitere Informationen zur EU-DV-GVO erhalten Sie hier.
  4. Beziehen Sie Ihre Mitarbeiter mit ein und organisieren Sie eine Schulung oder ermöglichen Sie die Teilnahme an einem Onlinekurs zur neuen Datenschutz-Grundverordnung, sodass sich auch Ihre Mitarbeiter der neuen Datenschutzpraxis bewusst werden. Denn es sind Ihre Mitarbeiter, die die neuen Vorschriften zukünftig beachten und einhalten müssen. 
  5. Führen Sie eine Compliance-Gefährdungsanalyse durch, um Compliance-Risiken zu identifizieren und zukünftig zu minimieren.
  6. Überprüfen Sie jene Prozesse und Dokumente in Ihrem Unternehmen, bei denen Daten verarbeitet werden.
  7. Dokumentieren Sie, welche Daten verarbeitet werden, woher diese Daten stammen und an wen sie weitergegeben werden. Nur so können Sie der EU-DV-GVO nachkommen.
  8. Spätestens bis zum 25. Mai 2018 müssen die neuen Regelungen umgesetzt sein, um Sanktionen zu vermeiden.
  9. Die EU-DV-GVO sind nicht nur ein Thema für den betrieblichen Datenschutzbeauftragten und die Geschäftsführung: Informieren Sie alle betroffenen Abteilungen in Ihrem Unternehmen.
  10. Dokumentieren Sie alle wesentlichen Fakten rund um die DSGVO sichtbar in Ihrem Unternehmen, so können die neuen Regeln effektiver eingehalten werden.

Welche Prozesse und Dokumente müssen im Unternehmen überprüft werden?

  • Dokumentation der Datenverarbeitungsprozesse im Unternehmen
  • Datenschutzerklärungen
  • Einwilligungserklärungen
  • Verträge
  • Vorlagen und Prüflisten
  • Prozesse zum Widerruf der Einwilligung
  • Anpassung der Betriebsvereinbarungen an DS-GVO
  • Prozesse zur Umsetzung von Widersprüchen
  • Vereinbarungen zur Auftragsverarbeitung
  • Prozesse bei Datenpannen
  • Verfahren, um Daten in gängigen elektronischen Formaten übertragen zu können
  • Schulungen und Fortbildungen zum Thema Datenschutz und der EU-DS-GVO
  • Compliance-Gefährdungsanalyse zur Festlegung geeigneter technisch-organisatorischer Maßnahmen
  • Einführung von Privacy Impact Assessment
  • Monitoring nationaler und internationaler Gesetzgebung

Wer muss im Unternehmen über die Änderungen informiert werden?

Über die Änderungen Ihrer datenschutzrechtlichen Prozesse sollten neben dem betrieblichen Datenschutzbeauftragten und der Geschäftsleitung auch andere Abteilungen informiert werden:

  • Recht und Compliance
  • IT-Security
  • Finanzen
  • Forschung und Entwicklung
  • Personalabteilung
  • Betriebsrat

Was ändert sich durch die neue Datenschutzgrundverordnung konkret?

  • Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich europaweit nach dem Hauptsitz bzw. der Niederlassung, die generell über die Datenverarbeitung entscheidet
  • Drastische Erhöhung der Geldbußen für Verstöße auf bis zu 4 Prozent des weltweiten Umsatzes pro Verstoß. Die EU-DS-GVO stützt sich auf den weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres des Unternehmens
  • Neue Begriffsdefinitionen
  • Neue Regelung für die Verarbeitung und Weiterverarbeitung von Daten zu anderen Zwecken als den ursprünglichen Erhebungszwecken
  • Die Einwilligungserklärung erfordert eine freiwillige, spezifisch informierte und eindeutige Handlung, welche auch elektronisch abgegeben werden kann
  • Unternehmen müssen danach den Nachweis erbringen, dass eine Einwilligung abgegeben wurde
  • Der Nutzer muss die Einwilligung zudem "jederzeit" und "ohne Begründung" widerrufen können
  • Koppelungsverbot bei Einwilligungen
  • Als Unternehmen müssen Sie dem Nutzer zukünftig eine Reihe an Informationen zur Verfügung stellen. Diese sollten z.B. folgende Fragen beantworten: Auf welcher Rechtsgrundlage stützt sich meine Datenverarbeitung? Wie lange werden die Daten gespeichert?
  • Es gibt eine neue Portabilitätsverpflichtung für Daten, die der Kunde selbst zur Verfügung gestellt hat. Fragt der Kunde die personenbezogenen Daten bei Ihnen an, müssen Sie in der Lage sein, dem Betroffenen diese in einem gängigen und elektronischen Format bereitzustellen und auf Wunsch auch direkt an Dritte zu übermitteln
  • Geben Sie Daten, die nicht aktuell sind, an Dritte weiter, sind Sie in der Pflicht, die Organisation über diese sachliche Unrichtigkeit aufzuklären
  • Der Nutzer ist “deutlich und getrennt” von jeglicher anderer Information auf das Widerspruchsrecht bei Datenschutzerklärungen hinzuweisen
  • “Joint Controllership”: Verarbeiten zwei Parteien gemeinsam Daten, sind beide Parteien für die Einhaltung der Richtlinien verantwortlich und legen die Verantwortlichkeiten vertraglich untereinander fest
  • Im Zuge der Pflichten eines Auftragsverhältnisses wird der Auftragsverarbeiter für seinen Verantwortungsbereich stärker in die Pflicht genommen
  • Datenverarbeiter müssen zukünftig eine schriftliche bzw. elektronische Dokumentation ihrer Verarbeitungstätigkeiten anlegen und auf Verlangen der Aufsichtsbehörde zur Verfügung stellen
  • Das Dokumentieren der Risikoeinschätzung hinsichtlich der angemessenen technisch-organisatorischen Maßnahmen wird notwendig
  • Datenschutz-Folgenabschätzung statt Vorabkontrolle, der ein Risikomanagement vorausgehen sollte
  • Erweiterte Melde- und Benachrichtigungspflichten bei Datenschutzpannen

 

Fazit

Spätestens im Mai 2018 geht das Thema Datenschutz alle etwas an. Und weil "Juristendeutsch" bekanntlich für den Laien nicht immer verständlich klingt, gilt es, sich frühzeitig Hilfestellung zur Auslegung der EU-Datenschutz-Grundverordnung zu holen. Bitkom z.B. bietet zu diesem Thema umfassende, weitere Informationen.

Topics: Optimierend Denken