Die EU-Datenschutz-Grundverordnung ist vom 25. Mai 2018 an geltendes Recht in der Europäischen Union und regelt verbindlich insbesondere den Umgang mit personenbezogenen Daten. Auch wenn damit nicht alle Anforderungen an die Sicherheit und den Schutz x-beliebiger Daten definiert sind, legt die ­Verordnung eine hohe Messlatte, an der Unternehmen aller Art ihre eigenen Sicherheitskonzepte messen ­können.

Bis zum 25. Mai 2018 und damit zur Umsetzung der DSGVO ist nicht mehr viel Zeit. Dabei sind erst ganze zwei Prozent der Unternehmen schon auf die Verordnung vorbereitet, wie die Marktforscher von Vanson Bourne im Auftrag von Veritas Technologies im Juli dieses Jahres ermittelten. Dies kann jedoch teuer werden, denn bei Verstößen gegen die Verordnung drohen ohne weitere Übergangsfristen Strafen von bis zu 20 Mio. Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Betrag der höhere ist.

Es wird also höchste Eisenbahn, sich an die Umsetzung zu machen. Schließlich ist die Verordnung schon 2016 in Kraft getreten, also werden Ausreden („zu wenig Zeit“) am Stichtag kaum Wirkung zeigen. Aber womit fangen Unternehmen an? Mit folgenden zehn Fragen will Dr. Gerald Spiegel von Sopra Steria Consulting den Verantwortlichen die Richtung vorgeben:

1. Wurde die Umsetzung der DSGVO und eines tragfähigen Sicherheitskonzepts zur Chefsache gemacht?

Es wird in jedem Unternehmen eine ganze Reihe von Personen geben, die für die Umsetzung der DSGVO verantwortlich sind. Ein Grund mehr, als Chef die Gesamtverantwortung an sich zu ziehen.

2. Verfügt das Unternehmen über einen betrieblichen Datenschutzbeauftragten?

Artikel 37 der DSGVO verpflichtet eine ganze Reihe von Organisationen, darunter Behörden oder öffentliche Stellen sowie Unternehmen, die umfangreiche regelmäßige und systematische Überwachung von Personen vornehmen, einen Datenschutzbeauftragten zu benennen. Die Kommentare zum Artikel 37 haben die Tendenz, z.B. auch Auskunfteien und Adresshändler zu diesen Organisationen zu zählen.

3. Wie ist sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Prozesses im Unternehmen Berücksichtigung finden?

Die DSGVO fordert von Unternehmen einen durch Technik sowie durch datenschutzfreundliche Voreinstellungen unterstützten Datenschutz. So soll der Missbrauch von Daten von vornherein und garantiert ausgeschlossen werden.

4. Sind Externe zur Erledigung der Arbeiten (Auftragsverarbeiter) eingebunden?

In diesem Fall muss man gemäß Artikel 28 ­DSGVO sicherstellen, dass auch im Auftrag tätige externe Datenverarbeiter die Einhaltung der Verordnung gewährleisten.

5. Wurden Mitarbeiter und Lieferanten darüber in­formiert, wie sie mit datenschutzrechtlich relevanten Informationen im Rahmen der DSGVO umgehen?

Artikel 13 regelt den Fall, dass personenbezogene Daten erhoben werden. Dann muss die betroffene Person u.a. darüber informiert werden, wer dafür verantwortlich ist, was erhoben wird und was gegebenenfalls mit den Daten weiter passieren soll.

6. Sind die Einwilligungserklärungen für Kunden und Interessenten an die Anforderungen der DSGVO bereits angepasst worden?

Neue Bestimmungen gelten auch für die Zustimmung zur Datenverarbeitung. Verantwortliche müssen nachweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Zudem hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen.

7. Gibt es ein Verfahren, um Anträgen von betroffenen Personen auf Auskunft zu den über sie gespeicherten Informationen nachkommen zu können?

Kunden haben das Recht, von Unternehmen Auskunft über die Verarbeitung von Daten zu erhalten, z.B. über die Dauer der Erhebung, die Empfänger der Daten insbesondere in Drittstaaten. Dazu gehört auch das Recht auf Berichtigung oder Löschung von Einträgen.

8. Gibt es für jede Verarbeitungstätigkeit Angaben, ­womit man die Rechtmäßigkeit seiner Verarbeitung nachweisen kann?

Die Rechenschaftspflicht von Unternehmen, die per­sonenbezogene Daten verarbeiten, ist in Artikel 5 ­DSGVO explizit geregelt. Hier müssen Unternehmen u.a. nachweisen können, dass sie Daten rechtmäßig erhoben haben und diese z.B. in für die betroffenen ­Personen nachvollziehbarer Weise verarbeiten.

9. Ist sichergestellt, dass die Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde möglich ist?

Neben den Dokumentations- und Rechenschaftspflichten fordert die DSGVO die Meldung von Fällen, in denen es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist. Diese Meldungen müssen „unverzüglich und möglichst binnen 72 Stunden“ erfolgen. Allerdings gibt es in Artikel 33 auch Ausnahmen für diese Meldepflicht.

10. Sind Prozesse aufgesetzt, wie mit potentiellen Verletzungen intern umzugehen ist?

Um aber den empfindlichen Strafen der DSGVO bei datenschutzrechtlich relevanten Vorfällen auf jeden Fall zu entgehen, brauchen Unternehmen definierte Prozesse für den Umgang mit solchen Ereignissen.

Dazu gehören Regeln für bestimmte Szenarien ebenso wie die Benennung von Verantwortlichen (eventuell über den eigentlichen Datenschutzverantwortlichen ­hinaus).



