Neuen EU-Datenschutzgrundverordnung (DSGVO)

3 Schritte für die neuen EU-Datenschutzregeln

Unternehmen müssen angesichts der neuen EU-Datenschutzgrundverordnung (DSGVO) ihr Datenschutzmanagement jetzt auf den Prüfstand stellen und rechtskonform umgestalten.

  • Andreas Schulz berät bei Bitkom Consult

    Andreas Schulz berät bei Bitkom Consult weltweit agierende Unternehmen, Mittelständler und Start-ups zu Datenschutzfragen. Er ist zudem Datenschutzbeauftragter des Bitkom e.V.

Die neue EU-Datenschutzgrundverordnung (DSGVO) verspricht vor allem eins: einheitliche Datenschutz-Standards für alle in der EU tätigen Unternehmen. Neben zahlreichen inhaltlichen Neuerungen beinhaltet  die DSGVO vor allem einen großen Strauß an neuen Dokumentationspflichten. Unternehmen müssen ihr Datenschutzmanagement jetzt auf den Prüfstand stellen und rechtskonform umgestalten. Denn ab Mai 2018 gelten die neuen Regeln für alle Unternehmen in der EU.

Diese Schritte sind dafür notwendig:

Sofort: Bestandsaufnahme

Wie werden Daten in meinem Unternehmen behandelt? Ein mustergültiges Datenschutzmanagement sucht man in vielen Unternehmen vergeblich. Eine umfassende Dokumentation des Status Quo ist jedoch unumgänglich, wenn Prozesse auch künftig rechtskonform gestaltet werden sollen. Solche Dokumentationen sind im Bereich Datenschutz jetzt schon verpflichtend.

Dazu gehören vor allem ein gepflegtes Verfahrensverzeichnis und ein Überblick über die Vereinbarungen zur Auftragsdatenverarbeitung. Gerade die Diskussion zum Thema Safe Harbor hat gezeigt, dass vielen Unternehmen nicht bewusst ist, welche Daten an welche Vertragspartner transferiert werden und auf welcher Rechtsgrundlage dies erfolgt. Solche Nachlässigkeiten führen zu erheblichem Mehraufwand, wenn Geschäftsprozesse an das neue Recht angepasst werden. Auf Grundlage des geltenden Bundesdatenschutzgesetzes (BDSG) drohen außerdem hohe Bußgelder.

Ebenso müssen Unternehmen ihre Datenschutzerklärungen und Einwilligungen sauber dokumentieren. Betroffene Personen sind grundsätzlich über Art, Umfang und Zweck der Datenverarbeitung zu informieren. Müssen Partner oder Kunden eines Unternehmens für eine Datenverarbeitung einwilligen, so muss die Einwilligung eindeutig und informiert erfolgen. Falls Betroffene oder auch Aufsichtsbehörden solche Einwilligungen einsehen wollen, sollten diese Prozesse schon jetzt nachvollziehbar dokumentiert sein.

 

In den kommenden 12 Monaten: Änderungsbedarf durch die DSGVO identifizieren

Ein Leitgedanke der Grundverordnung liegt im Konzept der „Accountability“. Es ist nicht genug, allein das materielle Datenschutzrecht einzuhalten. Die neue Grundverordnung baut die Transparenz- und Rechenschaftspflichten deutlich aus.
Dies betrifft unter anderem Einwilligungserklärungen. So können Einwilligungen (nun endlich) ausdrücklich auch elektronisch erteilt werden. Dies muss jedoch in jedem Fall in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen. Diese Kombination verlangt besonders sorgfältige Arbeit, wenn Einwilligungstexte zu verfassen sind. Bisherige Texte sollten zeitnah darauf überprüft werden, ob sie den neuen Ansprüchen genügen.

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ersetzt und ergänzt das bisherige Verfahrensverzeichnis. Hier besteht vor allem Anpassungsbedarf für Auftragnehmer einer Auftragsdatenverarbeitung. Auch sie müssen künftig ein Verzeichnis über die von ihnen durchgeführten Verarbeitungstätigkeiten zu führen. Hierdurch soll auf einen Blick sichtbar werden, welche Daten durch die Auftragsdatenverarbeitung in der Verantwortung des Auftragnehmers liegen und wie diese angemessen geschützt werden.

Bis Mai 2018: Neue Konzepte kennenlernen und verankern

Die DSGVO gestaltet nicht nur den bestehenden Rechtsrahmen weiter aus. Sie führt auch eine Reihe von Konzepten und entsprechenden Verpflichtungen ein, die (zumindest in Deutschland) so bisher nicht vorhanden waren.

Besonders wichtig ist dabei die sogenannte Datenschutz-Folgenabschätzung (auch Privacy Impact Assessment, PIA). Ähnlich wie bei einer Vorabkontrolle stellt die Folgenabschätzung sicher, dass die Risiken für Rechte und Freiheiten der Betroffenen formalisiert geprüft werden, wenn neue Verarbeitungsprozesse bzw. neue Technologien im Unternehmen eingeführt werden.

Die DSGVO fordert die Aufsichtsbehörden auf, mit Hilfe von Listen klarzustellen, welche Prozesse stets einer Folgeabschätzung unterliegen und bei welchen umgekehrt darauf verzichtet werden kann. Die in der DSGVO formulierten Mindestinhalte einer Folgenabschätzung werden künftig durch Leitfäden und Handlungsempfehlungen der betroffenen Stakeholder konkretisiert werden. Unternehmen sollten sich dennoch schon frühzeitig mit diesem Konzept vertraut machen.

Ebenfalls neu ist das Recht der Betroffenen auf Datenübertragbarkeit. Künftig muss es also möglich sein, personenbezogene Daten auf Wunsch des Betroffenen von einem Verantwortlichen zu einem anderen Verantwortlichen zu transferieren, also praktisch einen „Datenumzug“ durchzuführen. Dies soll direkt zwischen den Verantwortlichen und in einem strukturierten, gängigen und maschinenlesbaren Format erfolgen. Zwar denkt man bei dieser Regelung schnell an vergleichsweise enge Bereiche wie soziale Netzwerke, diese Regelung gilt aber grundsätzlich für alle Verantwortlichen.

Obwohl die technischen Details in diesem Bereich auszuarbeiten sind, sollten sich auch kleinere und mittlere Unternehmen rechtzeitig in die Diskussion (z.B. in Verbänden) einklinken. Andernfalls droht die Gefahr, bei der Definition technischer Standards hintenanzustehen.

Hohe Bußgelder vermeiden

Zwei Jahre bleiben Unternehmen noch, um ihr Datenschutzmanagement anzupassen. Dennoch sollten sie zügig damit beginnen, sich auf die DSGVO einzustellen. Ohne ein funktionierendes Datenschutzmanagement nach geltendem Recht wird es schwierig, Prozesse rechtzeitig anzupassen und künftig rechtskonformen Datenschutz zu betreiben. Auch vor dem Hintergrund des drastisch erhöhten Bußgeldrahmens der DSGVO (bis zu 4 % des weltweiten Konzernjahresumsatzes oder 20 Mio. Euro) wird Datenschutz als Compliance-Thema maßgeblich an Bedeutung gewinnen.

Bildquelle: Thinkstock / iStock

 

 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok