EU Datenschutz-Grundverordnung
Datenschutz als Projekt angehen
Seit dem 25. Mai 2018 gilt in der EU die Datenschutzgrundverordnung (DS-GVO). Dies stellt Unternehmen vor große Herausforderungen, da datenschutzrechtliche Vorschriften bisher eher als Empfehlung betrachtet wurden und sich viele Unternehmer daher erstmalig mit dem Thema Datenschutz auseinandersetzen müssen. Bei Nichteinhaltung der DS-GVO drohen hohe Bußgelder, bis zu 20 Mio. Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem welcher Wert der höhere ist. Auch wenn diese astronomischen Beträge bei kleinen und mittelständischen Unternehmen (KMU) eher nicht zum Tragen kommen werden, so liegt die Brisanz dieses hohen Bußgeldrahmens darin, dass Verstöße, die bisher als Bagatellen abgetan wurden, erhebliche vier- bis fünfstellige Bußgelder nach sich ziehen können. Dies gilt zum Beispiel für den Fall, dass ein betrieblicher Datenschutzbeauftragter hätte bestellt werden müssen, aber nicht bestellt wurde. Viel Zeit bleibt den Unternehmen nicht mehr, um ihre Prozesse an die neuen Regelungen der DS-GVO und des neuen Bundesdatenschutzgesetzes anzupassen. Was sollte mindestens erledigt werden, um Datenpannen, Beschwerden von Betroffenen, aber auch rechtliche Sanktionen zu vermeiden?
1. Bestandsaufnahme
Zunächst sollten Unternehmen alle datenschutzrelevanten Prozesse überprüfen. Welche personenbezogenen Daten verarbeiten sie (zum Beispiel Kundenkontakte, Daten von Auftraggebern, Personaldaten), welche Mitarbeiter haben Zugriff, wo befinden sich die Daten, welche Schutzvorkehrungen sind vorhanden? Diesen festgestellten Status quo können sie als Istzustand mit dem Sollzustand nach der DS-GVO vergleichen. Anschließend sollten sie einen entsprechenden Maßnahmenkatalog mit einem zeitlichen Fahrplan für die Umsetzung festlegen.
2. Verzeichnisse aufbauen
Das Verzeichnis für Verarbeitungstätigkeiten ist nichts anderes als das nach dem alten Bundesdatenschutzgesetz (BDSG) bekannte Verfahrensverzeichnis. Dieses muss neben Kontaktdaten der Verantwortlichen und ggf. Datenschutzbeauftragten insbesondere Angaben über Art und Umfang zu verarbeitender Daten, Zwecke der Verarbeitung, Kategorien von Betroffenen und Empfängern, Löschfristen und eine allgemeine Beschreibung technisch-organisatorischer Maßnahmen (TOM) zum Schutz der Daten enthalten. Unternehmen können das Verzeichnis zusätzlich nutzen, um ihren übrigen Rechenschaftspflichten nachzukommen. Sie können darin etwa dokumentieren, ob Rechtsgrundlagen der Datenverarbeitung überprüft wurden, Einwilligungen vorhanden sind oder ob und in welcher Weise eine Datenschutzfolgeabschätzung vorgenommen wurde. So können sie jederzeit gegenüber der Aufsichtsbehörde nachweisen, dass sie alle notwendigen Maßnahmen für den Datenschutz ergriffen haben.
3. Rechtsgrundlagen überprüfen
Unternehmen müssen überprüfen und dokumentieren, ob Rechtsgrundlagen für die Verarbeitung und Nutzung personenbezogener Daten vorhanden sind. Dies können Verträge, gesetzlich geregelte rechtliche Verpflichtungen oder Einwilligungen der Betroffenen sein. Eine Einwilligung ist künftig rechtskonform, wenn sie aus einer freien und informierten Entscheidung des Betroffenen erfolgt und diese schriftlich unter Hinweis auf die Widerruflichkeit eingeholt worden ist. Wichtig: Newsletter-Werbung ohne schriftliche Einwilligungserklärung stellt nicht nur einen Datenschutz-, sondern auch einen Wettbewerbsverstoß dar, der kostenpflichtig abgemahnt werden kann.
4. Auftragsdatenverarbeitung regeln
Wenn ein Unternehmen einen Dritten damit beauftragt, personenbezogene Daten zu verarbeiten (zum Beispiel Druck und Versand von Werbeflyern), ist eine Auftragsdatenvereinbarung erforderlich. Dies galt schon nach bisherigem Recht, wurde aber oft nicht umgesetzt. Angesichts des nun erhöhten Bußgeldrahmens ist das dringend nachzuholen. Bereits bestehende Auftragsdatenverarbeitungsverträge sollten überprüft und angepasst werden.
5. Datensicherheit überprüfen
Firmen müssen technisch-organisatorische Maßnahmen (TOM) treffen, um rechtmäßig erlangte Daten zu sichern und zu schützen. Zu regeln sind beispielsweise Zugriffsrechte, Passwortschutz, Firewalls und Back-ups gegen Datenverlust. Die Sicherheitsmaßnahmen müssen dokumentiert und auf Anfrage der Datenschutzaufsicht ausgehändigt werden.
6. Datenschutzbeauftragten bestellen
Unternehmen, in denen regelmäßig mehr als neun Personen Zugriff auf Kunden- oder Mitarbeiterdaten haben, müssen einen Datenschutzbeauftragten bestellen. Sonderregeln bestehen für Unternehmen, die mit besonders sensiblen Daten umgehen, wie etwa Gesundheitsdaten. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und auch der Aufsichtsbehörde mitzuteilen. Durch diese neue Meldepflicht weiß die Aufsichtsbehörde künftig, ob ein Unternehmen einen Datenschutzbeauftragten bestellt hat oder nicht und kann entsprechend bereits bei Nichtmeldung erste Bußgelder verhängen.
Mit diesen Themen sollte sich jedes Unternehmen in Umsetzung der DS-GVO auseinandersetzen:
- Rechtmäßigkeit der Datenverarbeitung (Art. 6 ff DS-GVO)
- Umgang mit Einwilligungen (Art. 7 DS-GVO)
- Informationspflichten (Art. 13 und 14 DS-GVO)
- Rechenschaftspflicht (Art. 5 DS-GVO)
- Sicherstellung der Betroffenenrechte (Art. 15 ff. DS-GVO)
- Auftragsverarbeitung (Art. 28 DS-GVO)
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO)
- Sicherheit der Verarbeitung (Art. 32 DS-GVO)
- Umgang mit Datenpannen (Art. 33 DS-GVO)
- Datenschutz-Folgenabschätzung (Art. 35 DS-GVO)
- Datenschutzbeauftragter (Art. 37 ff. DS-GVO, § 38 BDSG neu)
- Beschäftigtendatenschutz (§ 26 BDSG neu)
Weitergehende Informationen (Mustervorlagen, Handlungsanweisungen) sind auch auf der Homepage des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) einsehbar.
Link

+49 3681 362-114