EU-Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 müssen Unternehmen ihre Prozesse an die neuen Datenschutz-Anforderungen angepasst haben. Der Vorteil ist, dass viele der neuen Anforderungen schon bekannt waren. So war die Führung eines Verfahrensverzeichnisses bereits nach dem Bundesdatenschutzgesetz verpflichtend, gleiches gilt für die Vorabkontrolle.
Die Verantwortlichkeit für das Unternehmen, das personenbezogene Daten verarbeitet, wird durch eine Nachweispflicht verdeutlicht, die sich auch in den Bußgeldern bis maximal 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes niederschlägt.
Hinzu kommt die Änderung des Bundesdatenschutzgesetzes, die zeitgleich mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft trat. Es lohnt sich also, sich mit den neuen Herausforderungen des Datenschutzes zu beschäftigen.
Unternehmen können mit Hilfe des interaktiven Online-Tests der LDI NRW - der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen - ermitteln, wie weit sie mit der internen Umsetzung der DS-GVO gekommen sind und an welchen Stellen nachgebessert werden sollte.

Was ist zu tun?

Es ist sinnvoll – beispielsweise mithilfe des Fragebogens – eine Bestandsaufnahme zu machen und zu prüfen, welche datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden und ob sie mit der DS-GVO kompatibel sind.
Insbesondere:
  • Wurde bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerrufsrecht hingewiesen? Falls nicht, muss dies nachgeholt werden.
  • Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Technologien eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig. Diese muss bei vorhandenen Verarbeitungen nachgeholt werden.
  • Sind mit den IT-Dienstleistern Vereinbarungen zur Auftragsverarbeitung geschlossen worden? Falls ja, müssen sie überprüft werden: Genügen die technisch-organisatorischen Maßnahmen bei dem Dienstleister den Anforderungen an das Schutzniveau der Daten? Auch hier muss eine Risikobewertung durchgeführt werden. Falls solche Vereinbarungen bisher nicht geschlossen wurden, sollten sie unter Beachtung des neuen Rechts formuliert werden.
Der Transparenz wird große Bedeutung zugemessen. Insofern ist über die wesentlichen Verarbeitungen personenbezogener Daten zu informieren, um den Betroffenenrechten dadurch Genüge zu tun.
Die Nachweispflicht verlangt, dass die notwendigen Dokumente und Prozesse zur Einhaltung der DS-GVO vorhanden sind und eingehalten werden:
  • Gibt es einen Prozess zur Einholung und Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist?
  • Wie und von wem werden Auskunftsersuchen beantwortet?
  • Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt?
Für die Beantwortung solcher Fragen bieten sich Richtlinien an, die auch im Rahmen eines Compliance-Managements erlassen werden können oder eine Verknüpfung mit einem vorhandenen Qualitätsmanagement.

Die Verantwortlichkeit liegt bei der Geschäftsleitung

Eindeutig ist, dass die Leitung des Unternehmens die Verantwortung für die Umsetzung der DS-GVO trägt. Sie ist nicht auf einen betrieblichen Datenschutzbeauftragten delegierbar. Seine Aufgabe – unabhängig davon, ob er ein Mitarbeiter ist oder ein Externer – besteht zukünftig im Wesentlichen in der Überwachung der datenschutzrechtlichen Prozesse und der Beratung.

Weiterführende Informationen

Weitere Informationen zur DS-GVO erhalten Sie über den Landesbeauftragten für Datenschutz- und Informationsfreiheit NRW, in unseren Grundlageninformationen zur DS-GVO oder den umfassenden Merkblättern des Deutschen Industrie- und Handelskammertages (DIHK).