Datenschutz und EU-DSGVO

Am 25. Mai 2018 trat die Änderung EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.
Seit jenem Datum müssen Unternehmen ihre Prozesse an die neuen Datenschutz-Anforderungen angepasst haben. Viele Anforderungen waren bereits vorher bekannt, z.B war die Führung eines Verfahrensverzeichnisses schon nach dem Bundesdatenschutzgesetz verpflichtend, ebenso die Vorabkontrolle. Neu war die Nachweispflicht, durch die die Verantwortlichkeit der Unternehmen verdeutlicht wurde. Bußgelder bis maximal 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes können die Folge sein.
Es lohnt sich also, sich mit den Herausforderungen des Datenschutzes zu beschäftigen.

Fragebogen zur Bestandsaufnahme im Unternehmen

Die Umsetzung der DSGVO führt in Unternehmen immer wieder zu Fragen und Hindernissen. Zur Sicherheit ist eine regelmäßige Überprüfung der Umsetzung erforderlich. Für Unternehmen kann deshalb ein Selbstaudit zur Umsetzung der DSGVO hilfreich sein.
Unternehmen können mit Hilfe des IHK-Fragebogens (DOCX-Datei · 36 KB) ermitteln, wie weit die interne Umsetzung der DSGVO ist und an welchen Stellen nachgebessert werden sollte.

Was ist zu tun?

Es ist sinnvoll – beispielsweise mithilfe des Fragebogens – regelmäßig eine Bestandsaufnahme zu machen und zu prüfen, welche datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden und ob sie mit der DSGVO kompatibel sind.
Insbesondere:
  • Wurde bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerrufsrecht hingewiesen? Falls nicht, muss dies nachgeholt werden.
  • Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Technologien eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig. Diese muss bei vorhandenen Verarbeitungen nachgeholt werden.
  • Sind mit den IT-Dienstleistern Vereinbarungen zur Auftragsverarbeitung geschlossen worden? Falls ja, müssen sie überprüft werden: Genügen die technisch-organisatorischen Maßnahmen bei dem Dienstleister den Anforderungen an das Schutzniveau der Daten? Auch hier muss eine Risikobewertung durchgeführt werden. Falls solche Vereinbarungen bisher nicht geschlossen wurden, sollten sie unter Beachtung des neuen Rechts formuliert werden.
Der Transparenz wird große Bedeutung zugemessen. Insofern ist über die wesentlichen Verarbeitungen personenbezogener Daten zu informieren, um den Betroffenenrechten dadurch Genüge zu tun.
Die Nachweispflicht verlangt, dass die notwendigen Dokumente und Prozesse zur Einhaltung der DSGVO vorhanden sind und eingehalten werden:
  • Gibt es einen Prozess zur Einholung und Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist?
  • Wie und von wem werden Auskunftsersuchen beantwortet?
  • Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt?
Für die Beantwortung solcher Fragen bieten sich Richtlinien an, die auch im Rahmen eines Compliance-Managements erlassen werden können oder eine Verknüpfung mit einem vorhandenen Qualitätsmanagement.

Die Verantwortlichkeit liegt bei der Geschäftsleitung

Eindeutig ist, dass die Leitung des Unternehmens die Verantwortung für die Umsetzung der DSGVO trägt. Sie ist nicht auf einen betrieblichen Datenschutzbeauftragten delegierbar. Seine Aufgabe – unabhängig davon, ob er ein Mitarbeiter ist oder ein Externer – besteht im Wesentlichen in der Überwachung der datenschutzrechtlichen Prozesse und der Beratung.

Datenschutzbeauftragte/r ab 20 Beschäftigten

Am 20. September 2019 hat der Bundesrat dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz zugestimmt. Damit wurde unter anderem das Bundesdatenschutzgesetz (BDSG) geändert.
Eine wesentliche Änderung im BDSG betraf die Benennungspflicht eines betrieblichen Datenschutzbeauftragten. Betriebe müssen einen solchen nur noch benennen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Vorher lag die Grenze bei 10 Beschäftigten.

Weiterführende Informationen

Weitere Informationen zur DSGVO erhalten Sie über die Landesbeauftragte für Datenschutz- und Informationsfreiheit NRW und in den Newslettern.