Datenschutz-Grundverordnung 2018 – Was tun?

Bereiten Sie Ihr Unternehmen auf das Inkrafttreten der neuen Datenschutz-Grundverordnung am 25.05.2018 vor!

I. Worum geht es? Die Datenschutz-Grundverordnung 2018 (DSGVO)

• Neue Rechtslage ab dem 25.05.2018

Am 25.05.2018 läuft die Frist für die Umsetzung der Datenschutz-Grundverordnung ab. Ein neues Datenschutzrecht tritt europaweit in Kraft, welches das bisherige Bundesdatenschutzgesetz ablöst. Unternehmen haben umfangreiche neue Pflichten, deren Einhaltung mit Bußgeldern und Strafen kontrolliert wird. 

• Anforderungen an Unternehmen

Bis zum oben genannten Datum müssen alle Datenschutzerklärungen von Unternehmen und Gewerbetreibenden, egal ob online oder offline, an die neue Rechtslage angepasst sein. Außerdem müssen alle Unternehmen mit mehr oder weniger umfangreichen Maßnahmen ein Datenschutz-Management installiert haben, das den neuen Rechtsvorschriften entspricht. Unter anderem werden z. B. die Rechte Betroffener erweitert, deren Daten Sie verarbeiten.

• Kontrollen durch die Aufsichtsbehörden

Unternehmen müssen damit rechnen, dass die Aufsichtsbehörden ab dem oben genannten Datum die Umsetzung und Einhaltung der Grundverordnung überprüfen, indem sie Kataloge mit Fragen zur Datenschutzpraxis im Unternehmen vorlegen und entsprechende Antworten einfordern (sogenanntes Audit), deren Richtigkeit dann auch überprüft werden kann. Angesichts vieler rechtlicher Unsicherheiten im Detail aufgrund der Neuheit der Regelungen ist damit zu rechnen, dass nach Inkrafttreten der Verordnung zunächst allgemeine, aber dafür breit angelegte Prüfungen erfolgen werden. Unternehmen sollten darauf gut vorbereitet sein, weil empfindliche Geldbußen bis hin zu Strafen drohen; davon abgesehen ist auch mit Abmahnungen von Mitbewerbern und Konkurrenten zu rechnen. 

• Neue Rechtsvorschriften zu unterschiedlichen Themen 

Mit der Datenschutz-Grundverordnung kommen für Unternehmen neue Themen i.S. Datenschutz auf, mit denen sie sich auseinandersetzen müssen. Es gibt umfangreiche und detaillierte gesetzliche Vorgaben, die erfüllt werden müssen. Im Rahmen eines Audits (s.o. Ziffer 3.) müssen Sie unter anderem mit folgenden Fragen seitens der Aufsichtsbehörden rechnen:

1. Thema Datenschutzbeauftragter, Art. 37 Abs. 8 DSGVO: Sind die Verantwortlichkeiten im Datenschutz in Ihrem Unternehmen geregelt und gibt es einen betrieblichen Datenschutzbeauftragten? Wenn ja, wurde der Datenschutzbeauftragte bereits der zuständigen Aufsichtsbehörde gemeldet? Gibt es Regelungen, wann er von wem einzubeziehen ist? 
2. Thema Datenverarbeitungsverzeichnis: Gibt es ein Verzeichnis der Verarbeitungstätigkeiten, wie in Art. 30 DSGVO vorgeschrieben?
3. Thema externe Auftragnehmer: Wenn Sie Aufträge an externe Subunternehmer vergeben – haben die Vereinbarungen diesen Mindestinhalt nach dem neuen Art. 28 Abs. 2 DSGVO und können Sie das nachweisen?
4. Thema Datenschutz-Informationen/Datenschutzerklärung: Sind die Texte zur Informierung von Betroffenen, deren Daten Sie speichern, den Anforderungen aus Art. 13, 14 DSGVO angepasst? (Neu aufzunehmen sind die Kontaktdaten des Datenschutzbeauftragten, Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, gegebenenfalls die berechtigten Interessen und die Standard Datenschutzklausel, Angaben zur Speicherungsdauer, Hinweise auf das jederzeitige Recht zum Widerruf der Einwilligung und vieles andere mehr).
5. Thema Rechtmäßigkeitsnachweis in der Datenverarbeitung: Können Sie die Rechtmäßigkeit Ihrer Datenverarbeitung nachweisen, zum Beispiel bezüglich Zwecken, Empfängern oder Löschfristen (Art. 5 Abs. 2 DSGVO)? Entsprechen die Einwilligungen, die Ihnen derzeit von Betroffenen vorliegen, noch den Voraussetzungen der Art. 7 und 8 DSGVO und können Sie das Vorliegen der Einwilligungen nachweisen?
6. Thema Sicherheitsanforderungen: Entsprechen Ihre Konzepte zur Überprüfung der Sicherheit der Datenschutzverarbeitung den Anforderungen des neuen Art. 32 DSGVO? Ist sichergestellt (Art. 33 DSGVO), dass die Meldung von Verletzungen beim Schutz personenbezogener Daten innerhalb von 72 Stunden an der Aufsichtsbehörde möglich ist?

Mit dieser kleinen Auswahl möglicher behördlicher Prüfungspunkte wollen wir Ihnen einen Eindruck davon vermitteln, was auf Unternehmen nach der Rechtsänderung zukommen kann. Die gute Nachricht: Sie können sich darauf vorbereiten und noch im Vorfeld die erforderlichen Maßnahmen in Ihrem Unternehmen treffen, um nach der Rechtsänderung einer möglichen Prüfung gelassen begegnen zu können. 

II. Was Sie zur Vorbereitung tun können

Folgende Maßnahmen empfehlen wir schon heute:

1. Aufbau des Verzeichnisses aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, in dem folgende Angaben enthalten sein sollten: Name und Kontaktdaten des Datenschutzverantwortlichen, Zwecke und der Verarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Kategorien von Empfängern, denen die personenbezogenen Daten offen gelegt werden (einschließlich Übermittlungen ins Ausland), vorgesehene Fristen für die Datenlöschung und Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Datensicherheit.
2. Aufbau von Datenschutz-Sicherheitsmaßnahmen gemäß Art. 32 DSGVO, wie zum Beispiel: Verschlüsselung personenbezogener Daten, Sicherstellung der Systemstabilität und Verfügbarkeit bzw. Belastbarkeit bei der Datenverarbeitung, Fähigkeit, den Datenverkehr und die Datenverfügbarkeit bei einem technischen Zwischenfall rasch wiederherzustellen, Entwicklung eines Verfahrens zur regelmäßigen Überprüfung der Wirksamkeit des Datenschutzes und der Sicherheitssysteme.
3. Aktualisierung und Anpassung Ihrer Verträge mit Dritten, z. B. Auftragnehmern, die mit Daten Ihrer Kunden in Berührung kommen, gemäß Art. 28 DSGVO. Sie erhalten in Kürze von den Aufsichtsbehörden entsprechende Muster zum Abschluss von Datenschutzverträgen.
4. Weitere Maßnahmen sollten Sie je nach Unternehmensbranche individuell durchführen. Wir beraten Sie gerne dazu. 

Wenn Sie Fragen zur neuen Datenschutz-Grundverordnung haben oder Hilfe brauchen, rufen Sie uns einfach an oder schreiben Sie uns eine Mail.