To-Do-Liste für Unternehmer zur neuen EU-Datenschutz-Grundverordnung (DSGVO)

Ab dem 25.Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung in Kraft. Um die neuen Vorschriften einzuhalten, müssen Unternehmen einige Änderungen vornehmen. Wir erklären Ihnen anhand einer To-Do-Liste, was Sie als Unternehmer tun müssen und welche Besonderheiten nach der neuen DSGVO gelten.

1. Allgemeines Datenschutzmanagement einrichten

Wie bereits in unserem allgemeinen Rechtstipp zur Datenschutzgrundverordnung beschrieben, muss nach den neuen Vorschriften das Datenschutzmanagement im Unternehmen überarbeitet werden. Es ist zu klären, ob ein Datenschutzbeauftragter ernannt werden muss und in welcher Weise das Unternehmer die Struktur der Verantwortlichkeiten im Bereich des Datenschutzes regeln sollte. Wichtig ist zudem, dass jeder Mitarbeiter, der mit der Datenverarbeitung beschäftigt ist, ausreichend über den Datenschutz belehrt wurde, sodass er sicher und verantwortungsvoll mit den erhobenen Daten umgehen kann.

2. Einwilligungserklärungen prüfen

Eine Einwilligungserklärung ist eine der grundlegenden Voraussetzungen zur Datenerhebungen. Nach der EU-Datenschutzgrundverordnung muss eine wirksame Einwilligungserklärung mindestens folgende Punkte beinhalten und berücksichtigen:

• Informationen zu Zweck und Umfang der verarbeiteten Daten
• Leicht zugänglich, in klarer Form und einfacher Sprache 
• Hinweis auf jederzeitiges Widerrufsrecht
• Keine Einwilligung von unter 16-Jährigen möglich
• Schriftlich oder elektronisch

3. Verarbeitungsverzeichnis anlegen, Art. 30 DSGVO

Um den sicheren Umgang mit den erhobenen Daten zu vereinfachen, muss ab dem 25. Mai 2018 ein sogenanntes Verarbeitungsverzeichnis nach Art. 30 DSGVO geführt werden. 

Dieses Verarbeitungsverzeichnis soll entweder schriftlich oder elektronisch geführt werden und muss die genauen Verarbeitungstätigkeiten des Unternehmens beinhalten. Verarbeitungstätigkeiten sind zum Beispiel die Erstellung von Adressdatenbanken, Personallisten oder Kundenakten.

Es ist nach der DSGVO zwar kein konkreter Aufbau eines solchen Verzeichnisses vorgeschrieben, folgende Angaben müssen jedoch festgehalten werden: 

• Name und Kontaktdaten des Unternehmens 
• Name und Kontaktdaten des Datenschutzbeauftragten (wenn erforderlich)
• Zweck der Datenverarbeitung (Rechtmäßigkeit)
• Art der verarbeiteten Daten
• Mögliche Empfänger der Daten
• Art der Personen, deren Daten verarbeitet werden (Kunde, Mitarbeiter, Lieferant usw.)
• Übermittlung von Daten in die USA oder in andere nicht EU-Staaten
• Löschfristen 
• Datensicherheit nach Art.32 DSGVO

Sowohl das Führen eines Verarbeitungsverzeichnisses wie auch die Überarbeitung der internen Struktur und die Mitarbeiterverpflichtungen sollen nach der neuen Datenschutzgrundverordnung dazu führen, dass irrelevante Daten nicht gespeichert werden und die Rechtmäßigkeit der Erhebung immer gewährleistet ist.

4. Verträge prüfen

Ein weiterer Schritt ist die Prüfung von Verträgen mit Dritten. Wenn Sie als Unternehmen von sogenannten „Auftragsdatenverarbeitern“ Gebrauch machen, müssen nach der DSGVO ab Mai 2018 in diesen „Auftragsdatenverarbeitungsverträgen“ genau darstellen, welche Information zu welchem Zweck, an wen weitergeben werden. Solche Verträge waren vor der neuen EU-Verordnung nicht immer zwingend notwendig, müssen nun jedoch immer vorhanden sein. Außerdem sollte die Arbeit der Auftragsverarbeiter stetig von Ihnen als Unternehmen überwacht werden, soweit dies möglich und zumutbar ist.

5. IT-Sicherheit gewährleisten 

Die technischen Anforderungen steigen mit den Neuerungen der DSGVO ebenfalls. Jedes Unternehmen muss sicherstellen, dass kein Unbefugter auf die Daten zugreifen kann. Hierfür muss die Technik stets datenschutzfreundlich und immer auf dem neuesten Stand sein. Der Einsatz von Virenschutz und Firewalls ist also Pflicht.

6. Dokumentationspflicht beachten 

Kommt es ab dem 25. Mai 2018 zu einer Datenpanne, unterliegt diese der Dokumentationspflicht und muss innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde übermittelt werden.

Einzige Ausnahme ist eine Datenschutzverletzung, welche nicht zu einem Risiko für die Rechte der Betroffenen führt. Kommt es zu einem besonders hohen Risiko, müssen die Betroffenen zwangsläufig von dem Unternehmen über die Datenschutzverletzung informiert werden.

Weitere Dokumentationspflichten betreffen beispielsweise das zuvor genannte Verarbeitungsverzeichnis oder die Verträge mit den Auftragsdatenverarbeitern. All diese Dokumentationen sollen zu einer betrieblichen Selbstkontrolle führen und möglichen Handlungsbedarf zur Verbesserung aufzeigen.

7. Informationspflichten & Betroffenenrechte 

Bei der Datenerhebung muss nach der EU-DSGVO auf die Betroffenenrechte hingewiesen werden. Dies sind beispielsweise das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO). Außerdem muss das Unternehmen die Informationspflicht nach den Artikel 13 und 14 DSGVO gegenüber dem Betroffenen zu jeder Zeit einhalten.

Fazit: 

Sie als Unternehmen müssen sicherstellen, dass der neue Pflichtenkatalog der EU- Datenschutzgrundverordnung in Ihrem Unternehmen umgesetzt wird und alle Vorschriften eingehalten werden. 

Datenschutz ist ein sehr sensibles Thema und bedarf deshalb einer intensiven Auseinandersetzung mit dieser Materie. Durch die DSGVO wird das Thema Datenschutz nun auch in der Praxis in den Mittelpunkt gerückt. Können Sie es sich leisten, diese Vorschriften nicht einzuhalten? 

Wir hoffen, unsere To-Do-Liste konnte Ihnen einen groben Überblick vermitteln, in welchen Bereichen des Unternehmens ein Handlungsbedarf vorliegen könnte.

Bei Fragen stehen wir Ihnen gerne zur Verfügung. Wir würden uns freuen, Sie kennenzulernen. 

Thomas Seidel

(Rechtsanwalt)