Schritte zur Compliance

Verfahrensverzeichnis, Betroffenenrechte, Meldepflichten bei Datenpannen, Datenschutzbeauftragter: Die Datenschutzgrundverordnung zwingt Unternehmen zum Handeln.

Die Datenschutzgrundverordnung (DSGVO) sorgt gegenwärtig für Handlungsdruck bei Unternehmen jedweder Größe. Es gibt keine Schwellenwerte für Umsatz oder Mitarbeiterzahl, ab der die neuen Regeln gelten. Grundsätzlich ist die DSGVO von Amazon genauso zu beachten wie vom Einzelhändler, dem DAX-Konzern und dem Handwerker mit drei Angestellten. Insbesondere die potenziell horrenden Bußgelder in Höhe von bis zu 20 Mio. Euro, die die Behörden ab dem 25. Mai 2018 auch ausschöpfen möchten, sind dabei in aller Munde. Außerdem ist eine der wesentlichen Neuerungen die strenge Dokumentationspflicht, die auch kleine und mittlere Unternehmen dazu zwingt, sich mit den Auswirkungen des neuen Datenschutzrechts zu befassen und die umfangreichen neuen Pflichten aktiv zu erfüllen. Die wichtigsten Compliance-Vorgaben werden im Folgenden aufgeführt.

Jedes Unternehmen muss ein Verzeichnis aller Verarbeitungstätigkeiten führen. In dem Verzeichnis, das auch elektronisch, etwa in einer Excel-Tabelle, geführt werden kann, müssen alle Datenverarbeitungsvorgänge aufgelistet und insbesondere der Zweck der Verarbeitung und die Löschfristen genannt werden. Das Verzeichnis muss auf Anfrage der Behörde jederzeit vorgelegt werden können.

Wenn personenbezogene Daten verarbeitet werden, muss die betroffene Person darüber informiert werden. Dies ist für Unternehmen, die eine Website haben, grundsätzlich nichts Neues. Die DSGVO erweitert die zu erteilenden Informationen jedoch um ein Vielfaches. Dabei gilt die Informationspflicht für alle Datenverarbeitungsvorgänge. Auch wer offline Daten erhebt, etwa in einem Kundengespräch, muss über die Verarbeitung der Daten informieren. Die Informationspflicht gilt auch gegenüber den eigenen Mitarbeitern. Arbeitsverträgen ist eine Anlage mit ausführlichen Informationen über die Verarbeitung von Beschäftigtendaten beizufügen.

Die Betroffenenrechte sind nicht neu, die Schwierigkeiten liegen hier aber im Detail. Der Kunde kann wie auch jetzt schon Auskunft über die Speicherung seiner Daten verlangen. Diese Auskunft muss unverzüglich erteilt werden. Das setzt voraus, dass ein Prozess zur Erfüllung solcher Auskunftsansprüche geschaffen werden muss. Niemand sollte sich erstmals mit den Ansprüchen beschäftigen, wenn ein solcher Anspruch einmal geltend gemacht wird. Neu ist insbesondere das generelle Widerspruchsrecht gegen die Datenverarbeitung. Natürlich kann dem Unternehmen die Speicherung und Verarbeitung von Daten für die Vertragserfüllung oder Verfolgung von Ansprüchen nicht verwehrt werden. Daten, die ausschließlich zu Marketingzwecken verarbeitet werden, müssen dagegen auf Verlangen gelöscht werden.

Auch die Pflichten zur Meldung von Datenpannen werden deutlich umfangreicher. Nach neuem Recht muss grundsätzlich jede Datenschutzverletzung innerhalb von 72 Stunden an die Behörde und vielfach auch den betroffenen Kunden und Mitarbeitern gemeldet werden. Aus dieser Pflicht folgt die Notwendigkeit, unternehmensinterne Regeln zu schaffen, die eine pflichtgemäße Meldung von Datenlecks gewährleisten. Kommt es zu einer Datenpanne, droht bereits bei verspäteter Meldung der Panne ein Bußgeld.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten bleibt bestehen, wenn sich mehr als zehn Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Anders als bisher müssen die Kontaktdaten des Datenschutzbeauftragten ab 25. Mai 2018 veröffentlicht und zudem der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Firmen, die noch keinen Datenschutzbeauftragten bestellt haben, sollten dies schleunigst nachholen.

Was ist konkret zu tun? Jedes Unternehmen muss sich mit den Anforderungen des neuen Datenschutzrechts vertraut machen und entsprechende Anpassungen vornehmen. Dabei sollte klar sein, welche Datenverarbeitungsvorgänge stattfinden und welche personenbezogenen Daten im Unternehmen zu welchen Zwecken wie lange gespeichert werden. Dies gilt für alle Bereiche wie z.B. Personal, Buchhaltung, Marketing, Vertrieb und natürlich die eigentliche Leistungserbringung, die abhängig vom Unternehmensgegenstand viel mit personenbezogenen Daten zu tun haben kann. Hieraus sollte sich dann das notwendige Verfahrensverzeichnis ergeben.

Die Datenverarbeitungsvorgänge sollten auf Konformität mit dem neuen Datenschutzrecht geprüft (sog. Gap-Analyse) und die Rechtstexte, die nach außen sichtbar sind, an die neue Rechtslage angepasst werden. Dies gilt vor allem für die Datenschutzerklärung auf der Website und Einwilligungserklärungen von Kunden oder Angestellten. Auch die Verträge mit Dienstleistern müssen geprüft und gegebenenfalls angepasst werden. Ebenfalls ein Must-have ist die Implementierung eines Prozesses zur Gewährleistung der Betroffenenrechte. Wenn noch ein Datenschutzbeauftragter bestellt werden muss, sollte dies unverzüglich nachgeholt werden.

Nico Härting und Nils Waldeck