Datenschutzrecht
Checkliste zur Datenschutz-Grundverordnung
25.05.2018: Die EU-Datenschutz-Grundverordnung (DS-GVO) ist in Kraft getreten
Die EU-Datenschutz-Grundverordnung (DS-GVO): Ab 25. Mai 2018 müssen Unternehmen ihre Prozesse an die neuen Datenschutz-Anforderungen anpassen. Der Vorteil ist, dass viele der neuen Anforderungen schon bekannt sind. So war die Führung eines Verfahrensverzeichnisses bereits nach dem Bundesdatenschutzgesetz verpflichtend, gleiches gilt für die Vorabkontrolle.
Die Verantwortlichkeit für das Unternehmen, das personenbezogene Daten verarbeitet, wird durch eine Nachweispflicht verdeutlicht, die sich auch in den Bußgeldern bis maximal 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes niederschlägt.
Hinzu kommt die Änderung des Bundesdatenschutzgesetzes, die zeitgleich mit der Datenschutz-Grundverordnung (DS-GVO) in Kraft tritt. Es lohnt sich also, sich mit den neuen Herausforderungen des Datenschutzes zu beschäftigen.
Selbstcheck: Wie weit sind Sie mit der internen Umsetzung der DS-GVO?
Unternehmen können mit Hilfe dieses interaktiven Online-Tests des Bayerischen Landesamtes für Datenschutzaufsicht ermitteln, wie weit sie mit der internen Umsetzung der DS-GVO gekommen sind und an welchen Stellen nachgebessert werden sollte.
Was ist zu tun?
Bestandsaufnahme erstellen
Darum ist es sinnvoll, jetzt – beispielsweise mithilfe des Fragebogens – eine Bestandsaufnahme zu machen und zu prüfen, welche datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden und ob sie mit der DS-GVO kompatibel sind. Insbesondere:
- Wurde bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerrufsrecht hingewiesen? Falls nicht, müsste dies nachgeholt werden.
- Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Technologien eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig. Diese muss bei vorhandenen Verarbeitungen nachgeholt werden.
- Sind mit den IT-Dienstleistern Vereinbarungen zur Auftragsverarbeitung geschlossen worden? Falls ja, müssen sie überprüft werden: Genügen die technisch-organisatorischen Maßnahmen bei dem Dienstleister den Anforderungen an das Schutzniveau der Daten? Auch hier muss eine Risikobewertung durchgeführt werden. Falls solche Vereinbarungen bisher nicht geschlossen wurden, sollten sie jetzt bereits unter Beachtung des neuen Rechts formuliert werden.
Der Transparenz wird große Bedeutung zugemessen. Insofern ist über die wesentlichen Verarbeitungen personenbezogener Daten zu informieren, um den Betroffenenrechten dadurch Genüge zu tun.
Die Nachweispflicht verlangt, dass die notwendigen Dokumente und Prozesse zur Einhaltung der DS-GVO vorhanden sind und eingehalten werden:
- Gibt es einen Prozess zur Einholung, Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist?
- Wie und von wem werden Auskunftsersuchen beantwortet?
- Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt?
Für die Beantwortung solcher Fragen bieten sich Richtlinien an, die auch im Rahmen eines Compliance-Managements erlassen werden können, oder eine Verknüpfung mit einem vorhandenen Qualitätsmanagement.
Verantwortlichkeit liegt bei Geschäftsleitung
Eindeutig ist, dass die Leitung des Unternehmens die Verantwortung für die Umsetzung der DS-GVO trägt. Sie ist nicht auf einen betrieblichen Datenschutzbeauftragten delegierbar. Seine Aufgabe – unabhängig davon, ob er ein Mitarbeiter ist oder ein Externer – besteht zukünftig im Wesentlichen in der Überwachung der datenschutzrechtlichen Prozesse und der Beratung.