Der 25. Mai 2018 naht – ab diesem Tag gilt endgültig die Datenschutzgrundverordnung (DSGVO). Hierbei handelt es sich um ein einheitliches „europäisches Gesetz“, das unmittelbar in allen Mitgliedstaaten gilt - sowie für alle Anbieter, die in der EU Dienste oder Waren anbieten.
Der Verordnungsgeber meint es ernst!
Die Datenschutzgrundverordnung wertet die praktische Bedeutung des Datenschutzes massiv auf. Grund hierfür ist, dass der Verordnungsgeber Verstöße mit drakonischen Bußgelder sanktionieren lässt, die bis zu 20 Millionen Euro oder 4% des weltweiten Gruppenumsatzes betragen können. Darüber hinaus ist davon auszugehen, dass Datenschutzverstöße künftig öfter von Wettbewerbern und Verbänden abgemahnt werden und dass Betroffene versuchen werden, bei Datenschutzverstößen Entschädigungen einzuklagen. Experten gehen daher davon aus, dass der Datenschutz in Kürze massiv an Bedeutung gewinnen wird.
Alte und neue Anforderungen
Bis Mai 2018 bleibt wenig Zeit, die Anforderungen der DSGVO noch in Ihrem Unternehmen umzusetzen. Unternehmen, die datenschutzrechtlich bereits heute gut aufgestellt sind, haben hier deutliche Vorteile, denn wenige der Anforderungen der DSGVO sind völlig neu.
Bestellung eines Datenschutzbeauftragten
Wie bisher müssen Unternehmen, bei denen mindestens zehn Personen mit der automatisierten Verarbeitung von Daten beschäftigt sind, einen Datenschutzbeauftragten bestellen. Hierfür reicht es schon aus, wenn diese Personen E-Mail benutzen. Erfüllt das Unternehmen diesen Schwellenwert nicht, muss es einen Datenschutzbeauftragten dennoch bestellen, wenn die Verarbeitung personenbezogener Daten seinen Tätigkeitsschwerpunkt darstellt (z.B. Auskunfteien).
Verfahrensverzeichnis
Auch unter der DSGVO wird das Verfahrensverzeichnis wesentliche Bedeutung für den Datenschutz haben. Fast alle Unternehmen müssen dieses Verzeichnis führen. Unternehmen, die kein Verfahrensverzeichnis haben, sollten unverzüglich handeln!
Prüfung von Vertragswerken
Unternehmen sollten zudem Ihre Verträge mit Auftragsdatenverarbeitern überprüfen, wie z.B. mit Rechenzentren. Zudem sollten sie Arbeitsverträge und Betriebsvereinbarungen überprüfen und sicherstellen, dass diese DSGVO-konform sind. Hier ergeben sich einige Neuerungen. Vor allem stellt die DSGVO neue Kriterien für die Wirksamkeit von Betriebsvereinbarungen auf, auf deren Basis personenbezogene Daten erhoben werden.
Risiko-Assessment und TOMs
Personenbezogene Daten müssen bekanntlich schon heute durch technisch-organisatorische Maßnahmen geschützt werden. Die Datenschutz-Grundverordnung ändert hieran nichts. Sie wählt allerdings einen „risikobasierten Ansatz“. Je größer das Risiko für die Daten, desto höher die Anforderungen an den Verantwortlichen. Unternehmen sollten daher ein Risiko-Assessment durchführen und sollten hierbei die Eintrittswahrscheinlichkeit eines Schadens in Relation zu dessen potentieller Höhe stellen. Bei der Sicherung von personenbezogenen Daten durch technisch-organisatorische Maßnahmen sind dann die besonders gefährdeten Daten besonders gut abzusichern, z.B. durch strenge Zugangsbeschränkungen, Pseudonymisierungen oder Löschroutinen.
Risikofolgenabschätzung
Für besonders gefährdete Daten ist zudem eine Risikofolgenabschätzung durchzuführen. Hierbei handelt es sich um ein Verfahren, mit dem Risiken analysiert und weiter reduziert werden sollen. Bleibt es bei dem hohen Risiko, ist die Aufsichtsbehörde zu konsultieren.
Vorhalten einer DS-Dokumentation
Die Einhaltung der DSGVO müssen Unternehmen schließlich auf Anfrage der Behörde unverzüglich nachweisen können (sog. Rechenschaftspflicht). Dies wird nur bei Vorhalten einer entsprechenden Dokumentation der Verarbeitungsvorgänge und des Datenschutzmanagementsystems möglich sein!
