Am 25. Mai 2018 ist die neue europäische Datenschutz-Grundverordnung (DSGVO) in Kraft getreten.

Die Verordnung gilt, unabhängig von der Unternehmensgröße, für jede Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO), soweit diese nicht nur gelegentlich erfolgt und auch keine besonderen Datenkategorien wie Gesundheits- oder Religionsdaten verarbeitet werden. Die für Unternehmen bislang einschlägigen Regelungen des Bundesdatenschutzgesetzes (BDSG) werden weitgehend durch die Regelungen der DSGVO ersetzt. Eine Übergangsfrist nach dem 25. Mai 2018 gibt es nicht.

Bei Verstößen gegen die Datenschutzgrundverordnung drohen ab dem 25. Mai 2018 Bußgelder bis zu 20 Millionen Euro ebenso wie hohe Forderungen von „Abmahnern“, die Rechtsverstöße gegen die DSGVO „ahnden“ werden –besonders gefährlich sind dabei nicht rechtskonforme Datenschutzerklärungen auf der Unternehmens-Website.

Das bedeutet, dass sämtliche Anforderungen des neuen Rechts ab dem 25. Mai 2018 unbedingt umgesetzt und eingehalten werden müssen!

WICHTIG: Datenschutz ist Chefsache! Denn Verantwortlicher nach Art. 4 Ziff. 7 DSGVO ist weder ein beauftragter Datenschutzbeauftragter noch ein IT-Dienstleister, sondern alleine, wer „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Die wichtigsten Anforderungen des neuen Rechts, die ab dem 25. Mai 2018 zur Vermeidung von Bußgeldern und Abmahnungen nachweislich (!) erfüllt werden müssen, sind:

  • Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten

Art. 30 DSGVO schreibt die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten, also aller im Unternehmen stattfindenden Datenverarbeitungsprozessevor. Das Verfahrensverzeichnis ist der Grundpfeiler der Dokumentation, zu der die DSGVO umfassend verpflichtet. Auf Anforderung der Aufsichtsbehörde muss der Verantwortliche jederzeit in der Lage sein, durch Vorlage des Verzeichnisses die DSGVO-konforme Datenverarbeitung nachzuweisen.Für jede einzelne Verarbeitungstätigkeit sind folgende Angaben vorgeschrieben: Namen und Kontaktdaten des Verantwortlichen, Namen und Kontaktdaten des betrieblichen Datenschutzbeauftragten (falls erforderlich), Zwecke der Datenverarbeitung, Art der Personen, deren Daten verarbeitet werden, Art der verarbeiteten Daten, mögliche Empfänger, an die Daten übermittelt werden oder worden sind, Übermittlung von Daten in die USA oder in ein anderes Land außerhalb der EU (z.B. bei Nutzung von Webmail-Diensten oder anderen Cloud-Diensten), Löschfristen, Maßnahmen der Datensicherheit nach Art. 32 DSGVO.

Die Maßnahmen der Datensicherheit sind nach Art. 32 DSGVO im Verarbeitungsverzeichnis zu definieren, Löschroutinen und Maßnahmen der IT-Sicherheit im Verarbeitungsprozess festzulegen und das Verzeichnis laufend zu pflegen. 

  • Betrieblicher Datenschutzbeauftragter

Nach Art. 37 Abs. 4 DSGVO i.V.m. § 38 Abs. 1 BDSG-neu besteht die Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden.

  • „Gap Analysis“

Jedes einzelne, im Verarbeitungsverzeichnis dokumentierte Verarbeitungsverfahren muss auf mögliche Schwachstellen hin untersucht werden. Diese sind vor allem: Datensparsamkeit, Datenrichtigkeit, Rechtmäßigkeit, Löschfristen, Zugriffsrechte, Zugangskontrollen, IT-Sicherheit. Am Ende jeder „Gap Analysis“ hat ein Maßnahmenplan zur Datenschutzkonformität aller Verfahren zu stehen.

  • Datensicherheit

Technische und organisatorische Maßnahmen (sog. TOMs) sind zu ergreifen, um die Sicherheit der im Unternehmen verarbeiteten Personendaten zu gewährleisten (Art. 32 DSGVO). Dabei sind folgende Maßnahmen vorgeschrieben: Verschlüsselung, Stabilität, Wiederherstellbarkeit, regelmäßige Überprüfung.

  • Verträge zur Auftragsdatenverarbeitung

Zur Datenverarbeitung beauftragte Dienstleister können beispielsweise IT-Servicefirmen oder Cloud-Dienstleister sein. Ab dem 25.05.2018 müssen mit diesen bestehende Verträge an das neue Recht angepasst sein.

  • Datenschutzinformationen

Nach dem neuen Recht bestehen umfangreiche (!) Informationspflichten (Art. 13 und 14 DSGVO). Die Datenschutzbestimmungen auf Websites müssen überarbeitet und an die nun geltenden Informationspflichten angepasst werden. Zu empfehlen sind zudem allgemeine „Hinweise zur Datenverarbeitung“ bei Vertragsabschluss. Neben den Verarbeitungstätigkeiten, wie diese im Verarbeitungsverzeichnis zu dokumentieren sind, umfasst die Informationspflicht auch die Rechte des Betroffenen nach der DSGVO auf Auskunft, Berichtigung, Löschung, Sperrung, Widerspruch, Datenübertragbarkeit, Widerruf einer erteilten Einwilligung und Beschwerde bei der Datenschutzbehörde.

  • Datenschutzrichtlinien

In den nach Art. 24 DSGVO nahegelegten unternehmensinternen Richtlinien sollten klare Regeln für die Datenverarbeitung aufgestellt und die Mitarbeiter auf deren Einhaltung verpflichtet werden. Gleichfalls sollten klare Regeln für den Umfang mit der Geltendmachung von Betroffenenrechten und Meldepflichten bei Datenschutzverstößen aufgestellt und die Mitarbeiter auch auf deren Einhaltung verpflichtet werden. Sämtliche zu erstellenden Richtlinien und Verpflichtungserklärungen sollten nachweisbar, also dokumentiert sein.

Gerne beraten und unterstützen wir Sie, auch gemeinsam mit einem Datenschutzbeauftragten,  in allen Bereichen der DSGVO - sei es durch ein komplettes "DSGVO-Projekt" oder bei einzelnen Fragen zur Umsetzung der DSGVO.

Unsere Kanzlei arbeitet in Kooperation mit dem zertifizierten Datenschutzbeauftragten:
Datenschutz und EDV-Beratung Hergeth, www.datenschutz-hergeth.de