Tipps und Fragen zur Vorbereitung auf die General Data Protection Regulation (GDPR 2018)

Countdown zur Umsetzung der Datenschutzgrundverordnung (DSGVO) endet am 25. Mai 2018

1

Die Zeit läuft zum 25. Mai 2018 ab: Dann endet der Countdown zur Umsetzung der neuen Datenschutzgrundverordnung. Unternehmen, Behörden und Freiberufler müssen dann in der Lage sein, deren neue Anforderungen zu erfüllen. Sämtliche datenschutzrelevanten Dokumente und Geschäftsprozesse müssen an die Vorgaben der DSGVO angepasst werden. Auch für nicht EU Mitglieder bedeutet die DSGVO eine Anpassung.

Im Folgenden geben wir einen Überblick über die wichtigsten Fragestellungen, die im Zusammenhang mit der neuen DSGVO aufgeworfen werden. Sie sollen dabei helfen, einen möglichen Handlungsbedarf aufzudecken und gegebenenfalls noch rechtzeitig Unterstützung in Anspruch nehmen zu können.

Arbeitsschritte zur Vorbereitung auf die neue Datenschutzgrundverordnung

Zuerst ist die Frage der Zuständigkeit zu klären. Das Datenschutzrecht benennt eindeutig die Geschäftsführung als verantwortliche Stelle. Daneben übernimmt der Datenschutzbeauftragte bestimmte Aufgaben. Eine klare Benennung der zuständigen Personen ist unabdingbar für die Umsetzung der DSGVO.

In einem zweiten Schritt erfolgt eine genaue Bestandsaufnahme. Hierbei ermittelt und dokumentiert Ihr sämtliche IT- und Datenstrukturen Eures Unternehmens. Nur mit diesen Informationen kann z. B. das nach Art. 30 DSGVO erforderliche Verzeichnis von Verarbeitungstätigkeiten erstellt werden. An dieser Stelle sind insbesondere folgende Prozesse von Belang:

  • Verarbeitung von Kundendaten
  • Verarbeitung von Daten der Beschäftigten
  • Verarbeitung von Daten von Kindern
  • Datenverarbeitung für Dritte als Auftragsverarbeiter

Wer nicht weiß, welche personenbezogenen Daten von wem in welchen Geschäftsprozessen erhoben und verarbeitet werden, kann mögliche Datenpannen nicht abschätzen und riskiert ab dem Stichdatum extrem hohe Bußgelder – bis zu 4 % des globalen Konzernumsatzes des Vorjahres.

Der Datenschutz sieht umfangreiche Rechte für die Betroffenen vor, deren personenbezogene Daten verarbeitet werden. Die DSGVO erweitert und vervielfacht die damit zusammenhängenden Pflichten der Verantwortlichen. Neben den komplexen Informationspflichten stellt die fristgerechte Löschung von Daten die Unternehmen vor große Herausforderungen. Dieser Pflicht können sie aber nur nachkommen, wenn sie wissen, wo sich die zu löschenden Daten überhaupt befinden.

Außerdem müssen dem Betroffenen eine Vielzahl an Informationen präzise, transparent, verständlich und leicht zugänglich erteilt werden. Nahezu dieselben Pflichten bestehen auch dann, wenn die Daten nicht beim Betroffenen selbst erhoben wurden. Worüber der Betroffene zu informieren ist, legen Art. 13 und 14 DSGVO genau fest.

Auch auf eine Datenübertragung sollten Unternehmen gut vorbereitet sein. Betroffene haben ein Recht auf Datenübertragbarkeit von einem zum anderen Anbieter. Hierfür müssen gegebenenfalls neue Schnittstellen geschaffen werden. Auch an dieser Stelle gilt: Die Daten können nur übertragen werden, wenn das Unternehmen weiß, wo sich diese Daten befinden. Ohne vorherige Bestandsaufnahme kann auch dieser Schritt nicht bewältigt werden.

Weiterhin ist die Zulässigkeit der Datenverarbeitung genau zu prüfen: Erfolgt die jeweilige Erhebung und Verarbeitung personenbezogener Daten mit der notwendigen Erlaubnis bzw. auf einer rechtlichen Grundlage? Sämtliche Rechtsgrundlagen und Einwilligungen sind zu überprüfen. Außerdem sind die Anforderungen an eine DSGVO-konforme Einwilligung einzuhalten. Eine besondere Neuerung sieht die Verordnung für die Einwilligung Minderjähriger vor, wenn deren Daten verarbeitet werden.

Fragenkatalog zur Umsetzung der neuen datenschutzrechtlichen Vorgaben

  • Wer ist außer der Geschäftsführung im Unternehmen für den Datenschutz verantwortlich?
  • Wurden alle Mitarbeiter zur DSGVO informiert und geschult?
  • Wurden sämtliche Geschäftsprozesse, bei denen personenbezogene Daten verarbeitet werden, in ein entsprechendes Verzeichnis über Verarbeitungstätigkeiten aufgenommen?
  • Wird dieses Verzeichnis regelmäßig aktualisiert?
  • Besteht für alle Verarbeitungsprozesse eine Rechtsgrundlage?
  • Habt Ihr das Muster zur Einwilligung an die neue Rechtslage (Art. 7 und 13 DSGVO) angepasst?
  • Wie stellt Ihr die datenschutzkonforme Informationen Betroffener nach Art. 13 und 14 DSGVO sicher?
  • Wie stellt Ihr die Rechte Betroffener nach Art. 15 bis 22 DSGVO sicher?
  • Setzt Euer Unternehmen oder einer Eurer Dienstleister technische oder organisatorische Maßnahmen ein, die ein Schutzniveau bieten, dass dem Verarbeitungsrisiko angemessen ist (Art. 32 DSGVO)?
  • In welchen Fällen werden Pseudonymisierungs- und Verschlüsselungsverfahren eingesetzt?
  • Existiert ein Rollen- und Berechtigungskonzept für alle eingesetzten IT-Anwendungen?
  • Werden auch Produktänderungen und Neuerungen beim Datenschutz berücksichtigt? Wie?
  • Welche Dienstleister verarbeiten in Eurem Auftrag personenbezogene Daten? Wurden diese Verträge den Anforderungen der DSGVO entsprechend angepasst?
  • Hat Euer Unternehmen eine Datenschutz-Folgenabschätzung für besonders riskante Datenverarbeitungen vorgenommen?
  • Habt Ihr für Euer Unternehmen einen festen Prozess zur Meldung von Datenschutzverstößen festgelegt?
  • Könnt Ihr die Einhaltung aller relevanten Pflichten nachweisen?
Alexander Kretschmar studierte Rechtswissenschaften an der Humboldt-Universität zu Berlin mit Abschluss der juristischen Zwischenprüfung. Danach schloss sich ein Bachelorstudium im Bereich des Journalismus an. Seither kombiniert er seine beiden Interessensgebiete „Recht“ und „Berichterstattung“ und ist als freier Rechtsjournalist für verschiedene Verbände in Berlin tätig. Schwerpunkt seiner Beiträge bilden vor allem datenschutzrechtliche Fragestellungen sowie Digitalthemen.
1 Kommentar
  1. […] Arbeitsschritte zur Vorbereitung auf die neue Datenschutzgrundverordnung  MoreThanDigital (Pressemitteilung) (Blog) […]

Hinterlasse eine Antwort

Deine Email-Adresse wird nicht veröffentlicht.