DSGVO – Datenschutz-Grundverordnung einfach erklärt!

Veröffentlicht von

Ab dem 25. Mai 2018 gelten für alle Unternehmen, die personenbezogene Daten von Kunden in der EU erheben und verarbeiten, neue Regeln. An diesem Tag tritt die von der Europäischen Union durchgesetzte Datenschutz-Grundverordnung (DSGVO) in Kraft. Die Umsetzung der Regelungen der DSGVO ist für alle, die personenbezogene Daten erheben – egal ob Startup, Großunternehmen, Freiberufler oder Gewerbetreibender – verpflichtend.

Unternehmen bleibt nicht mehr allzu viel Zeit, sich auf die neuen Gegebenheiten und Regeln vorzubereiten. Wir erklären, worauf es ankommt und liefern eine Checkliste für die Vorbereitung auf die DSGVO.

Was ist das Ziel der neuen DSGVO?

Mit der neuen Datenschutz-Grundverordnung sollen Unternehmen künftig verpflichtet werden, persönliche Daten von Kunden und Mitarbeitern besser zu schützen. Die DSGVO umfasst insgesamt 99 Artikel und ist so komplex, dass viele nicht wissen, was nun konkret zu tun ist. Klar ist jedoch, dass die Strafen bei Nichteinhaltung drastisch sind und besonders kleinen Unternehmen empfindlich wehtun können. Hinzu kommt das Risiko von Abmahnungen auf Initiative von Konkurrenten, Verbänden oder Verbraucherschützern.

DSGVO
Datenschutz-Grundverordnung – DSGVO

Nachweispflichten über die Einhaltung der DSGVO

Grundsätzlich sind alle Unternehmen, Freiberufler und Gewerbetreibenden als Verantwortliche in der Pflicht, die Einhaltung der in Artikel 5 Abs.1 DSGVO geregelten Datenschutzgrundsätze gegenüber den Aufsichtsbehörden nachzuweisen (Art. 5 Abs. 2 DSGV). Nachweispflicht (sog. Accountability) bedeutet:

Auf Anforderung der Datenschutzbehörde muss jeder entsprechende Unterlagen vorweisen, die die Einhaltung der Datenschutzgrundsätze belegen können. Das Unternehmen muss nachweisen, dass die Verarbeitung personenbezogener Daten rechtmäßig nach Treu und Glauben, zweckgebunden, richtig, integer und vertraulich sowie transparent, datenminimiert und speicherbegrenzt erfolgt. Artikel 24 DSGVO legt zudem nahe, dass ein Datenschutz-Management-System (DSMS) zu implementieren ist. Nur so kann tatsächlich sichergestellt werden, dass die Datenschutz-Maßnahmen regelmäßig überprüft und aktualisiert werden können.

Obwohl aktuell noch nicht damit gerechnet wird, dass die Aufsichtsbehörde sofort nach dem Inkrafttreten der DSGVO hohe Bußgelder auferlegt, doch trotzdem ist Eile geboten. Wie zumeist in solchen Situationen, sehen hier sicher schon bald Abmahnanwälte eine lukrative Einnahmequelle.

Was ist für die Umsetzung der DSGVO zu tun?

Zunächst gilt es, ein detailliertes Konzept über das Vorgehen zu erstellen. Je nach Unternehmensgröße macht es nicht nur Sinn, sondern ist es unumgänglich, einen Datenschutzbeauftragten zu benennen. Dieser sollte sämtliche Prozesse bei der Umsetzung sowie der späteren Einhaltung und Dokumentation leiten und überprüfen. Wichtig ist, dass der Datenschutzbeauftragte auch die entsprechende Sachkunde besitzt. Die Industrie- und Handelskammern und eine Reihe weitere Bildungsträger bieten entsprechende Fortbildungskurse an.

Analyse der Prozesse und Bereiche

Anhand einer detaillierten Analyse sämtlicher Datenverarbeitungsaktivitäten und Sicherheitsprozesse gilt es zuerst zu ermitteln, welche Bereiche den neuen Anforderungen der DSGVO unterliegen. Sämtliche Datenprozesse und Datenverarbeitungsaktivitäten im Unternehmen sollten dabei individuell überprüft werden, um herauszufinden, welche Daten wann, wo und warum gespeichert werden. Dabei interessieren nicht nur die Kundendaten. Auch die unternehmensinternen, administrativen Datenverarbeitungsprozesse wie Lohnbuchhaltung und Personaldatenverarbeitung, Mailingsystem und die eigene Webseite sollten genau analysiert werden. Mindestens folgende Punkte sollten beachtet werden:

  • Welche Informationen erhalten Betroffene vor der Erhebung und Speicherung personenbezogener Daten?
  • Wie werden die Informationen erteilt? Geschieht dies beispielsweise per Print-AGB, elektronisch auf der Webseite oder beispielsweise als Text neben einer Checkbox?
  • Welche Daten werden konkret zu welchem Zweck erhoben? Wie werden die erhobenen Daten gegebenenfalls weiterverarbeitet?
  • Werden Daten anonymisiert bzw. welche Daten werden pseudonymisiert?
  • Wie lange werden Daten gespeichert?
  • An wen werden Daten weitergegeben?
  • Ist das Unternehmen alleinige verantwortliche Stelle oder besteht eine zusätzliche Verantwortlichkeit eines weiteren Unternehmens (z. B. Auftragsverarbeitung)?
  • Wo werden die Daten gespeichert? Erfolgt die Speicherung beispielsweise in der Cloud, ist zu klären, wo der Serverstandort liegt. Liegt dieser außerhalb der EU ist zu hinterfragen, ob die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt sind.
  • Sind gegebenenfalls Vertragsanpassungen notwendig?

Verantwortlicher und der Auftragsverarbeiter müssen nachweisbar geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen. Daher ist es sinnvoll, alle organisatorischen und technischen Schritte zu dokumentieren.

Idealerweise sollte diese Analyse zunächst von den in den einzelnen Bereichen Verantwortlichen durchgeführt werden. Diese wissen genau, in welchem Umfang welche Daten zu welchem Zweck in ihrem Verantwortungsbereich erhoben und verarbeitet werden. Auf der Basis dieser Analyse kann dann ein Verzeichnis der Verarbeitungsprozesse angelegt werden.

Verzeichnis der Verarbeitungstätigkeiten

Nach Art. 30 der DSGVO muss jedes Unternehmen ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ anlegen. Dieses Verzeichnis listet auf, wann, wie und warum entsprechende Daten im Unternehmen erhoben werden. Laut Bundesdatenschutzgesetz (BDSG) besteht diese Verpflichtung schon lange, jedoch mit der neuen DSGVO sollte nun tatsächlich jeder handeln und ein Verzeichnis der Verarbeitungstätigkeiten anlegen. Folgende Angaben sind dabei Pflicht:

  • Name und Kontaktdaten des Verantwortlichen, ggf. auch des Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Kategorie der Empfänger, die auf die Daten zugreifen und diese nutzen und verarbeiten
  • Kategorie betroffener Personen von denen Daten erhoben werden und Kategorien personenbezogener Daten
  • Infos zur Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation,
  • Angaben über die Rechtsgrundlage der Verarbeitung
  • Löschfristen und Fristen für die Überprüfung der Erforderlichkeit,
    der Speicherung der verschiedenen Kategorien personenbezogener Daten
  • Allgemeine Beschreibung, wie die Datenerhebung und die Einwilligung der Person erfolgt.

Wichtig ist dabei, auch hier die unternehmensinterne Datenerhebung wie beispielsweise Bewerber- und Mitarbeiterdaten, Lohndaten u.a. nicht zu vergessen.

Festlegung der Prozesse und Prozesshandbuch

Nun sollten Unternehmen alle mit der Datenverarbeitung verbundenen Prozesse dokumentieren und das Ergebnis festhalten. Dokumentiert werden sollten solche Dinge, wie:

  • Art und Weise, in der Kunden über die Verarbeitung ihrer Daten informiert werden
  • Wie sollten Mitarbeiter reagieren, falls Kunden wissen möchten, welche Daten über sie gespeichert wurden?
  • Welcher Prozess wird ausgelöst, wenn Kunden verlangen, dass ihre Daten gelöscht werden und wer ist dafür verantwortlich?
  • Was passiert, falls es zu einem Datenleck kommt und Kundendaten in falsche Hände gelangen können?
  • Wie ist der Prozess der Datenlöschung organisiert, wenn das Ziel der Datenspeicherung erreicht ist? (Beispielsweise sind Teilnehmerdaten nach einem abgeschlossenen Gewinnspiel zu entfernen)
  • Welche Maßnahmen werden getroffen, um die Mitarbeiter zu schulen?

Datenschutz-Folgenabschätzung

Falls Unternehmen mit besonders sensiblen Daten arbeiten, sind sie dazu verpflichtet, besonders umsichtig mit den erhobenen Daten umzugehen. Unter Umständen können sie verpflichtet sein, gegebenenfalls zusammen mit dem Datenschutzbeauftragten, eine so genannte Datenschutz-Folgeabschätzung durchzuführen. Diese entspricht im Prinzip der bisher im BDSG geforderten Vorabkontrolle. Betroffen sind alle Unternehmen, deren erhobene Personendaten eine Identifizierung und Kategorisierung von Personen etwa nach Sexualität, Krankheiten, Finanzen oder politischer Gesinnung ermöglichen. Aktuell besteht allerdings noch keine verbindliche Auflistung, welche Unternehmen dies betreffen wird. Beispielsweise könnte dies in Gesundheitseinrichtungen, Arztpraxen oder im Versicherungsgewerbe der Fall sein.

Die DSGVO fordert in der Datenschutz-Folgeabschätzung folgende Mindestangaben:

  • Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie der Zwecke der Verarbeitung.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
  • Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
  • Geplante Abhilfemaßnahmen zur Bewältigung der Risiken einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll.

Die Landesdatenschutzbehörden geben hier gern in beratender Funktion Hilfestellung. Sofern ein Datenschutzbeauftragter benannt wurde, ist dieser grundsätzlich in die Durchführung einer Datenschutz-Folgenabschätzung einzubeziehen (Art. 35 Abs. 2 DSGVO).

Dokumentationspflicht

Die Dokumentationspflicht ist ein zentrales Thema bei der Umsetzung der Datenschutz-Grundverordnung. Dabei sollten nicht nur die genannten Dokumente stets aktuell gehalten und jede Anpassung dokumentiert werden, sondern es sind auch die Anstrengungen festzuhalten, die vom Unternehmen unternommen werden, um die Vorgaben zu erfüllen. Beispielsweise ist zu dokumentieren:

  • Schulungen und Seminare zur Fortbildung des Datenschutzbeauftragten
  • Welche Firewall wurde wann installiert und aktualisiert?
  • Welche Verträge wurden mit Dienstleistern geschlossen?

Eine gute Dokumentation, die auf Anfrage unverzüglich vorgelegt werden kann, ist das sicherste Instrument, um selbst im Falle einer tatsächlichen Datenpanne ohne drastische Strafen davonzukommen.

Checkliste: Ist das Unternehmen fit für die DSGVO?

Unsere abschließende Checkliste listet die wichtigsten Punkte auf, die Unternehmen jetzt schnellstens abarbeiten sollten, um herauszufinden, ob sie den neuen Herausforderungen gewachsen sind.

  • Wurde ein Datenschutzkonzept erstellt?
  • Ist ein Datenschutzbeauftragte oder ein Verantwortlicher als Ansprechpartner zum Thema Datenschutz benannt?
  • Wurden Verarbeitungsverzeichnisse nach Artikel 30 DSGVO angelegt?
  • Haben Sie die Zwecke sowie die Rechtsgrundlagen der Verarbeitung personenbezogener Daten festgelegt?
  • Wurde eine Risikoanalyse durchgeführt?
  • Sind die Forderungen zur Mitteilungspflicht der Datenspeicherung gegenüber betroffenen Personen erfüllt?
  • Wurden Prozesse implementiert, welche die Auskunft- und Beschwerderechte betroffener Personen sicherstellen?
  • Wurden Löschkonzepte nach Artikel 17 DSGVO erstellt und umgesetzt?
  • Wurden sämtliche Prozesse ordnungsgemäß dokumentiert?

Bildquelle: Pixabay.com

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.