Trends / Lesezeit: ~ 1 Min.

EU-DSGVO: Es ist nie zu spät

Seit dem 25. Mai 2018 gilt die neue Europäische Datenschutzgrundverordnung. Aber noch längst nicht alle Unternehmen haben sich entsprechend aufgestellt. Höchste Zeit, genauer hinzuschauen – eine Checkliste!

Dass die neuen Datenschutzregeln der EU kommen, war seit zwei Jahren bekannt. Trotzdem zeichnete eine Umfrage des Branchenverbands Bitkom eine Woche vor dem Gültigkeitstermin der EU-Datenschutzgrundverordnung (EU-DSGVO), ein überraschendes Bild: Nur rund ein Viertel der deutschen Unternehmen war nach eigenen Angaben vollständig auf die neuen Vorschriften vorbereitet. In der Theorie sind seit dem 25. Mai für jeden Verstoß gegen die neuen Regulierungen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes möglich – von eventuellen Abmahnkosten einmal ganz zu schweigen. Daher heißt es rasch handeln. Für größere Unternehmen macht es in jedem Fall Sinn, eine Arbeitsgruppe aus allen betroffenen Bereichen einzurichten, also Datenschutz, IT, HR, Rechtsabteilung, Security- und Risk-Management, aber auch Sales und Customer Service sind betroffen. Für kleinere Firmen und für die Arbeitsgruppe kann die folgende Checkliste einen ersten Anhalt für das weitere Vorgehen darstellen:

  1. Datenschutzbeauftragter – ja oder nein
    Ein Datenschutzbeauftragter ist Pflicht, sobald personenbezogene Daten automatisch verarbeitet werden. Davon ist in aller Regel auszugehen, wenn Kunden oder Mitarbeiterdaten auf einem Computer gespeichert sind. Von der Verpflichtung ausgenommen sind Betriebe, in der sich weniger als zehn Personen mit der Verarbeitung personenbezogener Daten befassen. Vorsicht: Hier zählt jeder mit, der auch nur kurz einmal auf die entsprechenden Daten zugreift. Firmen mit besonders sensiblen Daten wie biometrischen und Gesundheitsdaten oder ähnlichem, kommen um den Datenschutzbeauftragten in keinem Fall herum. Der zu bestellende Beauftragte muss seine Fachkunde nachweisen, etwa durch Schulungen.
  2. Dokumente aktualisieren
    Alle AGBs, Datenschutzerklärungen, Datenschutzrichtlinien und Standardverträge sind auf die Übereinstimmung mit der EU-DSGVO zu überprüfen und anzupassen. Viele Verbände stellen entsprechendes Informationsmaterial und Muster zur Verfügung oder bieten dazu Beratung an.
  3. Anlage des Verarbeitungsverzeichnisses
    Das sogenannte „Verzeichnis der Verarbeitungstätigkeiten“ muss auflisten, wie, wo und zu welchem Zweck Daten erhoben und gespeichert werden. An sich reicht dazu eine simple tabellarische Aufstellung der IT-Systeme, aber hinter diesem Schritt steckt eine Menge Fleißarbeit. Enthalten sein sollten folgende Angaben pro IT-System:
    - Prozessverantwortlicher im Unternehmen
    - Zweck der Datenerhebung
    - Wessen Daten werden erfasst?
    - Welche Informationen werden gespeichert?
    - Löschfristen
    - Wie wird die Einwilligung des Betroffenen sichergestellt?
  4. Prozesse schriftlich fixieren
    Was geschieht mit den einmal erhobenen Daten, wer hat Zugriff darauf, wer ist für ein Löschungsersuchen zuständig und was passiert bei einem Datenleck? All diese Dinge sollten in einem Handbuch festgelegt sein, um allen Mitarbeitern klare Vorgaben für den Umgang mit Daten zu machen. Neben dem Weg der Informationen von der Erhebung über die Speicherung und Nutzung bis hin zur Löschung sollten die Prozessbeschreibungen auch Verantwortlichkeiten definieren. Also wer informiert die Kunden und Mitarbeiter oder wer übernimmt die rechtzeitige Anzeige von Datenpannen innerhalb der vorgeschriebenen 72-Stunden-Frist?
  5. Datenschutz-Folgeabschätzung
    Für besonders sensible Daten verlangt die EU-DSGVO eine sogenannte Datenschutz-Folgeabschätzung. Dort ist sehr dezidiert darzulegen, warum die Informationen nötig sind und wie sie geschützt sind. Die Datenschutzbehörden sollten eine Liste aller von dieser Sonderregelung betroffenen Vorgänge herausgeben, diese existiert bislang aber noch nicht.
  6. Dokumentation
    Besonders wichtig: Alle Anstrengungen rund um die EU-DSGVO müssen nachweisbar sein. Fortbildungen von Geschäftsleitung und Datenschutzbeauftragten, Vereinbarungen und Verträge mit Dienstleistern oder IT-Security-Maßnahmen wie die Installation neuer Firewalls oder ähnliches gilt es, genau zu dokumentieren. Damit im Zweifelsfall schnell nachgewiesen ist, dass das Unternehmen alle Anstrengungen zur Einhaltung der neuen Rechtsvorschriften unternommen hat.

Sie wollen noch mehr über dieses Thema erfahren?

Die Autoren unseres Artikels stehen Ihnen gerne für Ihre Rückfragen bereit. Senden Sie uns einfach eine Nachricht über das Kontaktformular und wir steigen gemeinsam mit Ihnen tiefer in das Thema ein.

Jetzt E-Mail schreiben

Ähnliche Artikel

Alle Artikel
Trends

Holland ist Weltmeister!

DHL Global Connectedness Index belegt: Die weltweite Globalisierung nimmt stetig zu und die Niederlande sind das am besten vernetzte Land der Welt.

31. Januar 2017 / Lesezeit: ~ 2 Min.
Trends

Kein Porzellan zerschlagen

China will vom Westen als Marktwirtschaft anerkannt werden und erhofft sich davon Einfuhrerleichterungen. Doch Europa mauert.

26. Januar 2017 / Lesezeit: ~ 1 Min.