EU-Datenschutz-Grundverordnung:
Acht Punkte, wie die Umsetzung in Unternehmen rechtzeitig gelingt
In knapp einem Jahr ersetzt die Datenschutz-Grundverordnung (DSGVO) das bisher geltende europäische – und auch das deutsche – Datenschutzrecht. Unternehmen sollten sich jetzt mit der Umsetzung der neuen Vorgaben befassen. Gastbeitrag von Barbara Scheben, Partnerin bei KPMG und Expertin für Forensic und Datenschutz
Auf Unternehmen, die noch nicht mit der Umstellung auf die DSGVO angefangen haben, kommt viel Arbeit zu: Beispielsweise neue Informations- und Dokumentationspflichten, neue Prozesse sind einzurichten und neue Fristen zu beachten. Wer ab dem 25. Mai 2018 die neuen Regelungen ignoriert, dem drohen hohe Bußgelder – im schlimmsten Fall bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes.
Barbara Scheben, KPMG
Hier ist eine Checkliste:
1. Errichten Sie ein ganzheitliches Datenschutz-Managementsystem
Die DSGVO stellt hohe Anforderungen an eine ordentliche Unternehmensführung. Dazu gehört ein Datenschutz-Managementsystem, in dem Zuständigkeiten und Verantwortlichkeiten (Rollen) festgelegt sind. Ein Rahmenregelwerk ist einzurichten, neue Prozesse zu implementieren. Schulungen durchzuführen, Kontrollen zur Einhaltung der Vorgaben und die stetige Verbesserung des Systems..
Wichtig: Datenschutz ist nicht nur die Aufgabe des Datenschutzbeauftragten. Er muss stattdessen an verschiedensten Stellen in Unternehmensprozessen implementiert werden. Verantwortlich ist dafür die Unternehmensleitung.
2. Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten
Transparenz und Information sind Kernpunkte der DSGVO. Zentrales Instrument ist deshalb das Verzeichnis von Verarbeitungstätigkeiten, das jedes Unternehmen führen muss. Es muss stets aktuell sein und unter anderem auflisten, welche Daten wofür verarbeitet oder wem gegenüber die Daten offen gelegt werden, welche technischen und organisatorischen Maßnahmen zum Schutze der Daten implementiert sind oder welche Löschfristen befolgt werden müssen.
Ein gut geführtes Verzeichnis ist das A und O für Unternehmen und muss es sein, weil die DSGVO eine Rechenschaftspflicht des Unternehmens festschreibt: Unternehmen müssen jederzeit die Einhaltung der DSGVO-Vorgaben nachweisen können und die dafür nötigen Informationen größtenteils in dem Verzeichnis stehen.
3. Beschäftigen Sie sich mit Datenschutz-Folgenabschätzungen
Unternehmen müssen die Einführung besonders risikobehafteter Daten-Verarbeitungen sehr sorgfältig vornehmen: und zwar per Risikoanalyse frühzeitig definieren und aufschreiben, unter welchen Umständen eine Datenschutz-Folgenabschätzung ausgelöst wird. Falls diese ergibt, dass die Daten-Verarbeitung ein hohes Risiko birgt und der Verantwortliche keine risikominimierende Maßnahmen trifft, muss das Unternehmen die Aufsichtsbehörde informieren – zwingend.
4. Machen Sie ihre Technik datenschutztauglich
Wichtig ist künftig Datenschutz durch Technik sowie datenschutzfreundliche Voreinstellungen. Datenschutz und Datensicherheit müssen die Unternehmen bereits beim Planen und Entwickeln von IT-Systemen berücksichtigen. Mögliche Maßnahmen sind diese; die Verarbeitung personenbezogener Daten wird minimiert, personenbezogene Daten werden so schnell wie möglich pseudonymisiert, Transparenz über die Funktionen und die Verarbeitung personenbezogener Daten wird hergestellt oder der betroffenen Person wird ermöglicht, die Datenverarbeitung zu überwachen.
5. Ermöglichen Sie eine schnelle Datenübertragbarkeit
Neu ist das Recht auf Datenübertragbarkeit: Unternehmen müssen zu jeder Zeit Kunden, Mitarbeitern, Lieferanten oder anderen Betroffenen – auf deren Anfrage hin – die über sie gespeicherten Informationen oder Daten in einem gängigen Format zur Verfügung stellen beziehungsweise diese an Dritte übermitteln. Unternehmen sollten sich jetzt rüsten mit technischen und organisatorischen Maßnahmen, die das problemlos ermöglichen.
6. Passen Sie ihre Lieferanten- und Dienstleitungsverhältnisse an
Bei Auftragsverarbeitungen verändert sich einiges: Dies betrifft vor allem das Zusammenspiel zwischen Auftraggeber und Auftragnehmer sowie ihre jeweiligen Rechte und Pflichten. Neu sind Joint Controller – das sind zwei oder mehr Verantwortliche, die Zwecke und Mittel zur Verarbeitung personenbezogener Daten gleichberechtigt und gemeinsam definieren. Sie sind dann verpflichtet, festzulegen, welcher Verantwortliche welche Verpflichtungen der Verordnung wahrnimmt.
Unternehmen sollten alle Verträge mit Dienstleistern überprüfen, ob sie der neuen DSGVO entsprechen und – wenn nötig – anpassen. Und sie sollten sicherstellen, dass auch ihre Dienstleister ein Verzeichnis von Verarbeitungstätigkeiten führen.
7. Überprüfen Sie die Datenübermittlung an Drittstaaten
Für die Drittstaatenübermittlung (in Nicht EU- beziehungsweise Nicht-EWR-Staaten) gibt es neue Regeln: So können nun auch einzelne Regionen oder Sektoren eines Landes, nicht nur das Land als solches, ein angemessenes Datenschutzniveau für die Übermittlung gewährleisten. Bei Daten-Übermittlungen an Tochterunternehmen, Dienstleister oder Geschäftspartner in Drittstaaten müssen Unternehmen daher prüfen, ob diese sich an die DSGVO halten und ob sie ein angemessenes Datenschutzniveau gewährleisten. Wenn nicht, müssen die entsprechenden Vereinbarungen angepasst werden.
8. Ermöglichen Sie ein schnelles Melden von Datenschutzverstößen
Jeder Datenschutzverstoß kann eine Meldung an die Datenschutzaufsicht auslösen, wenn er ein Risiko für Rechte und Freiheiten eines Betroffenen darstellt. Jetzt ist Tempo angesagt: Für die Meldung an die Aufsichtsbehörde ist eine 72-Stunden-Frist nach Bekanntwerden der Datenschutzverletzung zu wahren. Falls die Verletzung ein hohes Risiko für Rechte und Freiheiten von Betroffenen mit sich bringt, sind auch die unverzüglich zu benachrichtigen. Unternehmen sollten deshalb ihr internes Meldewesen prüfen und Mitarbeiter nochmal extra sensibilisieren durch Schulungs- und Trainingsmaßnahmen.
Unternehmen, die diese acht Punkte umsetzen, sind erst mal gut gerüstet. Getan ist es damit aber noch nicht: Datenschutz wird künftig zu einem gelebten Regelkreislauf im Unternehmen. Wer dagegen verstößt, riskiert Sanktionen.
Regelmäßige Zertifizierungen des Datenschutzmanagements sind übrigens qua Gesetz eine Art Ass im Ärmel: Sie können sich für das Unternehmen im Fall der Fälle begünstigend auswirken.
Autorin Barbara Scheben, Rechtsanwältin und Partner bei der Beratungsgesellschaft KPMG: https://home.kpmg.com/de/de/home/contacts/s/barbara-scheben.html
