\nAcht Punkte, wie die Umsetzung in Unternehmen rechtzeitig gelingt<\/strong><\/p>\n
In knapp einem Jahr ersetzt die Datenschutz-Grundverordnung (DSGVO) das bisher geltende europ\u00e4ische – und auch das deutsche – Datenschutzrecht. Unternehmen sollten sich jetzt mit der Umsetzung der neuen Vorgaben befassen. Gastbeitrag von Barbara Scheben, Partnerin bei KPMG und Expertin f\u00fcr Forensic und Datenschutz<\/a><\/strong><\/p>\n <\/p>\n Auf Unternehmen, die noch nicht mit der Umstellung auf die DSGVO angefangen haben, kommt viel Arbeit zu: Beispielsweise neue Informations- und Dokumentationspflichten, neue Prozesse sind einzurichten und neue Fristen zu beachten.\u00a0Wer ab dem 25. Mai 2018 die neuen Regelungen ignoriert, dem drohen hohe Bu\u00dfgelder \u2013 im schlimmsten Fall bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes.<\/p>\n <\/p>\n <\/p>\n Barbara Scheben, KPMG<\/p><\/div>\n <\/p>\n <\/p>\n Hier ist eine Checkliste:<\/strong><\/p>\n 1. Errichten Sie ein ganzheitliches Datenschutz-Managementsystem<\/strong><\/p>\n Die DSGVO stellt hohe Anforderungen an eine ordentliche Unternehmensf\u00fchrung. Dazu geh\u00f6rt ein Datenschutz-Managementsystem, in dem Zust\u00e4ndigkeiten und Verantwortlichkeiten (Rollen) festgelegt sind. Ein Rahmenregelwerk ist einzurichten, neue Prozesse zu implementieren. Schulungen durchzuf\u00fchren, Kontrollen zur Einhaltung der Vorgaben und die stetige Verbesserung des Systems..<\/p>\n Wichtig: Datenschutz ist nicht nur die Aufgabe des Datenschutzbeauftragten. Er muss stattdessen an verschiedensten Stellen in Unternehmensprozessen implementiert werden. Verantwortlich ist daf\u00fcr die Unternehmensleitung.<\/p>\n <\/p>\n 2. Erstellen Sie ein Verzeichnis von Verarbeitungst\u00e4tigkeiten<\/strong><\/p>\n Transparenz und Information sind Kernpunkte der DSGVO. Zentrales Instrument ist deshalb das Verzeichnis von Verarbeitungst\u00e4tigkeiten, das jedes Unternehmen f\u00fchren muss. Es muss stets aktuell sein und unter anderem auflisten, welche Daten wof\u00fcr verarbeitet oder wem gegen\u00fcber die Daten offen gelegt werden, welche technischen und organisatorischen Ma\u00dfnahmen zum Schutze der Daten implementiert sind oder welche L\u00f6schfristen befolgt werden m\u00fcssen.<\/p>\n Ein gut gef\u00fchrtes Verzeichnis ist das A und O f\u00fcr Unternehmen und muss es sein, weil die DSGVO eine Rechenschaftspflicht des Unternehmens festschreibt: Unternehmen m\u00fcssen jederzeit die Einhaltung der DSGVO-Vorgaben nachweisen k\u00f6nnen und die daf\u00fcr n\u00f6tigen Informationen gr\u00f6\u00dftenteils in dem Verzeichnis stehen.<\/p>\n <\/p>\n 3. Besch\u00e4ftigen Sie sich mit Datenschutz-Folgenabsch\u00e4tzungen<\/strong><\/p>\n Unternehmen m\u00fcssen die Einf\u00fchrung besonders risikobehafteter Daten-Verarbeitungen sehr sorgf\u00e4ltig vornehmen: und zwar per Risikoanalyse fr\u00fchzeitig definieren und aufschreiben, unter welchen Umst\u00e4nden eine Datenschutz-Folgenabsch\u00e4tzung ausgel\u00f6st wird. Falls diese ergibt, dass die Daten-Verarbeitung ein hohes Risiko birgt und der Verantwortliche keine risikominimierende Ma\u00dfnahmen trifft, muss das Unternehmen die Aufsichtsbeh\u00f6rde informieren – zwingend.<\/p>\n <\/p>\n 4. Machen Sie ihre Technik datenschutztauglich<\/strong><\/p>\n Wichtig ist k\u00fcnftig Datenschutz durch Technik sowie datenschutzfreundliche Voreinstellungen. Datenschutz und Datensicherheit m\u00fcssen die Unternehmen bereits beim Planen und Entwickeln von IT-Systemen ber\u00fccksichtigen. M\u00f6gliche Ma\u00dfnahmen sind diese; die Verarbeitung personenbezogener Daten wird minimiert, personenbezogene Daten werden so schnell wie m\u00f6glich pseudonymisiert, Transparenz \u00fcber die Funktionen und die Verarbeitung personenbezogener Daten wird hergestellt oder der betroffenen Person wird erm\u00f6glicht, die Datenverarbeitung zu \u00fcberwachen.<\/p>\n <\/p>\n 5. Erm\u00f6glichen Sie eine schnelle Daten\u00fcbertragbarkeit<\/strong><\/p>\n Neu ist das Recht auf Daten\u00fcbertragbarkeit: Unternehmen m\u00fcssen zu jeder Zeit Kunden, Mitarbeitern, Lieferanten oder anderen Betroffenen – auf deren Anfrage hin – die \u00fcber sie gespeicherten Informationen oder Daten in einem g\u00e4ngigen Format zur Verf\u00fcgung stellen beziehungsweise diese an Dritte \u00fcbermitteln. Unternehmen sollten sich jetzt r\u00fcsten mit technischen und organisatorischen Ma\u00dfnahmen, die das problemlos erm\u00f6glichen.<\/p>\n <\/p>\n 6. Passen Sie ihre Lieferanten- und Dienstleitungsverh\u00e4ltnisse an<\/strong><\/p>\n Bei Auftragsverarbeitungen ver\u00e4ndert sich einiges: Dies\u00a0betrifft vor allem das Zusammenspiel zwischen Auftraggeber und Auftragnehmer sowie ihre jeweiligen Rechte und Pflichten. Neu sind Joint Controller \u2013 das sind zwei oder mehr Verantwortliche, die Zwecke und Mittel zur Verarbeitung personenbezogener Daten gleichberechtigt und gemeinsam definieren. Sie sind dann verpflichtet, festzulegen, welcher Verantwortliche welche Verpflichtungen der Verordnung wahrnimmt.<\/p>\n Unternehmen sollten alle Vertr\u00e4ge mit Dienstleistern \u00fcberpr\u00fcfen, ob sie der neuen DSGVO entsprechen und – wenn n\u00f6tig – anpassen. Und sie sollten sicherstellen, dass auch ihre Dienstleister ein Verzeichnis von Verarbeitungst\u00e4tigkeiten f\u00fchren.<\/p>\n <\/p>\n 7. \u00dcberpr\u00fcfen Sie die Daten\u00fcbermittlung an Drittstaaten<\/strong><\/p>\n F\u00fcr die Drittstaaten\u00fcbermittlung (in Nicht EU- beziehungsweise Nicht-EWR-Staaten) gibt es neue Regeln: So k\u00f6nnen nun auch einzelne Regionen oder Sektoren eines Landes, nicht nur das Land als solches, ein angemessenes Datenschutzniveau f\u00fcr die \u00dcbermittlung gew\u00e4hrleisten. Bei Daten-\u00dcbermittlungen an Tochterunternehmen, Dienstleister oder Gesch\u00e4ftspartner in Drittstaaten m\u00fcssen Unternehmen daher pr\u00fcfen, ob diese sich an die DSGVO halten und ob sie ein angemessenes Datenschutzniveau gew\u00e4hrleisten. Wenn nicht, m\u00fcssen die entsprechenden Vereinbarungen angepasst werden.<\/p>\n <\/p>\n 8. Erm\u00f6glichen Sie ein schnelles Melden von Datenschutzverst\u00f6\u00dfen<\/strong><\/p>\n Jeder Datenschutzversto\u00df kann eine Meldung an die Datenschutzaufsicht ausl\u00f6sen, wenn er ein Risiko f\u00fcr Rechte und Freiheiten eines Betroffenen darstellt. Jetzt ist Tempo angesagt: F\u00fcr die Meldung an die Aufsichtsbeh\u00f6rde ist eine 72-Stunden-Frist nach Bekanntwerden der Datenschutzverletzung zu wahren. Falls die Verletzung ein hohes Risiko f\u00fcr Rechte und Freiheiten von Betroffenen mit sich bringt, sind auch die unverz\u00fcglich zu benachrichtigen. Unternehmen sollten deshalb ihr internes Meldewesen pr\u00fcfen und Mitarbeiter nochmal extra sensibilisieren durch Schulungs- und Trainingsma\u00dfnahmen.<\/p>\n Unternehmen, die diese acht Punkte umsetzen, sind erst mal gut ger\u00fcstet. Getan ist es damit aber noch nicht: Datenschutz wird k\u00fcnftig zu einem gelebten Regelkreislauf im Unternehmen. Wer dagegen verst\u00f6\u00dft, riskiert Sanktionen.<\/p>\n Regelm\u00e4\u00dfige Zertifizierungen des Datenschutzmanagements sind \u00fcbrigens qua Gesetz eine Art Ass im \u00c4rmel: Sie k\u00f6nnen sich f\u00fcr das Unternehmen im Fall der F\u00e4lle beg\u00fcnstigend auswirken.<\/p>\n <\/p>\n Autorin Barbara Scheben, Rechtsanw\u00e4ltin und Partner bei der Beratungsgesellschaft KPMG:\u00a0https:\/\/home.kpmg.com\/de\/de\/home\/contacts\/s\/barbara-scheben.html<\/a><\/strong><\/p>\n <\/p>\n EU-Datenschutz-Grundverordnung: Acht Punkte, wie die Umsetzung in Unternehmen rechtzeitig gelingt In knapp einem Jahr ersetzt die Datenschutz-Grundverordnung (DSGVO) das bisher geltende europ\u00e4ische – und auch das deutsche – Datenschutzrecht. Unternehmen sollten sich jetzt mit der Umsetzung der neuen Vorgaben befassen. … Weiterlesen ![\"\"](\"https:\/\/blog.wiwo.de\/management\/files\/2017\/05\/KPMG_Barbara-Scheben.jpg\")
![\"\"](\"https:\/\/blog.wiwo.de\/management\/files\/2017\/02\/Blog-Ranking2017-300x212.jpg\")
<\/p>\n","protected":false},"excerpt":{"rendered":"