Viele Mythen, Sorgen und Unmut ranken sich um die Datenschutz-Grundverordnung (DSGVO). Selten wohl gab es in der letzten Zeit ein Thema, das in so vielen Unternehmer-Köpfen Beachtung gefunden hat.
Ja, Bußgelder drohen bei Nichtumsetzung. Wie hoch? Selbst das wissen die meisten in genauen Zahlen:
bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr nach Art. 83 DSGVO
Und sogar das Datum des Ablaufs der Übergangszeit ist nahezu jedem bekannt:
Der 25. Mai 2018 ist also der große Tag.
Es ist richtig, dass ein jedes Unternehmen sich so langsam mit der konkreten Umsetzung beschäftigen sollte. Brauchen wir Beratung und Begleitung bei der Umsetzung von und mit Externen? Kann unser interner Datenschutzbeauftragter die Umsetzung leisten oder brauchen wir Hilfe von außerhalb?
Beides kann zutreffen. Die DSGVO ist anders als viele meinen kein Hexenwerk. Der Glaube, dass dieses der Fall sein könnte, stammt häufig aus einer bisher gelebten, nennen wir es mal, „Auch-Schon-Eher-Nicht-Umsetzung des BDSG“.
Vorgenanntes ist nicht hilfreich, aber nicht zu ändern. Also was tun?
Nachfolgend erhalten Sie eine machbare Schritt-für-Schritt-Anleitung für die Umsetzung der DSGVO in Ihrem Unternehmen.
Datenschutz ist Aufgabe des Managements
Das Management ist verantwortlich und haftet. Außerdem funktioniert eine gelebte datenschutzkonforme Unternehmenskultur nur dann, wenn das Management Datenschutz vorlebt. Kennen Sie also grundlegenden Prinzipien der DSGVO? Lesenswerte Paragraphen sind an dieser Stelle die Art. 5 ff. DSGVO.
Die Datenschutzerklärung
Sich wenigstens nach außen schon einmal datenschutzkonform präsentieren: das klappt mithilfe einer gut gemachten Datenschutzerklärung. Betroffene Personen sind über die Verarbeitung ihrer Daten und ihre Betroffenenrechte zu informieren. Dies bitte auch noch transparent, leicht zugänglich und in einfacher, klarer Sprache gem. Art 12ff. DSGVO.
Verzeichnis von Verarbeitungstätigkeiten nebst Rechtsgrundlagen
Um die Erstellung eines Verarbeitungsverzeichnisses kommen Sie nicht herum. Gemäß Art. 30 DSGVO müssen Geschäftsabläufe, bei denen personenbezogene Daten (definiert in Art. 4 DSGVO) verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Dies betrifft insbesondere die Verarbeitung von Beschäftigtendaten, Kundendaten, Daten von Kindern und auch die Verarbeitung von Daten für Dritte als Auftragsverarbeiter. Außerdem sollten Sie in das Verarbeitungsverzeichnis die Rechtsgrundlage für die Zulässigkeit der Verarbeitung der jeweiligen Daten mit aufnehmen. Lesenswert hierzu sind die Art. 6 ff. DSGVO und § 26 BDSG neu.
Beim Einsatz von Dienstleistern beachten Sie auch die Grundsätze der Auftragsverarbeitung gem. Art. 28 DSGVO.
Ein BDSG (neu) wird es trotzdem geben
Warum? Ganz einfach, die DSGVO als unmittelbare geltende europäische Verordnung sieht zahlreiche Öffnungsklauseln vor, die dem nationalen Gesetzgeber die Möglichkeit geben individuelle Regelungen zu treffen. So zum Beispiel sieht die DSGVO für bestimmte Fälle keine Verpflichtung zur Benennung eines Datenschutzbeauftragten vor. § 38 Abs. 1 BDSG-neu (die offizielle Bezeichnung lautet Datenschutzanpassungs- und Umsetzungsgesetz - DSAnpUG) konkretisiert und erweitert diese Benennungspflicht innerhalb Deutschlands.
Anforderungen an die Sicherheit der Datenverarbeitung, die TOMS
Kontrollieren Sie, ob Sie oder der von Ihnen beauftragte Dienstleister bei der Verarbeitung von Daten hinreichende technisch-organisatorische Maßnahmen vorhalten, die ein angemessenes Schutzniveau gewährleisten, § 64 BDSG-neu. Spätestens hier ist Ihre IT gefragt. Nutzen Sie deren Wissen und binden Sie die IT vollumfänglich mit ein.
Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
Sofern Ihr Unternehmen Datenverarbeitungen mit einem hohen Risiko für betroffene Personen bei sogenannten besonderen Kategorien personenbezogener Daten (s. Art 9 Abs. 1 DSGVO) durchführt, muss eine sogenannte Datenfolgeabschätzung erfolgen. Hierzu sollten Sie einen Prozess einführen, der Ihnen die Umsetzung und Aktualisierung erlaubt.
Meldepflichten
Melden Sie Ihren Datenschutzbeauftragten ab dem 25.05.2018 (und wirklich auch erst ab dann, vorherige Meldungen werden nicht berücksichtigt) an die für Sie zuständige Aufsichtsbehörde = die Landesdatenschutzbeauftragten Ihres Bundeslandes.
Wenn es um Meldepflichten geht, sollten Sie außerdem einen Prozess zur Meldung von Datenschutzverstößen einführen. Lesenswert hierzu ist Art. 33 DSGVO.
Und zu guter Letzt: Dokumentieren, dokumentieren, dokumentieren
Achten Sie darauf, dass Sie alles Vorgenannte dokumentieren und stellen Sie stets sicher, dass die Dokumentationen stetig aktualisiert werden.
Klingt nach viel Arbeit? Ja, vielleicht. Wenn Sie die vorgenannten Punkte hingegen Punkt für Punkt abarbeiten, werden Sie sehen, dass sich die DSGVO auch in Ihrem Unternehmen zeitnah umsetzen lässt.
Und sollten Sie Hilfe benötigen: Unsere als TÜV zertifizierte Datenschutzbeauftragte, Datenschutzauditor (TÜV) und als zertifizierte IT-Compliance-Manager zusatzausgebildeten Fachanwälte für IT-Recht stehen Ihnen bei der Umsetzung oder auch bei einzelnen Fragen mit Rat und Tat zur Seite. Hierbei verzichten wir auf langatmige juristische Ausführungen. Wir sind selbst Unternehmer und helfen Ihnen mit wirtschaftlichem Verstand und Tatkraft.