Was Unternehmen künftig im Datenschutz beachten müssen

Ein Kurzüberblick über die EU-Datenschutz-Grundverordnung – Teil 1‎

Die EU-Datenschutz-Grundverordnung (DS-GVO) ist zum 25.05.2016 in Kraft getreten. Sie regelt den Datenschutz in der Europäischen Union, so dass die Daten frei im Binnenmarkt verarbeitet werden können. Auch Unternehmen aus Drittstaaten, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich zukünftig an diese Regeln halten.

Die DS-GVO enthält eine Übergangsfrist bis zum 25.05.2018. Bis dahin müssen Unternehmen ihre Prozesse an die neuen, höheren Anforderungen anpassen. Das betrifft insbesondere die Einführung bzw. Aktualisierung eines Datenschutzmanagements. Da Datenschutz und Datensicherheit durch die DS-GVO sehr eng verknüpft sind, müssen auch beide Aspekte bei dem Management berücksichtigt und abgebildet werden.

Der Vorteil für deutsche Unternehmen ist, dass viele der neuen Anforderungen schon bekannt sind. So war die Führung eines Verfahrensverzeichnisses bereits nach dem Bundesdatenschutzgesetz (BDSG) verpflichtend, gleiches gilt für die Vorabkontrolle. Dennoch haben sich auch bei diesen Instrumenten Änderungen ergeben – nicht nur bei der Bezeichnung, sondern auch inhaltlich, die es zu berücksichtigen gilt.

Der Grundsatz der Verantwortlichkeit für das Unternehmen, das personenbezogene Daten verarbeitet, wird durch eine ausdrücklich geregelte Rechenschaftspflicht verdeutlicht, die sich auch in den Bußgeldern bis max. 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes niederschlägt. Es lohnt sich also, sich mit den neuen Herausforderungen des Datenschutzes zu beschäftigen.

Hinzu kommt die Änderung des Bundesdatenschutzgesetzes (BDSG), die noch für diese Legislaturperiode geplant ist, damit sie zeitgleich mit der DS-GVO in Kraft treten kann. Das BDSG versucht, aufgrund der zahlreichen Öffnungsklauseln der DS-GVO Erleichterungen für die Wirtschaft aus dem „alten“ BDSG hinüberzuretten wie z. B. Regelungen für Auskunfteien und Scoring.

Der Zeitraum bis zum 25.05.2018 ist nicht mehr lang! Zunächst sollte eine Bestandsaufnahem gemacht werden: Was ist an datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden? Sind sie mit der DS-GVO kompatibel? Wurde z. B. bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerspruchsrecht hingewiesen? Falls nicht, müsste dies nachgeholt werden.

Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Techniken eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig. Diese muss bei vorhandenen Verarbeitungen nachgeholt werden.

Wie sieht es mit den Vereinbarungen zur Verarbeitung personenbezogener Daten im Auftrag aus? Sind mit den IT-Dienstleistern solche Vereinbarungen geschlossen worden? Falls ja, müssen auch sie überprüft werden: Genügen die technisch-organisatorischen Maßnahmen bei dem Dienstleister den Anforderungen an das Schutzniveau der Daten? Auch hier muss eine Risikobewertung durchgeführt werden. Falls solche Vereinbarungen bisher nicht geschlossen wurden, sollten sie jetzt bereits unter Beachtung des neuen Rechts formuliert werden.

Entsprechen Informationen über die Datenverarbeitung auf den Internetseiten den Informationsvorgaben der DS-GVO? Der Transparenz wird große Bedeutung zugemessen. Insofern ist zu prüfen, wie umfangreich eine öffentliche Information über die wesentlichen Verarbeitungen personenbezogener Daten erfolgen kann, um den Betroffenenrechten auf Information dadurch Genüge zu tun. Die bereits erwähnte Nachweispflicht verlangt, dass die notwendigen Dokumente und Prozesse zur Einhaltung der DS-GVO nachweisbar vorhanden sind und eingehalten werden. Zudem gehört zu einem Datenschutzmanagement, dass es eindeutige Regeln gibt, wer welche Rolle in den Ablaufprozessen spielt: Gibt es einen Prozess zur Einholung, Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist? Wie und von wem werden Auskunftsersuchen beantwortet? Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt?

Für die Beantwortung solcher Fragen bieten sich Richtlinien an, die auch im Rahmen eines Compliance-Managements erlassen werden können, oder eine Verknüpfung mit einem vorhandenen Qualitätsmanagement.

Informationen und Beratungen zu den neuen Herausforderungen des Datenschutzes halten die Industrie- und Handelskammern bereit.