Datenschutz-Grundverordnung Hinweise und Checkliste
Die EU-Datenschutz-Grundverordnung (DS-GVO) gilt seit dem 25. Mai 2018. Hinzu kommt die Änderung des Bundesdatenschutzgesetzes, die zeitgleich mit der Datenschutz-Grundverordnung (DS-GVO) in Kraft tritt. Unternehmen müssen ihre Prozesse an die neuen Datenschutz-Anforderungen anpassen. Viele der Anforderungen mussten auch schon bisher eingehalten werden. So war die Führung eines Verfahrensverzeichnisses bereits nach dem Bundesdatenschutzgesetz verpflichtend, gleiches gilt für die Vorabkontrolle.
Die Verantwortlichkeit für das Unternehmen, das personenbezogene Daten verarbeitet, wird durch eine Nachweispflicht verdeutlicht, die sich auch in den Bußgeldern bis maximal 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes niederschlägt.
Unternehmen können mithilfe dieses interaktiven Online-Tests des Bayerischen Landesamtes für Datenschutzaufsicht ermitteln, wie weit sie mit der internen Umsetzung der DS-GVO gekommen sind und an welchen Stellen nachgebessert werden sollte. Eine Checkliste beim Landesbeauftragten für den Datenschutz Niedersachsen ist ebenfalls verfügbar.
Was ist zu tun?
Es ist sinnvoll – beispielsweise mithilfe des Fragebogens – eine Bestandsaufnahme zu machen und zu prüfen, welche datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden und ob sie mit der DS-GVO kompatibel sind. Insbesondere:
- Wurde bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerrufsrecht hingewiesen? Falls nicht, müsste dies nachgeholt werden.
- Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Technologien eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig. Diese muss bei vorhandenen Verarbeitungen nachgeholt werden.
- Sind mit den IT-Dienstleistern Vereinbarungen zur Auftragsverarbeitung geschlossen worden? Falls ja, müssen sie überprüft werden: Genügen die technisch-organisatorischen Maßnahmen bei dem Dienstleister den Anforderungen an das Schutzniveau der Daten? Auch hier muss eine Risikobewertung durchgeführt werden. Falls solche Vereinbarungen bisher nicht geschlossen wurden, sollten sie jetzt bereits unter Beachtung des neuen Rechts formuliert werden.
Der Transparenz wird große Bedeutung zugemessen. Insofern ist über die wesentlichen Verarbeitungen personenbezogener Daten zu informieren, um den Betroffenenrechten dadurch Genüge zu tun.
Die Nachweispflicht verlangt, dass die notwendigen Dokumente und Prozesse zur Einhaltung der DS-GVO vorhanden sind und eingehalten werden:
- Gibt es einen Prozess zur Einholung, Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist?
- Wie und von wem werden Auskunftsersuchen beantwortet?
- Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt?
Für die Beantwortung solcher Fragen bieten sich Richtlinien an, die auch im Rahmen eines Compliance-Managements erlassen werden können, oder eine Verknüpfung mit einem vorhandenen Qualitätsmanagement.
Verantwortlichkeit liegt bei Geschäftsleitung
Eindeutig ist, dass die Leitung des Unternehmens die Verantwortung für die Umsetzung der DS-GVO trägt. Sie ist nicht auf einen betrieblichen Datenschutzbeauftragten delegierbar. Seine Aufgabe – unabhängig davon, ob er ein Mitarbeiter ist oder ein Externer – besteht zukünftig im Wesentlichen in der Überwachung der datenschutzrechtlichen Prozesse und der Beratung.
Weiterführende Informationen
Weitere Informationen zur DS-GVO erhalten Sie über den Landesbeauftragten für Datenschutz- und Informationsfreiheit Baden-Württemberg und die umfassenden Artikel, die Sie nebenstehend unter “Weitere Informationen” finden.
Quelle: IHK Stuttgart