Die schlimmsten Lücken rechtzeitig schließen: Last-Minute-Tipps zur DSGVO

Das Zeitfenster wird immer kleiner: in wenigen Wochen tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Höchste Zeit also, um das Schiff seefest zu machen und damit hohen Geldstrafen zu entgehen. Last-Minute-Tipps von Christian Golz, Senior Consultant & Datenschutzbeauftragter beim IT-Dienstleister Trivadis.

Zu allererst: keine Panik. Die DSGVO erlaubt auch weiterhin jede Verarbeitung von Daten. Die EU-Verordnung regelt im Wesentlichen in der Europäischen Union die Rechte der Verbraucher, d.h. der von der Datenverarbeitung Betroffenen, neu. Zudem erschließt die DSGVO nicht nur Neuland: das bisher gültige Bundesdatenschutzgesetz (BDSG) hat die meisten Punkte bereits abgedeckt. Zu beachten sind aber vor allem zwei Neuerungen: das Recht auf Widerspruch bei automatisierter Fallentscheidung (Artikel 22) und die Datenportabilität (Artikel 20).

Kurzfristig keine heftigen Strafen zu erwarten

Es ist auch nicht zu erwarten, dass allen Unternehmen kurzfristig heftige Strafen drohen. Vieles an der neuen Richtlinie muss sich erst im Einsatz bewähren. Experten erwarten, dass es zuerst eine begrenzte Anzahl prominenter Unternehmen treffen wird, an denen sich Anwälte, Datenschutzexperten und schließlich Gerichte abarbeiten werden. 

Zunächst kein Grund für schlaflose Nächte also, aber spätestens jetzt ist es an der Zeit, zu handeln. Diese fünf Punkte können als Erste-Hilfe-Maßnahmen umgesetzt werden, bis die Unternehmensprozesse ordentlich angepasst oder umgestellt sind:

  • Schaffen Sie Awareness in der Geschäftsführung und beginnen Sie den Wandel in ihrer Unternehmensstruktur. Die Auflagen der DSGVO kann man nicht nebenher erfüllen. Es müssen das Team und die Mittel bereitgestellt werden, um einen Change-Management-Prozess durchzuführen. Machen Sie der Geschäftsführung die Tragweite der Aufgabe, ihre Bedeutung und die möglichen Folgen klar. Zeigen Sie konkret auf, wo aktuell Handeln Not tut. Verdeutlichen Sie, dass die DSGVO nicht nur ein einzelnes Projekt erfordert, sondern einen Wandel in den Unternehmensprozessen. In Zukunft muss der Datenschutz bei jedem Prozess mit bedacht werden. Die Compliance liegt damit in der Verantwortung von Business Owner und Process Owner, nicht mehr eines Project Owner DSGVO. Ebenso ist es nötig, bei allen Mitarbeitern das Bewusstsein für die Vorgaben und Hintergründe der Verordnung zu schaffen. An entsprechenden Schulungen wird kein Weg vorbeiführen, machen Sie auch dies der Geschäftsführung und der Personalabteilung klar.
  • Klären Sie, ob Sie einen Datenschutzbeauftragten (DSB) brauchen. Nötig wird dieser nach BDSG neu, sobald mehr als zehn Personen regelmäßig mit personenrelevanten Daten arbeiten. Eine regelmäßige personenrelevante Datenverarbeitung stellt dabei schon die tägliche Nutzung eines E-Mail Programmes wie Outlook dar. Näheres zur Rolle des DSB findet sich auf der Seite der Gesellschaft für Datenschutz und Datensicherheit e.V. Auch die Nutzung eines DSB „as-a-Service“ ist zulässig, enthebt Sie beziehungsweise Ihr Unternehmen jedoch nicht der Verantwortung.
  • Richten Sie ein Datenschutz-Management-System ein. Dazu können Sie spezielle Tools nutzen oder eigene Prozesse mittels der üblichen Office-Programme aufsetzen. Anbieter wie Neupart, Crisam (modulare Lösung), OneTrust (webbasiert) oder Otris (deutscher Anbieter) verfolgen verschiedene Ansätze. Beim Einsatz eines Datenschutz-Management-Systems unterstützt es Sie bei der Erfassung ihrer Business-Prozesse und sonstigen Verarbeitungstätigkeiten. Außerdem bestimmen Sie damit, welche personenbezogenen Daten Sie in diesen verarbeiten, welche Informationsobjekte vorhanden sind, welche IT-Systeme genutzt werden, und wohin die personenbezogenen Daten übertragen werden, so etwa zu einem Auftragsdatenverarbeiter außerhalb der EU. Das Verzeichnis der Verarbeitungstätigkeiten bringt die nötige Transparenz, um festzustellen, welche Verarbeitungstätigkeiten anzupassen sind, um gesetzeskonform gegenüber der Datenschutzgrundverordnung zu sein. Im Übrigen stellt das Fehlen des Verzeichnisses der Verarbeitungstätigkeiten lediglich einen kleinen Verstoß dar, der mit bis zu zwei Prozent des weltweiten Vorjahresumsatzes der Konzerngruppe oder mit bis zu zehn Millionen Euro geahndet wird. Vorlage für ein Verzeichnis der Verarbeitungstätigkeiten bietet die GDD e.V. oder für kleine Unternehmen (Handwerksbetriebe, Vereine, Arztpraxen usw.) das Bayerisches Landesamt für Datenschutzaufsicht.
  • Fokussieren Sie sich auf die Verarbeitungstätigkeiten mit Außenwirkung. Dies betrifft alle Stellen mit Kundenkontakt wie den Newsletter, Formulare oder Kommentarfelder, Kontakt mir Bewerbern, Interessenten usw. Haben Sie aber auch in jedem Fall ein Augenmerk auf Verarbeitungstätigkeiten, die besondere Kategorien von personenbezogenen Daten verarbeiten, wie es gerade im HR-Bereich vorkommt. Unter besondere Kategorien von personenbezogenen Daten fallen unter anderem Daten wie Zugehörigkeit zu Religionsgruppen, mentale oder körperliche Beeinträchtigungen usw. (Artikel 9 DSGVO). Artikel 13 und 14 der DSGVO legen die Informationspflichten gegenüber den Betroffenen fest und damit auch die Aufklärung gegenüber dem Betroffenen, was mit seinen personenbezogenen Daten passiert und welche Rechte er gegenüber Ihrem Unternehmen hat. Im Übrigen: Bei Nichteinhaltung dieser Informationspflichten handelt es sich um einen großen Verstoß, der mit bis zu vier Prozent des weltweiten Vorjahresumsatzes der Konzerngruppe oder mit bis zu 20 Millionen Euro geahndet wird. Mit dieser Kenntnis der Daten und ihrer Verwendung prüfen Sie dann ihre Verarbeitungstätigkeiten auf die Wahrung der Betroffenenrechte. Wenn Sie Ihre Verarbeitungstätigkeiten bereits vorab dokumentiert haben, sparen Sie hier Zeit. Ihre Website ist von diesem Prozess nur zu einem bestimmten Maß betroffen: hier greift allerdings ab etwa 2019 die neue ePrivacy-Verordnung, daher sollten Sie die Verordnung gleich mit implementieren. Die Aktualität Ihrer Datenschutzerklärung sollten Sie jedoch sicherstellen.
  • Sichern Sie die Verarbeitungstätigkeiten, bei denen die Verarbeitung von Daten durch Dritte geschieht. Dies könnte etwa bei Anbietern von CRM-Services der Fall sein. Vorlagen für die „Auftragsdatenverarbeitung“ bietet einmal mehr die Gesellschaft für Datenschutz und Datensicherheit e.V.


Was ist mit Österreich und der Schweiz?

Österreich und alle anderen Länder der EU sind von der DSGVO genauso betroffen. Die Schweiz muss (wie andere Nicht-EU-Länder, die dem EWR angehören, auch) belegen, dass ihre Datenschutzgesetze beziehungsweise ihr Datenschutzniveau dem in der EU mindestens entspricht, damit sie von der EU einen Angemessenheitsbeschluss erhält. Deswegen wurde das Schweizer Datenschutzgesetz einer totalen Revision unterzogen und übernimmt weite Teile der GDPR. Diese „kleine GDPR“ erfüllt künftig die Forderung des gleichen Datenschutzniveaus. Darüber hinaus gelten die Regeln der DSGVO für alle Unternehmen, die Waren oder Dienstleistungen in der EU anbieten, oder personenbezogene Daten von in der EU befindlichen Personen zum Zwecke der Verhaltensanalyse verarbeiten. 

Muss ich ein Portal für die Dateninhaber/Betroffenen einrichten?

Nicht zwingend – die Form, in der Sie den Betroffenenrechte der DSGVO nachkommen, ist nicht festgelegt – per Portal, auf Nachfrage oder wie auch immer Sie es gestalten wollen. Es reicht aus, wenn der Kunde/Betroffene bei jeder Einwilligung über die Kontaktdaten des DSB oder Datenschutzkoordinators informiert wird. Allerdings hilft ein Portal bei der Verarbeitung der Anfragen seitens der Kunden. 

Zu guter Letzt noch ein kleines Trostpflaster für alle, die sich mit der DSGVO bisher nicht beschäftigt haben, und denen jetzt der Abmahnanwalt droht. Der 25. Mai 2018 ist ein Freitag – und vor Montag, den 28. geht kein Schreiben raus. Sie haben also drei Tage gewonnen, um die fünf Last-Minute-Tipps zur DSGVO umzusetzen.

Über den Autor: Christian Golz ist Senior Consultant und Datenschutzbeauftragter bei dem IT-Dienstleister Trivadis in Stuttgart.


Quellen für hilfreiche Materialien:

https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo
https://www.lda.bayern.de/de/infoblaetter.html
https://www.datenschutz-praxis.de/praxishilfen/filter/dsgvo-papiere/ 
https://www.datenschutz-praxis.de/praxishilfen/filter/checklisten/

0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags