#DSGVO: Abwarten gibt es nicht mehr

99 Artikel umfasst sie, die europäische Datenschutzgrundverordnung (DSGVO). Die Bestimmungen sind nicht alle neu, vieles ist aus der Vorgängerversion von 1995 übernommen. Trotzdem hat es die Umsetzung in sich. Ein Justiziar erläutert fünf dringliche Maßnahmen.

Die neue EU-weite Datenschutz-Grundverordnung, kurz DSGVO, trat bereits am 24. Mai 2016 in Kraft und muss ab dem 25. Mai 2018 in allen Unternehmen in Deutschland angewendet werden. „Die überarbeitete DSGVO sorgt spätestens ab dann für umfangreiche Pflichten, die aktiv erfüllt sein wollen, um Fehler und unter Umständen empfindlich hohe Bußgelder zu vermeiden“, erläutert Dr. Alexander Malatidis, Justiziar bei der Haufe Group.

1) Ein Verfahrensverzeichnis erstellen und aktuell halten

Unternehmen müssen nun die Einhaltung der Anforderungen der DSGVO durch ein Verzeichnis ihrer Datenverarbeitungstätigkeiten jederzeit nachweisen können. Sie sind daher verpflichtet, alle Vorgänge inklusive Zweck und Löschfristen aufzulisten. Um zügig ein Verfahrensverzeichnis anlegen zu können, sollten Unternehmer alle Bereiche überprüfen, die mit personenbezogenen Daten arbeiten – wie Personal, Buchhaltung, Marketing, Vertrieb und die eigentliche Leistungserbringung.

Werden Teile der Einzelbereiche mit einer Software erbracht, ist auch zu kontrollieren, welche Daten zu welchen Zwecken gespeichert werden und ob diese Datenverarbeitungsvorgänge mit dem neuen Recht in Einklang stehen. Die Datenverarbeitung ist nur zulässig, wenn eine Einwilligung vorliegt. Die Anforderungen an diese Einwilligung wurden verschärft.

2) Unverzüglich auskunftsfähig sein und bleiben

Schon immer konnte jeder Auskunft über seine Daten verlangen; ab jetzt ist diese allerdings unverzüglich zu erteilen. Der Umgang mit den Auskunftsansprüchen sollte also spätestens ab Mai kommenden Jahres klar geregelt sein. Laut DSGVO hat jede Person das Recht, auf ihre persönlichen Daten zuzugreifen oder diese zu korrigieren, zu löschen oder elektronisch übertragen zu lassen. Unternehmer müssen nun Verantwortliche benennen und die entsprechenden Kapazitäten schaffen, um der neuen unverzüglichen Auskunftspflicht nachzukommen. Notwendige Basis dafür ist, die relevanten Daten immer aktuell und zugänglich zu halten. Das betrifft auch Dritte, die im Namen des beauftragenden Unternehmens personenbezogene Daten verarbeiten.

3) Die eigene Datenschutzerklärung aktualisieren – überall

Eine Datenschutzerklärung muss über die Verarbeitung personenbezogener Daten informieren. Diese Informationspflicht gilt für alle Datenverarbeitungsvorgänge: Auch wer offline Daten erhebt – etwa in einem Kundengespräch – muss über die Verarbeitung der Daten informieren. Außerdem wurde der Umfang der Pflichtinformationen noch einmal erweitert.

Unternehmer sollten auch nicht vergessen, ihre Texte, die nach außen sichtbar sind, der neuen Rechtslage anzupassen. Dies betrifft vor allem die Datenschutzerklärung auf der Website, aber auch Einwilligungserklärungen von Kunden, Newsletter-Empfängern oder Angestellten. Verträge mit Dienstleistern sollten besser ebenfalls einer Prüfung unterzogen werden, um sie gegebenenfalls anpassen zu können. Generell ist es ratsam, mit Dienstleistern zusammenzuarbeiten, die international anerkannte Standards für Datensicherheit und Datenschutz erfüllen, beispielsweise ISO 27018.

4) Security optimieren, um Datenpannen bemerken und melden zu können

Das Gesetz schreibt Unternehmen vor, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Sollte es dennoch zu Verletzungen kommen, sind diese der Datenschutz-Aufsichtsbehörde zu melden. Während eine Meldung bislang nur im Ausnahmefall erforderlich war, muss das Unternehmen nach neuem Recht grundsätzlich jede Datenschutzverletzung binnen 72 Stunden der Datenschutz-Aufsichtsbehörde – unter Umständen auch den Betroffenen – melden. Aus dieser Pflicht folgt die Notwendigkeit, einen unternehmensinternen Prozess zu schaffen, der im Falle von Datenlecks greift. Eine versäumte Meldepflicht kann mit Bußgeldern geahndet werden.

5) Einen qualifizierten Datenschutzbeauftragten bestellen

Die DSGVO sieht auch eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor, wenn sich mehr als zehn Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Für diese Aufgabe sind Ressourcen zu schaffen, und der Datenschutzbeauftragte sollte die Gelegenheit zu entsprechenden Fortbildungen im Bereich Compliance erhalten.

Es gibt kein Universalkonzept, wie Unternehmen bis Mai kommenden Jahres bestmöglich die neue Verordnung umsetzen. Fest steht nur: Sie sollten so schnell wie möglich damit anfangen.