Die Datenschutz Grundverordnung wird die betrieblichen Prozesse in großen Teilen verändern.

Die Datenschutz Grundverordnung wird die betrieblichen Prozesse in großen Teilen verändern.

Die Datenschutz-Grundverordnung (DSGVO) stellt branchenübergreifend viele Unternehmen vor große Herausforderungen. Sie wird eine Vielzahl von Änderungen im Datenschutzrecht bringen und zwingt somit Unternehmen Änderungen in ihren Geschäfts- und Datenverarbeitungsprozessen vorzunehmen. Einige Anpassungen werden auch im Datenschutz-Management erforderlich werden, weil sich der Dokumentationsaufwand gemäß DSGVO für den Nachweis eines funktionsfähigen Datenschutz-Managements in den Unternehmen wesentlich erhöhen wird.

Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/ EG von 1995 und das Bundesdatenschutzgesetz (BDSG) ab. Für das BDSG wird es ab voraussichtlich Anfang 2017 ein Folgesetz geben. Die Landesgesetze werden voraussichtlich Anfang 2018 an die DSGVO angepasst. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union (Art. 288 Abs. 2 AEUV). Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 europaweit in Kraft.

Ein Ziel der europäischen Datenschutzreform war und ist es, das Datenschutzrecht zu modernisieren, insbesondere bessere Antworten auf die Globalisierung und datenschutzrechtlichen Herausforderungen, die die zunehmende Digitalisierung und das Internetzeitalter mit sich bringen, zu geben.

Die Neuerungen treffen jedes Unternehmen und auch den behördlichen (öffentlichen) Bereich. Neue Prozesse müssen geschaffen werden. Existierende Vorlagen, Prüflisten und Verträge sind zu überarbeiten. Dabei gilt es, die Umsetzung der Datenschutzgrundverordnung vorausschauend zu planen! Die möglichst frühzeitige Einbindung der Geschäftsführungen ist deshalb eine wichtige und vorrangige Maßnahme für das Gelingen der DSGVO-Umsetzungsarbeiten. Für Datenschutzbeauftragte führt kein Weg mehr daran vorbei, sich jetzt mit den 99 Artikeln in Verbindung mit den über 170 Erwägungsgründen der DSGVO zu beschäftigen.

Die Grundprinzipien des Datenschutzrechts bleiben erhalten bzw. werden gestärkt. Dazu gehören:

  • Rechtmäßigkeit der Datenverarbeitung
  • Datensparsamkeit
  • Zweckbindung
  • Datensicherheit
  • Übermittlung in Drittstaaten
  • Betroffenenrechte
  • Unabhängige Aufsicht
  • Effektive Durchsetzung (Befugnisse der Aufsichtsbehörden, Sanktionen)

Neu auf die Unternehmen kommt zu:

  • „Recht auf Vergessenwerden“, „Datenportabilität“ und erweiterte „Transparenzpflicht“ bei Betroffenenrechten
  • Marktortprinzip
  • Verfahrensvereinfachung und einheitliche Rechtsanwendung
    • One-Stop-Shop
    • Kohärenzverfahren
  • Bußgeldverschärfungen in Höhe von zwei bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens

Anforderungen wurden durch die DSGVO konkretisiert:

  • Privacy by Design – Privacy by Default
  • Auftragsdatenverarbeitung / Auftragsverarbeiter
  • Meldung von Datenschutzverletzungen
  • Datenschutz-Folgenabschätzung
  • Pflicht zur Bestellung eines behördlichen oder betrieblichen Datenschutzbeauftragten
  • Stärkung der Selbstregulierung durch Zertifizierung und Verhaltensregeln

Viele geänderte und neue Begriffe, mit welchen sich die Unternehmen und Behörden erst einmal auseinander setzen müssen!

Daher empfehlen wir in folgenden Schritten vorzugehen.

07_ÄnderungDSGVO-V01_final

Bild: Empfohlenes Vorgehen zur Vorbereitung auf und Umsetzung der Anforderungen aus der DSGVO

Dabei kann heute schon der „Datenschutz Assistent®“ wertvolle Hilfe leisten.

Mit dem „Datenschutz Assistent®“ ist die Umsetzung der bis zum 25. Mai 2018 geltenden Datenschutzgesetze weiterhin effizient und nachhaltig möglich. Parallel kann aber auch mit den Vorarbeiten für die DSGVO in den verantwortlichen Stellen begonnen werden, weil die Integration des DSGVO in die Software dynamisch und die Vorlage der neuen Folgegesetze im Rahmen der turnusmäßigen Content Updates erfolgen wird.

Zur Aufnahme und zur Planung aus obigen Schritten liefert Ihnen der „Datenschutz Assistent®“ eine sinnvolle Vorgehensweise.

Die derzeitigen Empfehlungen des Bayerischen Landesamtes für Datenschutzaufsicht, der Aufsichtsbehörde für den nicht-öffentlichen Bereich, lauten für Unternehmen zur Vorbereitung der DSGVO wie folgt:

  • Die Unternehmen sollen geltendes Datenschutzrecht nicht aus den Augen verlieren und dabei auch an die Zukunft d.h. an die DSGVO denken.
  • Die Unternehmen sollen bei ihren Datenverarbeitungsprozessen Transparenz schaffen. Z.B. durch ein möglichst vollständiges und funktionsfähiges Verfahrensverzeichnis, welches den Umstieg auf die DSGVO erleichtern wird.

Hannes Hahn, Gerd Schmidt und Nicole Schmidt

Links:

http://www.datenschutzassistent.de/
http://www.roedl.de/themen/cyber-sicherheits-check-hilft-eigene-position-zu-bestimmen
http://www.roedl.de/themen/penetrationstest-cyber-sicherheit