In 6 Monaten zur EU-Datenschutzgrundverordnung

​veröffentlicht am 3. Juli 2017

Das Bundesdatenschutzgesetz in neuer Fassung ist beschlossen und gilt zeitgleich mit der EU-Datenschutzgrundverordnung ab Mai 2018. Somit dient das verbleibende Zeitfenster für eine Anpassung der Regelungen, Organisation, Prozesse sowie der notwendigen technischen Maßnahmen. Für viele öffentliche Unternehmen stellen diese Anforderungen eine Herausforderung dar. Daher wollen wir auf 3 unterschiedliche Herangehensweisen hinweisen.

Das Bundesdatenschutzgesetz in neuer Fassung ist beschlossen und gilt zeitgleich mit der EU-Datenschutzgrundverordnung ab Mai 2018

Das „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU 2016/680” (Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU) liegt mit der Drucksache 18/12084 vom 25. April 2017 vor.

Mit 84 Paragraphen im Bundesdatenschutzgesetz n. F., 99 Artikeln sowie 173 Erwägungsgründen aus der EU-DSGVO ist die Umsetzung nicht trivial. Im Rahmen der Prüfung und Beratung öffentlicher Unternehmen stellen wir 3 grundsätzliche Ausgangslagen fest, in denen sich die Unternehmen in der Regel befinden.

1. Die Unternehmens- bzw. Konzernstruktur ist komplex
2. Die Unternehmensstruktur ist überschaubar und eigene Ressourcen zur Sicherstellung des Datenschutzes waren auch in der Vergangenheit vorhanden
3. Die Unternehmensstruktur ist überschaubar und der Datenschutz ist aufzubauen

Nachfolgend möchten wir Ihnen unsere Herangehensweise in diesen 3 Fällen verdeutlichen.

Herangehensweise 1 bei komplexen Unternehmens- bzw. Konzernstrukturen

Ausgehend von der Tatsache, dass es bislang keinen „Konzerndatenschutz” gab und jedes Unternehmen im Konzernverbund für die Umsetzung des Datenschutzes selbst verantwortlich war und noch ist, ist es nachvollziehbar, dass die Bandbreite, wie Datenschutz in den einzelnen Unternehmen und Unternehmensgruppen umgesetzt wurde, sehr groß ist. Auch den jeweiligen Geschäftsführern und Vorständen ist im Einzelfall nicht bewusst, inwieweit die datenschutzrechtliche Verantwortlichkeit in ihrem Umfeld im Status quo verankert und geregelt ist.

Daher steht zu Beginn der vorgeschlagenen methodischen Herangehensweise ein „Assessment” im Fokus, das die durch das neue BDSG n. F. sowie durch die EU-DSGVO geänderten Herausforderungen in den Mittelpunkt stellt.

Erst auf Basis dieses Assessments wird ein dedizierter Umsetzungsplan erstellt.

Herangehensweise 2 bei einer überschaubaren Unternehmensstruktur (ein bis zwei Gesellschaften) mit eigenen Ressourcen zur Sicherstellung des Datenschutzes

Ausgangslage für diese Herangehensweise ist, dass Unternehmen die Anforderungen und Maßnahmen zum Datenschutz in der Vergangenheit schon umfassend geprüft und umgesetzt haben. Der datenschutzrechtliche „Reifegrad” ist daher hoch. Im Rahmen der Umsetzung gilt es nun, die Änderungen zu identifizieren und die vorhandenen Maßnahmen und Instrumente anzupassen. Ein wesentlicher Punkt zur Anpassung wird sein, die umfassenden Pflichten zur „Nachweisbarkeit eines wirksamen Datenschutzes” aufzubauen.

 
Herangehensweise 3 bei einer überschaubaren Unternehmensstruktur (ein bis zwei Gesellschaften) und fehlenden Datenschutzinstrumenten

Es ist nicht unwahrscheinlich, dass die Instrumente zum Datenschutz im Unternehmen nur rudimentär ausgeprägt sind. Ebenso ist es nicht selten, dass in diesem Zusammenhang die Unternehmensleitung bzw. der betriebliche Datenschutzbeauftragte nur bedingt einschätzen können, welche Änderungen im Rahmen des neuen BDSG und der EU-DSGVO auf das Unternehmen zukommen. In diesem Fall bietet sich ein „Begleiten” des Unternehmens in sinnvollen Einzelschritten in Form von Workshops, jedoch unter hoher Eigenleistung, an.

Unser Angebot „Workshop EU-DSGVO” besteht darin, für die Laufzeit von 6 Monaten die verschiedenen Vertreter der Unternehmen(betrieblicher DSB, Leiter IT, etc.) in passende Workshop-Gruppen zu integrieren. Die Workshops finden zweimal im Monat statt. Hierdurch ist gewährleistet, dass die Teilnehmer Zeit haben, die Inhalte auf ihr Unternehmen anzupassen (Hausaufgaben) und Fragen für den Folgeworkshop vorzubereiten. Die Workshops sind virtuell (Webinars) und zeitlich angemessen (2 Stunden), sodass von einer hohen Effizienz und Effektivität ausgegangen werden kann. Folgendes Programm wird inhaltlich abgearbeitet:

Webinar 1: Projekteinstieg, Sensibilisierung, Projektorganisation, Stellung und Organisation des DSB

Webinar 2: Die Verarbeitungsübersicht und Rechtmäßigkeitsgrundlagen

Webinar 3: Auftragsdatenverarbeitung aus Auftraggeber- und Auftragnehmersicht

Webinar 4: Gemeinsam Verantwortlicher, Datenübertragung in Drittländer

Webinar 5: Datenschutzleitlinie, Risikomanagement und Zielkonflikte

Webinar 6: Betroffenenrechte und die Konsequenzen

Webinar 7: Datenschutzrelevante Prozesse (Meldepflicht, etc.)

Webinar 8: Datenschutzfolgenabschätzung

Webinar 9: Anforderungen an die Technik

Webinar 10: Anforderungen an die Organisation

Webinar 11: Revision der Konzepte, Nachweise und Reportings

Webinar 12: Revision der DS-Organisation

Innerhalb des jeweiligen Webinars wird folgende Agenda verfolgt:

• Besprechung der Fragen aus den „Hausaufgaben” des letzten Webinars

• Fachlich/inhaltliche Vorstellung des Webinar-Themas

• Beantwortung inhaltlicher Fragen

• Übergabe von helfenden Unterlagen zur lokalen/eigenen Bearbeitung
• Festlegung von „Hausaufgaben” bis zum nächsten Webinar

Bei einer aktiven Mitarbeit durch die Teilnehmer sowie durch den unternehmensübergreifenden Austausch zwischen den Teilnehmern und durch die strenge Zeit- und Inhaltsvorgabe kann eine erfolgreiche Umsetzung weitestgehend sichergestellt werden.