Datenschutz: Umsetzung der DSGVO – Was Sie jetzt wissen müssen

veröffentlicht am 7. Februar 2018

​Ab dem 25. Mai 2018 gilt die Datenschutzgrundverordnung(DSGVO) in allen Mitgliedstaaten der Europäischen Union. Ihre Umsetzung betrifft alle Unternehmen, die personenbezogene Daten verarbeiten. Besonderer Handlungsbedarf besteht vor allem deshalb, weil die Bußgelder für Datenschutzverstöße erheblich angehoben wurden. Sie können bis zu 10 Mio. Euro bzw. 20 Mio. Euro oder 2 Prozent bzw. 4 Prozent des weltweiten Jahresumsatzes des vorausgegangenen Geschäftsjahres eines Unternehmens betragen. Die Datenschutzaufsichtsbehörden sind nach der DSGVO verpflichtet diese Bußgelder zu verhängen. Datenschutz ist ein Compliance-Thema.

​Die Regelungen der DSGVO betreffen insbesondere folgende Anforderungen: 

• Eine umfassende Rechenschaftspflicht des Unternehmens für die Datenschutzkonformität sämtlicher Prozesse im Unternehmen, in denen personenbezogene Daten verarbeitet werden
• Datenschutzfolgenabschätzung bei umfangreichen Verarbeitungen und Einführung neuer Technologien, die fast jedes Unternehmen mit Ausnahme kleinerer KMUs betrifft
• Erweiterte Anforderungen an die Rechtmäßigkeit der Datenverarbeitung und strenge Zweckbindung sowie deren Dokumentation als Nachweis bei Prüfungen durch die Datenschutzaufsichtsbehörden
• Geänderte Anforderungen an die Auftragsverarbeitung bei Einschaltung externer Dienstleister
• Abgrenzung der Auftragsverarbeitung zur gemeinsamen Verantwortlichkeit bei der Datennutzung durch mehrere Gesellschaften, auch innerhalb einer Unternehmensgruppe
• Pflicht zur technikfreundlichen Gestaltung der Datenverarbeitungssysteme
• Verschärfte Anforderungen an die Sicherstellung der Rechte der betroffenen Personen, einschließlich Mitarbeiter
• Ausweitung der Geltung der DSGVO nach dem sogenannten Marktortprinzip auf Datenverarbeitungen außerhalb der Europäischen Union
• Neue Anforderungen an den Datenschutzbeauftragten
• Verschärfte Anforderungen an die Datensicherheit
• Erweiterte Anforderungen bei der Übermittlung personenbezogener Daten außerhalb der EU/ des EWR
• Erheblich ausgeweitete Meldepflichten bei Datenschutzverstößen an die Datenschutzaufsichtsbehörden und betroffene Personen

Bewertung für die Praxis

Folgende Maßnahmen sollten Unternehmens angesichts der kurzen Zeitspanne bis zur Geltung der DSGVO nun ergreifen:

• Projektteam zur Prüfung und Implementierung der Anforderungen der DSGVO errichten
• Sämtliche Geschäftsprozesse im Unternehmen und in einzelnen Abteilungen auf Datenschutzkonformität prüfen
• Diese Maßnahmen dokumentieren, um sie bei Prüfungen durch die Aufsichtsbehörden nachweisen zu können
• Sämtliche Datenverarbeitungsprozesse in ein Verzeichnis der Verarbeitungstätigkeiten aufnehmen
• Lücken in der Datenschutzkonformität identifizieren und nach Risiken klassifizieren
• Maßnahmenkatalog zur Beseitigung dieser Lücken erstellen und implementieren
• Datenschutzkonzept zur Gewährleistung der Rechenschaftspflicht erstellen
• Datenmanagement-System zum Management von Datenverarbeitungsprozessen erstellen und später regelmäßig kontrollieren und aktualisieren
• Mitarbeiter in den Anforderungen der DSGVO schulen