Umsetzung der EU-DSGVO im Unternehmen

Die DSGVO gilt ab dem 25.05.2018 unmittelbar als Gesetz unmittelbar als Gesetz, es bedarf keiner weiteren Umsetzung durch die nationalen Regierungen. Das BDSG gilt daneben weiterhin fort, die DSGVO geht als Gesetz aber vor.

Welche Bestimmung im jeweiligen Einzelfall gilt, ist noch ungeklärt und muss durch Rechtsprechung entwickelt werden, was leider für die Wirtschaft eine gewisse Rechtsunsicherheit bedeutet. Dies unterscheidet sich aber nicht von neuen Gesetzeslagen in anderen Bereichen wie etwa dem Wettbewerbsrecht vor ein paar Jahren. Die Reform des BDSG steht ebenfalls bevor, auch dort wird es spannend sein, inwieweit der deutsche Gesetzgeber von Ausnahmemöglichkeiten, die in der DSGVO enthalten sind, Gebrauch machen wird.

Die wesentlichen Grundsätze des BDSG bleiben aber bestehen (Totalverbot mit Erlaubnisvorbehalt, Einwilligung, betrieblicher Datenschützer, Aufsichtsbehörden, Audits etc.) In Deutschland sind wegen des bisherigen, hohen Datenschutz Niveaus die Änderungen daher nicht so einschneidend, wie in anderen Europäischen Ländern.

Für Unternehmen ist es aber wichtig, rechtzeitig mir der Umsetzung der neuen Vorgaben zu beginnen. Dabei sollte erst einmal versucht werden, sich eine Übersicht über die vorhandenen personenbezogenen Daten zu verschaffen:

Projekt zur Umsetzung EU-DSGVO

  • Bestandsaufnahme aller personenbezogenen Daten
  • Eigenen Kundendaten
  • Daten, welche Mitarbeiter mittels CRM generieren kann
  • Dokumentation der Datenflüsse, eigene und für den Kunden leicht verständlich
  • Dokumentation der Möglichkeiten der Anonymisierung/ Pseudonymisierung
  • Dokumentation Datenvermeidung
  • Dokumentation von der Umsetzung dieser Prozesse in der eigenen genutzten Software (“Privacy by Design“)
  • Prüfen der Möglichkeiten einer Umsetzung Datenvermeidung bei der Grundinstallation “Privacy by Default“
  • Dokumentation des jeweiligen berechtigten Interesses für die einzelne Datenverarbeitung
  • Möglichkeit des Einlesens einer Betriebs Vereinbarung auf den eigenen Servern im Intranet schaffen, so dass sich Mitarbeiter über die Erlaubnis der Verarbeitung ihrer personenbezogenen Daten informieren können
  • Dokumentation eines möglichen Transfers in ein Drittland
  • Dokumentation der beabsichtigten Speicherdauer mit Revision Vorgabe aus Gesetz
  • Dokumentation des Zwecks der Speicherung und ggf. dessen Änderung
  • Dokumentation muss transparent und leicht verständlich sein
  • Dokumentation der Folgenabschätzung eines Verstoßes
  • Bei hohem Risiko für Betroffenen Meldepflicht
  • Der Schwerpunkt im Projektmanagement und Organisation sollte an den Bereich Legal vergeben werden (Projektverantwortung)
  • Festlegung der Schnittstellenschwerpunkte / Koordination zwischen Legal, DSB, Fachbereiche und IT
  • Durchführung einer strukturierten Analyse, Bestandsaufnahme (Vorstudie)
  • Begleitung und Monitoring der Umsetzung
  • Etablierung von Datenschutz Strukturen & Prozessen (PDCA-Zyklus), Erstellen eines Notfallplans
  • Beachtung der Meldepflicht bei einem Verstoß (innerhalb von 72 Stunden)
  • Schnittstelle zu IT-Compliance-Management-Systemen schaffen
  • Schnittstelle schaffen zu Compliance / Risc Managament
  • Inhaltliche Überprüfung und Freigabe der Compliance
  • Beachtung des Rechts auf Datenmigration in einem strukturierten, üblichen Format (z.B. ascii)
  • Schaffung einer Möglichkeit der Sperrung, Berichtigung bei Widerspruch des Betroffenen,
  • Beachtung des Rechts auf Vergessen werden

Es sind dies zwar eine ganze Reihe von Maßnahmen, gleichzeitig stellen diese in den meisten Unternehmen wohl keine unerfüllbaren Hürden dar. Wichtig ist, rechtzeitig zu beginnen und jeden einzelnen Schritt der Umsetzung zu dokumentieren. Bei Unsicherheiten in der Bewertung der einzelnen Daten können externe Berater helfen.

Das könnte Dich auch interessieren...