Zur Navigation springen Zum Inhalt springen Zum Footer springen

Die Datenschutzgrundverordnung kommt | The General Data Protection Regulation is coming – to-dos!

Bereits seit dem 25.05.2016 ist die DSGVO in Kraft. Verbindlich anzuwenden sind die Vorschriften jedoch gem. Art. 99 Abs. 2 DSGVO erst ab dem 25.05.2018.

Die ursprünglich zweijährige Übergangsfrist sollte den Unternehmen genug Zeit geben, um ihre Datenschutzbestimmungen und -prozesse an die Neuregelung anzupassen. 

Zwar ähnelt die DSGVO in ihrem Regelungskern den Vorschriften des Bundesdatenschutzgesetzes (BDSG), gleichwohl sind aber eine Reihe von Änderungen zu beachten und vor allem schon bislang Vernachlässigtes schleunigst nachzubessern oder Versäumtes zu beheben.

Ein Unsicherheitsfaktor ist hierbei, dass bestehende nationale Datenschutzgesetze (BDSG, Landesdatenschutzgesetze (LDSG), Telemediengesetz (TMG), Sozialgesetzbücher (SGB) und sonstiges Fachrecht) nach dem 25.05.2018 nicht etwa automatisch außer Kraft gesetzt werden, sondern weiter bestehen bleiben. Mithin gibt es – entgegen anderslautender Einschätzungen – gerade keinen Anwendungsvorrang, sondern nur einen (komplizierten) Geltungsvorrang der DSGVO mit Ausnahmen und Rückausnahmen. Beispielsweise kann der Geltungsvorrang der DSGVO bei einzelnen nationalen Gesetzen und Regelungen entfallen, wenn eine Regelung eine der über 70 Öffnungsklauseln der DSGVO für nationale Gesetzgeber ausfüllt. Dies setzt allerdings voraus, dass der nationale Gesetzgeber im Rahmen seiner Kompetenzen gehandelt hat und die nationale Regelung nicht gegen Grundprinzipien des europäischen Datenschutzes verstößt. 

Bund und Länder arbeiten derzeit mehr oder weniger fieberhaft (je nach Legislaturperiode) daran, zunächst das BDSG und die LDSG und sodann das Fachrecht an die europarechtlichen Vorgaben anzupassen und damit auch die Öffnungsklauseln auszunutzen.

Mithin besteht derzeit keine eindeutige und konsistente Rechtslage als Blaupause, nach der deutsche Unternehmen die Umsetzung der DSGVO verfolgen könnten.

Und dennoch raten wir Unternehmen dazu, nicht abzuwarten, sondern jetzt zu handeln! Denn bei Nichteinhaltung der datenschutzrechtlichen Vorschriften der DSGVO ab dem 25.05.2018 drohen horrende Geldbußen und Strafen! Die Behörden können nach Art. 83 DSGVO Strafzahlungen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder, falls höher, bis zu 20 Mio. € verhängen.

Was sind die wesentlichen Neuerungen?

1. Anwendungsbereich

Weiterhin bedarf es eines personenbezogenen Datums, damit die DSGVO sachlich anwendbar ist. Die große Neuerung liegt in der räumlichen Anwendbarkeit der DSGVO, die das Marktortprinzip statuiert. Damit müssen weltweit alle Unternehmen die DSGVO beachten, die Geschäfte in Europa generieren und dabei personenbezogene oder -beziehbare Daten erheben und/oder verarbeiten.

Damit fallen nahezu alle internationalen Konzerne in den Anwendungsbereich der DSGVO, was insbesondere bei US-Unternehmen bereits ein gesteigertes Umsetzungsinteresse ausgelöst hat, weil traditionell in den USA Risiken von Strafzahlungen mehr im Fokus stehen, als bei deutschen Unternehmen.

2. Rechenschaftspflicht und Transparenz durch Dokumentation

Ein wesentliches Ziel der DSGVO ist es, die Rechte der Betroffenen zu stärken. Verantwortliche müssen deshalb die Einhaltung der Datenschutzbestimmungen jederzeit nachweisen können. Ein wesentliches Element der erforderlichen Dokumentation bilden dabei die für deutsche Unternehmen in der Regel bekannten Verfahrensverzeichnisse. Diese heißen zukünftig „Verzeichnis von Verarbeitungstätigkeiten“, werden allerdings in Artikel 30 DSGVO erheblich detaillierter und strikter geregelt, als dies bislang in § 4e BDSG der Fall ist. Eine Mammutaufgabe steht mithin insbesondere jenen Unternehmen bevor, die derzeit noch keine Verzeichnisse oder Dokumentationen vorhalten.

3. Datenschutz-Folgenabschätzung

Gem. Art. 35 DSGVO müssen Unternehmen, wenn Sie Datenverarbeitungstechnologien einführen wollen, zuvor prüfen, inwiefern sich diese auf den Schutz personenbezogener Daten auswirken können. Auch dieses Prinzip ist für deutsche Unternehmen als „Vorabkontrolle“ nicht neu. Vollständig neu ist hingegen, dass die Aufsichtsbehörde zur Beratung und Risikominimierung konsultiert werden muss, sofern die Prüfung ergibt, dass ein hohes Risiko für personenbezogene Daten besteht.

4. Einwilligung

Auch im Bereich der Einwilligung (Art. 7 ff. DSGVO) ergeben sich Änderungen. So muss die informierte Einwilligung eindeutig erklärt werden (Art. 7 Abs. 1 DSGVO) und eine schriftliche Einholung muss separat von anderen Erklärungen erfolgen (Art. 7 Abs. 2 DSGVO). Kombinierte Einwilligungserklärungen sollten zukünftig also besser aufgesplittet werden und es ist verstärkt auf das sog. Koppelungsverbot zu achten. Der Nutzer ist vor der Erteilung der Einwilligung darauf hinzuweisen, dass er seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Erfreulich ist, dass Einwilligungen nunmehr auch in nicht-schriftlicher Form eingeholt werden können.

Die DSGVO legt erstmalig fest, dass Kinder und Jugendliche bis zu einem Alter von 16 Jahren nur mit dem Einverständnis der Erziehungsberechtigten einwilligen können (Art. 8 DSGVO). Den EU-Mitgliedstaaten steht es jedoch frei, die Altersgrenze auf maximal 13 Jahre herabzusetzen. Ob alle oder einzelne Nationalstaaten von dieser Öffnungsklausel Gebrauch machen, sollten Unternehmen mit der „Zielgruppe Jugendliche“ im Auge behalten.

5. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Die DSGVO verankert erstmalig den Grundsatz „Datenschutz durch Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) gesetzlich. Datenschutz durch Technik bedeutet, dass die Software so zu entwickeln ist, dass sie möglichst wenige personenbezogene Daten mit einem angemessenen Datenschutzstandard (etwa Pseudonymisierung; Art. 25 Abs. 1 DSGVO) erhebt und verarbeitet. Eine Voreinstellung ist dann datenschutzfreundlich, wenn nur so viele personenbezogene Daten verarbeitet werden, wie gemessen am jeweiligen Zweck erforderlich ist. Die Verpflichtung trifft Hersteller und Anwender gleichermaßen. So werden Anwender diese Anforderungen in ihren Ausschreibungen und Lastenheften berücksichtigen müssen.

6. Profiling

Nach Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Verantwortliche haben angemessene Maßnahmen zu treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren.

7. Auftragsverarbeitung

Die „alte“ Auftragsdatenverarbeitung wird jetzt zur „Auftragsverarbeitung“. Es sind neue Pflichten des Auftragsverarbeiters vorgesehen, sodass die alten Verträge anzupassen sind. Besonders wichtig erscheint, dass die Übermittlung von personenbezogenen Daten an Auftragsverarbeiter nicht mehr privilegiert ist und der Auftragsverabeiter gemeinsam die Verantwortung mit dem Auftraggeber trägt und haftet.

8. Betroffenenrechte; Recht auf Vergessenwerden

Dem Einzelnen gewährt die DSGVO Rechte, die ebenfalls unmittelbar in unternehmensinterne Prozesse zu intergieren sind. Das prominenteste Beispiel hierfür ist das Recht auf Vergessenwerden (Art. 17 DSGVO) basierend auf der Google-Entscheidung des EuGH (Urteil vom 13.05. 2014 – Aktenzeichen C-131/12). Danach können Betroffene von dem Verantwortlichen die Löschung ihrer personenbezogenen Daten verlangen, soweit diese nicht mehr für den Zweck notwendig sind, für den sie erhoben wurden, Art. 17 Abs. 1 lit. a) DSGVO. Insoweit sollte sich der Anpassungsaufwand für deutsche Unternehmen jedoch in Grenzen halten, weil das BDSG bereits heute eine entsprechende Regelung vorsieht (§ 35 Abs. 2 Nr. 4).

9. Datenportabilität 

Artikel 20 der DSGVO führt das neue Recht auf Datenübertragbarkeit ein. Dies gibt der betroffenen Person das Recht, „die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.“ 

10. Datenschutzbeauftragter

Ein Unternehmen muss nach der DSGVO nur dann einen Datenschutzbeauftragten bestellen, sofern die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder sensible Daten verarbeitet werden (Art. 37 DSGVO). De jure bleibt die Regelung der DSGVO demnach hinter der Regelung des BDSG zurück. De facto dürfte aber die Stellung des betrieblichen Datenschutzbeauftragten durch das neue Haftungsregime der DSGVO mit horrenden Strafzahlungen bei Verstößen einen enormen Bedeutungszuwachs erfahren. Erfreulich bei der Neureglung ist, dass eine Unternehmensgruppe sodann einen gemeinsamen Datenschutzbeauftragten ernennen darf, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann.

11. Meldung von Datenschutzverstößen

Künftig müssen verantwortliche Stellen jede Verletzung des Schutzes personenbezogener Daten, der zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gem. Art. 33 DSGVO melden. Diese Verpflichtung verschärft insofern die bereits im BDSG verankerte Informationspflicht, als dass § 42a BDSG nur auf die unrechtmäßige Übermittlung, nicht jedoch auf jeden Datenschutzverstoß und auch nur auf einen bestimmten Datensatz, nicht jedoch auf jegliche personenbezogenen Daten abstellt. Die nunmehr eingeführte Frist verlangt von Unternehmen, Prozesse für solche Meldungen zu implementieren und den Ernstfall zu proben. Ansonsten werden 72 Stunden kaum einzuhalten sein.

12. Sanktionen und Haftungsverschärfungen

Schließlich betrifft eine wesentliche Neuerung das Sanktionssystem. Während nach dem BDSG bei Datenschutzverstößen ein Bußgeld in Höhe von bis zu 50.000 Euro oder 300.000 Euro verhängt werden kann und gegebenenfalls Gewinne abgeschöpft werden können, sind die Sanktionen für Verstöße gegen die DSGVO weitreichender: Die Behörden können nach Art. 83 DSGVO Strafzahlungen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder, falls höher, bis zu 20 Mio. Euro verhängen. Des Weiteren ergeben sich Haftungsverschärfungen für Auftragsverarbeiter. Sie werden stärker zur Verantwortung gezogen und machen sich bei Verstößen ggf. bußgeldpflichtig (Art. 83 DSGVO). Vor allem aber haften Auftragsverarbeiter gegenüber Betroffenen gesamtschuldnerisch mit dem Verantwortlichen (= verantwortliche Stelle), Art. 82 Nr. 4 DSGVO.

13. Zertifizierungen

Art. 42 DSGVO regelt die Einführung von datenschutzspezifischen Zertifizierungen. Das Zertifikat soll bescheinigen, dass datenschutzrechtliche Anforderungen im Unternehmen eingehalten werden. Zertifikate dürfen gemäß Art. 42 Abs. 5 DSGVO nur von den Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden.

Eine Zertifizierung kann von der verantwortlichen Stelle und den Datenschutzbehörden als Nachweis herangezogen werden, dass bestimmte Anforderungen des DSGVO eingehalten werden. Damit wird die Beauftragung und Überwachung vor allem von Auftragsverarbeitern erleichtert.

Wie das Zertifizierungsverfahren im Einzelnen aussehen wird und welche privaten Stellen (TÜV, DEKRA) sie erteilen darf, ist jedoch derzeit noch nicht konkretisiert.

Wie gehe ich es an, DSGVO Compliance in meinem Unternehmen zu erreichen?

1. Projekt aufsetzen; Ressourcen anfordern, Starten

  • Erforderlichkeit und Dringlichkeit im Unternehmen und beim Management darlegen
  • Notwendige Ressourcen festlegen und organisieren
  • Interne Projekt- und Führungsstruktur etablieren
  • Priorität festlegen
  • Kick-Off des Projektes

2. Bestimmung des konkreten Handlungsbedarfs mittels Gap-Analyse/Soll-Ist-Abgleich

  • Feststellung der neuen gesetzlichen Anforderungen (Soll-Zustand)
  • Bestandsaufnahme des betrieblichen Ist-Zustands
  • Bestimmung des Handlungs- und Umsetzungsbedarfs
  • Risikoanalyse und Accountability

3. Umsetzung

  • Prüfung und Anpassung der Datenverarbeitung; Verträge, Einwilligungserklärungen
  • Prüfung der DS-Organisationsstruktur; Anpassung unternehmensinterner Regularien/Richtlinien/Policies/Handbücher
  • Etablierung eines Datenschutzmanagementsystems

Was ist im Einzelnen zu tun? To-Dos

  1. Datenschutzmanagementsystem aufbauen
  2. Datensicherheitskonzept weiterentwickeln und state-of-the-art erhalten
  3. Neupositionierung des Datenschutzbeauftragten in die Wege leiten
  4. Dokumentation, Dokumentation, Dokumentation
  5. Verarbeitungstätigkeitsverzeichnisse für alle Verfahren anfertigen
  6. Rechtsfolgenabschätzungen vornehmen
  7. Ggf. vorherige Konsultation der Behörden in die Wege leiten
  8. Risikoklassifizierungen vornehmen
  9. Einwilligungserklärungen anpassen, aufsplitten, entkoppeln
  10. Auftrags(daten)verarbeitungsverträge überprüfen und anpassen 
  11. Datenschutzerklärungen, -Hinweise, Policies anpassen
  12. Betriebsvereinbarungen überprüfen und anpassen
  13. Zuständigkeiten und Verfahren für die Erfüllung von Betroffenenrechten aufbauen
  14. Informieren
  15. Auskunft erteilen
  16. Berichtigen
  17. Einschränken
  18. Löschen
  19. Übertragen oder strukturiert Herausgeben (portieren)
  20. Löschkonzept etablieren, erhalten und aktualisieren
  21. 72-Stunden-Meldewesen für etwaige Verstöße errichten
  22. Privacy-by-Design-and-Default-Grundsatz etablieren bei Programmierung, Ausschreibung, Projektplanung und Vertragsgestaltung
  23. Zertifizierung anstreben
  24. Internationalen Datentransfer legal gestalten
  25. Notos Rechtsanwälte um Hilfe fragen!

The General Data Protection Regulation (GDPR) is coming – To-dos for companies up to the conversion period on 25th of May 2018

The GDPR has already been in force since 25th of May 2016. However, the regulations shall be compulsorily applied in accordance with Art. 99 (2) GDPR only from 25th of May 2018 onwards.

The original 2-year transition period should give the companies enough time to adapt their data protection regulations and processes to the new regulation.

Although the GDPR resembles the regulations of the German Data Protection Law (Bundesdatenschutzgesetz – BDSG) in its regulatory kernel, a number of changes have to be taken into account and, above all, aspects currently neglected must be quickly corrected or remedied.

One uncertain factor is that existing national data protection laws (Bundesdatenschutzgesetz [BDSG], Landesdatenschutzgesetz [LDSG], Telemediengesetz [TMG], Sozialgesetzbücher [SGB] and other specialist law) are not automatically overridden after 25th of May 2018. Therefore, contrary to different estimates, there is no application priority, but only a (complicated) precedence priority of the GDPR with exceptions and re-exceptions. For example, the precedence priority of the GDPR to individual national laws and regulations can be dispensed if a regulation fills one of the more than 70 opening clauses of the GDPR for national legislators. However, this presupposes that the national legislator has acted within the framework of his competences and that the national rules do not infringe basic principles of the European data protection law.

The German Federal Government and the States are currently working feverishly (depending on the legislature period) on adapting the BDSG and the LDSG to the European Law and also to use the opening clauses.

Therefore, there is currently no clear and consistent legal situation as a blueprint, according to which German companies could pursue the implementation of the GDPR.

Nevertheless, we advise companies not to wait but to act now! If the data protection provisions of the GDPR are not complied with on 25th of May 2018, enormous fines are threatened. According to Art. 83 GDPR, the authorities can impose a penalty of up to four percent of the company's global annual turnover or, if higher, up to € 20 million. Thus, the protection of personal data has become a crucial topic for every business in Europe.

What are the major innovations?

1. Scope

As before only personal data is subject to the material application of GDPR. The major innovation is the territorial application of the GDPR, which defines the market location principle. This means that all companies worldwide which generate business in Europe and collect and/or process personal data must comply with the GDPR.

This means that almost all international corporate groups fall into the scope of application of the GDPR. This has already triggered a great interest in the USA because the risk of financial penalty is habitually the focus of attention.

2. Accountability and transparency through documentation

A key objective of the GDPR is to strengthen the rights of data subjects. Therefor Controllers shall be able to prove compliance with the data protection regulations at any time. An essential element of the necessary documentation are the “records of processing activities”. These are regulated in Article 30 GDPR in a much more detailed and strict manner than it is currently the case. Compliance is therefore a mammoth task for companies that do not currently have any records.

3. Data protection impact assessment

According to Article 35 of the GDPR, companies have to check the impact to the protection of personal data prior, if they want to introduce new data processing technologies. This principle of a “prior-assessment” is not entirely new for German companies. However, what is completely new is that the supervisory authority shall be consulted for advice and risk minimization provided that the assessment shows that there is likely a high risk to the rights and freedoms of data subjects.

4. Consent

There are also changes in the area of consent (Article 7 atf. GDPR). The informed consent has to be clearly stated (Article 7 para. 1 GDPR) and a written declaration shall be made separately from other declarations (Article 7 para.2 GDPR) in clear and plain language. Combined declarations of consent should therefore be better split in the future and increased attention shall be paid to the “Prohibition of Tying-in”. This means that the delivery of services shall not be made dependent on distribution or use of personal data. Before giving consent, the users shall be informed that they can withdraw their consent at any time with effect for the future. It is gratifying that consent can now also be obtained in non-written form.

For the first time, the GDPR stipulates that children and adolescents up to the age of 16 can consent only with the authorization of their parents (Art. 8 GDPR). However, the EU Member States are free to reduce the age limit to a maximum of 13 years. Whether all or single national states make use of this opening clause, companies which address young people as target group should keep in mind.

5. Privacy by Design and Privacy by Default

For the first time, the GDPR anchors the principle of “Privacy by Design” and “privacy-by default” in law. Data protection by Design means that the software shall be developed in such a way that it collects and processes as little personal data as possible with an adequate data protection standard (e.g. pseudonymisation, Article 25, para. 1 GDPR). A default is then user-friendly, if only as much personal data are processed as it is required for the respective purpose. The obligation applies to software manufacturers and software purchasers alike. Purchasers will have to consider these requirements in their requests for proposal and requirement specifications.

6. Profiling

Under Art. 22 par. 1 GDPR the data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her. The data controller shall implement suitable measures to safeguard the data subject's rights and freedoms.

7. Data Processing

One of the key changes in the GDPR is that data processors have direct obligations for the first time. These include an obligation to: maintain a written record of processing activities carried out on behalf of each controller; designate a data protection officer where required; appoint a representative (when not established in the EU) in certain circumstances; and notify the controller on becoming aware of a personal data breach without undue delay. The provisions on cross border transfers also apply to processors, and BCRs for processors are formally recognised. 

The new status of data processors will likely impact how data protection matters are addressed in supply and other commercial agreements. It is also particularly important that the processor is jointly liable with the customer.

8. Rights of the Data Subject; Right to erasure (“right to be forgotten”)

The GDPR grants various rights to data subjects, which must also be intermediately incorporated within the company's internal processes. The most prominent example is the right to be forgotten (Article 17 GDPR) based on the Google decision of the ECJ (judgment of 13 May 2014 – file C-131/12). After that, data subjects can request the deletion of their personal data from the controller, insofar as these are no longer necessary for the purpose for which they were collected, Article 17 para. 1 lit. a) GDPR. To this extent, however, the adjustment effort for German companies should be limited, since the BDSG already provides for a corresponding regulation (§ 35 para. 2 No. 4 BDSG).

9. Data Portability 

Article 20 of the GDPR introduces the new right of data portability. This gives the data subject the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and he or she has the right to transmit those data to another controller without hindrance from the controller to which the personal data has been provided.

10.Data protection officer

According to the GDPR, a controller shall designate a data protection officer only, if the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale or sensitive data are processed (Article 37 GDPR). De jure, the regulation of the GDPR remains behind the regulation of the BDSG. De facto, however, the position of the company's data protection officer by the new liability regime of the GDPR with its horrendous fines in case of violations, is likely to gain an enormous increase in meaning. What is pleasing in the new regulation is that a company group can then designate a joint data protection officer, provided that he or she is easily accessible from each establishment.

11. Notification of a personal data breach

In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons, Article 33 GDPR. This obligation intensifies the information obligation already laid down in the Federal Data Protection Act (§ 42a BDSG) refers only to the unlawful transmission. The deadline, which has now been introduced, requires companies to implement processes for such notifications and to rehearse the emergency. Otherwise 72 hours will hardly be complied with.

12. Fines and increases in liability

Finally, a major innovation concerns the sanction system. While a fine from € 50,000 to € 300,000 for data protection violations can be imposed under the Federal Data Protection Act (BDSG) and, also if necessary profits can be deducted; the fines for violations of the GDPR are far more stringent. According to Art. 83 GDPR, the authorities can impose a fine of up to four percent of the company's global annual turnover or, if higher, up to € 20 million. In addition, liability aggravations are created for processors. The processors will be held more accountable and will be liable to fines if they violate the regulation (Article 83 GDPR). Above all, processors are jointly and severally liable to the data subject, Article 82 para. 4 GDPR.

13. Certification

Art. 42 GDPR regulates the introduction of data protection-specific certifications. The certificate is intended to certify that data protection requirements in the company are complied with. Certificates may only be issued by the supervisory authorities or accredited certification bodies in accordance with Article 42 (5) GDPR.

A certification can be used by the controllers and the data protection authorities as proof that certain requirements of the GDPR are complied with. This facilitates the choice and supervision of processors in particular.

How the certification process will look in detail and which private bodies (TÜV, DEKRA) may grant it, has not yet been specified.

How do you achieve GDPR compliance in your company?

1. Plan the project, request resources, start the project:

  • Identify the need and urgency of the company and report it to the management
  • Define and organize necessary resources
  • Establish the internal project and management structure
  • Set the priority
  • Kick-off the project

2. Determination of the requirement for action by means of gap analysis / target – actual -comparison 

  • Determination of new legal requirements (target state)
  • Survey of actual operational status
  • Determination of the need for action and implementation
  • Risk analysis and accountability

3. Implementation

  • Checking and adapting data processing; contracts, declarations of consent
  • Review of the data protection organizational structure; Adaptation of corporate regulations / policies / manuals
  • Establishment of a data protection management system

Your specific to-dos?

  1. Establish a privacy management system
  2. Further develop the data security concept and maintain it in compliance
  3. Reposition the status of the data protection officer
  4. Documentation, documentation, documentation
  5. Prepare records of processing activities for all procedures
  6. Conduct data protection impact assessments
  7. Possible prior consultation of authorities
  8. Risk classifications
  9. Adapt, split and/or decouple consent
  10. Check and adjust the data processing contracts
  11. Adapt Data protection policies
  12. Check and adjust the agreements between employees and company
  13. Establish responsibilities and procedures for the fulfillment of the rights of data subjects
  14. Inform
  15. Access
  16. Rectify
  17. Erase
  18. Restrict
  19. Transmit 
  20. Establish, maintain and update a deletion concept
  21. Establish 72-hour notification for potential data breaches
  22. Establish Privacy by Design and Default in programming, tendering, project planning and contract design
  23. Seek certification
  24. Establish legal means of international data transfer
  25. Ask Notos Lawyers for help!

Notos Rechtsanwälte
Jens Engelhardt, Darmstadt
Rechtsanwalt | Partner
Fachanwalt für IT-Recht
Fachanwalt für gewerblichen Rechtsschutz
Fachanwalt für Urheber- Medienrecht

Björn Riedinger, Berlin
Rechtsanwalt | Assoziierter Partner
Fachanwalt für Arbeitsrecht
Fachanwalt für IT-Recht 

Sie haben Fragen? Gleich Kontakt aufnehmen!

Profil-Bild
            Notos Rechtsanwälte Notos Rechtsanwälte

Rechtstipps zum Thema

Rechtstipps des Autors