Fünf Schritte zur Umsetzung der DSGVO

Die endgültige Fassung der Datenschutzgrundverordnung (DSGVO) ist seit Mai 2016 verabschiedet und auch veröffentlicht. Bis zum 25.05.2018 haben die betreffenden Unternehmen nun Zeit und auch die Pflicht, die neuen datenschutzrechtlichen Anforderungen umzusetzen. Ab diesem Zeitpunkt gilt die DSGVO sodann direkt und unmittelbar in allen EU-Mitgliedstaaten und löst die bisherigen nationalen Regelungen und EU-weiten Richtlinien ab, somit auch die bisher geltenden Vorschriften des BDSG.

In diesem Zusammenhang sind für Unternehmen weitreichende Prüfungen, Anpassungen, neue Formulare sowie auch neue Abläufe erforderlich.

Die nachfolgenden fünf Schritte zeigen das Grundgerüst zur Umsetzung der DSGVO auf.

1. Status quo

Zunächst sollte als erster Schritt die Gesamtheit aller datenschutzrelevanten Prozesse überprüft werden und eine Bestandsaufnahme durchgeführt werden. Hierdurch kann festgestellt werden, an welchen Stellen möglicherweise das Unternehmen Änderungsbedarf hat. Eine derartige Überprüfung wird als GAP-Analyse bezeichnet. Im Rahmen dieser GAP-Analyse kann dann der Status quo des Datenschutzes des betroffenen Unternehmens ermittelt werden.

Dieser festgestellte Status quo kann sodann als Istzustand mit dem Sollzustand in Form der entsprechenden Anforderungen der DSGVO verglichen werden. Sobald dies erfolgt ist, sollte ein entsprechender Maßnahmenkatalog mit einem zeitlichen Fahrplan für die Umsetzung bis zum 25.05.2018 festgelegt werden.

2. Verfahrensverzeichnis

Bereits nach den § 4 g Abs. 2 und 4 e BDSG ist das Verfahrensverzeichnis bekannt. Die DSGVO spricht nunmehr von einem „Verzeichnis von Verarbeitungstätigkeiten“. Hierbei handelt es sich im Großen und Ganzen um nichts anderes als um das Verfahrensverzeichnis nach dem BDSG. Nämlich um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten im Unternehmen verarbeitet werden.

Sowohl nach dem BDSG als auch nach der DSGVO besteht die Pflicht, ein derartiges Verzeichnis von Verarbeitungstätigkeiten bzw. Verfahrensverzeichnis zu führen.

Sowohl der Verantwortliche als auch der Auftragsverarbeiter ist von dieser Pflicht betroffen. Den Auftragsverarbeiter treffen insoweit allerdings geringere Anforderungen an das Verfahrensverzeichnis als den Verantwortlichen.

Ferner stellt Art. 30 Abs. 5 DSGVO Ausnahmen für die Erstellung eines Verfahrensverzeichnisses auf. Insoweit ist man von der Pflicht befreit, wenn der Verantwortliche oder Auftragsverarbeiter weniger als 250 Beschäftigte hat und die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung keine besonders sensible Datenkategorien oder strafrechtlich relevanten Daten betrifft.

3. Datenschutz-Management-System

Mit der Einführung der DSGVO ist auch die Verpflichtung für Unternehmen verbunden, ein sog. Datenschutz-Management-System einzuführen. Zentral Berücksichtigung finden hierbei Art. 5 und Art. 24 DSGVO, aus denen sich eine Nachweis- und Rechenschaftspflicht für Unternehmen ableitet.

Insoweit ist eine weitreichende Änderung mit der DSGVO durchgeführt worden. Insofern sind die betroffenen Unternehmen nicht nur verpflichtet, künftig sicherzustellen, dass datenschutzrechtliche Vorgaben eingehalten werden, sie müssen hierfür auch den Nachweis erbringen.

Die gleiche Verpflichtung gilt auch im Bereich der Datensicherheit. Hier ist ein Nachweis dafür erforderlich, dass geeignete technische und organisatorische Maßnahmen eingesetzt werden, die dem Schutz der betroffenen Personen dienen. Anders gesagt müssen in den folgenden Bereichen zukünftig Dokumentationen angelegt und stetig gepflegt werden:

• Nachweis der Datensicherheit (Umsetzung von technischen und organisatorischen Maßnahmen)
• Datenschutzorganisation und Verantwortlichkeit für Datenverarbeitungen
• Verzeichnis von Verarbeitungstätigkeiten
• Einbindung des Datenschutzbeauftragten
• Vertragsmanagement
• Prozess bei der Wahrnehmung von Betroffenenrechten
• Datenschutzschulung der Mitarbeiter und Verpflichtung auf das Datengeheimnis der Mitarbeiter
• Prozess bei Datenschutzverstößen

Die vorgenannten Dokumentationen können bei entsprechender Aufstellung und Pflege dazu führen, dass ein Nachweis für die Einhaltung der datenschutzrechtlichen Vorgaben erbracht werden kann und insoweit etwaige Bußgelder auch deutlich gemindert werden können.

4. Zulässigkeit der bisherigen Datenverarbeitung

Darüber hinaus sollte eine Prüfung erfolgen, ob die bisherige Verarbeitung und Nutzung personenbezogener Daten auch mit der erforderlichen Erlaubnis erfolgt. Die Rechtsgrundlagen und die Einwilligungen, welche bereits im Unternehmen vorliegen, sollten daher überprüft werden. Berücksichtigung finden müssen hierbei die Art. 6 bis 11 DSGVO.

Insoweit stellt Art. 7 DSGVO die Anforderung an eine zukünftige Einwilligung auf:

• Freie Entscheidung des Betroffenen
• Ausführliche, erkennbare und bestimmte Information des Betroffenen
• Schriftform der Einwilligungserklärung
• Widerruflichkeit der Einwilligungserklärung

5. Transparenz- und Informationspflichten

Bereits bisher war Transparenz und Information der Betroffenen ein wesentlicher Bereich des Datenschutzrechts. Das DSGVO führt hierbei noch weitere Verpflichtungen für die betroffenen Unternehmen bezüglich der Information und Transparenz von Betroffenen ein. Berücksichtigung müssen hierbei vor allem finden: Art. 13 und 14 DSGVO.

Insoweit sind folgende Informationen den Betroffenen gem. Art. 13 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form zu gewähren.

• Identität des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten
• Verarbeitungszwecke und Rechtsgrundlagen
• Berechtigtes Interesse
• Empfänger
• Übermittlung der Daten in Drittstaaten
• Dauer der Speicherung
• Betroffenenrechte
• Widerrufbarkeit von Einwilligungen
• Beschwerderecht bei der Aufsichtsbehörde
• Verpflichtung zur Bereitstellung personenbezogener Daten
• Automatisierte Entscheidungsfindung und Profiling

Aus dem Vorgenannten resultiert, dass eine Vielzahl von Änderungen auf die betroffenen Unternehmen aus der DSGVO hervorgeht. Sofern die betroffenen Unternehmen zum jetzigen Zeitpunkt noch reagieren, kann eine Anpassung der betroffenen Informationen, Erklärungen, Formulare und Prozesse noch erfolgen.

Sollte diesbezüglich Beratungsbedarf bestehen, steht der Unterzeichner gerne zur Verfügung.

gez. Marc E. Evers
Rechtsanwalt / Zertifizierter Datenschutzbeauftragter