Datenschutz-Grundverordnung tritt am 25. Mai in Kraft
DSGVO Endspurt
Die Datenschutzgrundverordnung (DSGVO) ist ab 25. Mai 2018 für alle Unternehmen anzuwenden. Die DSGVO ist im Umfang von über 80 Seiten, mit fast 100 Artikeln und weiteren 173 Erwägungsgründen gespickt mit auslegungsbedürftigen Begriffen und neuen Rechtspflichten.
Die Umsetzungsherausforderung beginnt bereits bei der Feststellung des Anwendungsbereiches der DSGVO. Der Verantwortliche hat dazu eindeutig festzulegen, ob seine Datenverarbeitung in den Schutzbereich der DSGVO fällt. Eine weitere Frage ist, ob die Daten, die verarbeitet werden sich auf eine juristische Person beziehen oder privater Natur sind. Einige Verantwortliche müssen außerdem den räumlichen Anwendungsbereich abstecken und sich darüber hinaus die Frage stellen, ob ihre Niederlassungen oder ihre Tätigkeiten innerhalb der EU das europäische Datenschutzregime betreffen.
Regelungen und Pflichten
Für die Verantwortlichen und Auftragsverarbeiter gilt es die zahlreichen Vorschriften zum Schutz des Betroffenen in einer wirtschaftlich vertretbaren Weise in ihren Unternehmen umzusetzen. Datenschutzspezifische Regelungen, wie die Bestellung eines Datenschutzbeauftragten, die Durchführung von Datenschutzfolgeabschätzungen oder die Handhabung von Datenschutzverletzungen (Meldung an Behörde), gilt es im Unternehmen umzusetzen.
Als zentralste Neuerung der DSGVO gilt die Führung des „Verarbeitungsverzeichnisses“. Der Verantwortliche ist hier angehalten, alle Verarbeitungstätigkeiten in einem Verzeichnis zu sammeln und mithilfe dieses Verzeichnisses der Aufsichtsbehörde Rechenschaft über seine Verarbeitungstätigkeiten abzulegen.
Neben dem Verarbeitungsverzeichnis und der Rechenschaftspflicht gilt es noch
- alle anderen Datenschutzgrundsätze (Datenminimierung, Zweckgebundenheit, Datenrichtigkeit, Speicherungsdauerbegrenzung),
- die Datenschutzfolgeabschätzung,
- die Regelungen des Datenschutzbeauftragten,
- die Betroffenenrechte und Informationspflichten,
- die Datensicherheitsvorschriften,
- die Vorschriften zu den datenschutzfreundlichen Voreinstellungen
- dem Datenschutz durch Technik,
- die Regelungen zur Auftragsverarbeitung
- die richtige Rechtsgrundlage für die Verarbeitung
zu beachten.
Für jede Verarbeitung ist ein eindeutiger Zweck festzulegen. Es darf also nicht mehr zu einer Datensammlung kommen, ohne genau zu wissen, was mit den Daten geschehen soll. Mit dem Zweck im Zusammenhang steht auch der Grundsatz der Datenminimierung, der im wesentlichen vorschreibt, dass nur diejenigen Daten erhoben werden dürfen, die für den vorgegebenen Zweck auch tatsächlich notwendig sind. Der Zweck der Verarbeitung ist auch im Verarbeitungsverzeichnis einzutragen.
Kernprozesse identifizieren
Kurz dargestellt handelt es sich bei den Kernprozesse um:
- die datenschutzkonforme Datenverarbeitung,
- die Sicherstellung der Betroffenenrechte sowie
- die Handhabung von Datenschutzverletzungen.
Diese Prozesse gilt es im Unternehmen zu implementieren und vor allem auch zu dokumentieren. Zu diesem Zweck könnte in einem Datenschutzhandbuch die Datenschutzprozesse und das Dokumentationsmanagement (erforderliche Dokumentationen: Verarbeitungsverzeichnis, Verzeichnis der Datenschutzverletzungen, Datenschutzfolgeabschätzung; zusätzliche Dokumentationen zur Erfüllung der Nachweispflicht: Informationspflichterfüllung, Betroffenenanfragenerfüllung, Rechtfertigung für fehlende Bestellung DSB usw.) verortet werden.
Datenschutz als Chance
Die Datenschutzgrundverordnung stellt eine große Herausforderung für alle Unternehmen dar und ist wie bereits dargestellt nicht immer einfach zu erfüllen. Aufgrund der neuartigen Strafenlandschaft ist das Thema Datenschutz letztlich in den Compliance-Fokus gerückt – trotzdem sollte dieses Thema nicht nur als reine Compliance-Angelegenheit wahrgenommen werden.
Der Grund dafür liegt auf der Hand: Jeder in Europa ist davon betroffen und daher muss das Thema Datenschutz durchaus auch aus Wettbewerbssicht betrachten werden. In der heutigen Informationsgesellschaft ist ein sichtbarer Datenschutz über die Grenzen der Konformität hinaus als wertvolles Asset zu betrachten und bietet daher je nach Branchenzugehörigkeit eine Reihe von Wettbewerbsvorteilen!
Datenschutz sollte somit nicht nur als lästiges must-do betrachtet werden, sondern wird mit großer Wahrscheinlichkeit in naher Zukunft zu einem must-have in der Kundenwahrnehmung.