Datenschutzmanagement in Zeiten der DSGVO

Datenschutzmanagement wird für Unternehmen spätestens ab morgen nochmal wichtiger werden. Nach Inkrafttreten der DSGVO, der europäischen Datenschutzgrundverordnung inkl. der für Deutschland geltenden Öffnungsklauseln, die mit dem sog. BDSG-neu parallel Geltungskraft erhalten, haben betriebliche Organisationen (neben vielen anderen Betroffenen) künftig einen Vielzahl von Regeln und Vorgaben zu beachten, die nicht nur juristisch relevant sind sondern daneben auch organisatorisch und prozessual von Bedeutung sind. Von Bedeutung deshalb, weil bei Verstoß gegen die Bestimmungen der DSGVO nicht nur die Sanktionen dieser Norm greifen sondern Mitbewerber des Verstoßenden sowie. ggfs. Verbandsklageberechtigte im Verstoß eine sog. marktrelevante Wettbewerbshandlung zu sehen vermögen und somit gegen unlauteren Wettbewerb nach UWG vorgehen könnten. Wir haben uns daher einmal umgesehen und zusammengetragen, worauf ab dem 25.05.2018 spätestens zu achten ist.

Maßnahmen für Datenschutzmanagement

Erforderliche Maßnahmen fallen je nach Unternehmen ganz verschieden aus. Trotzdem gibt es Vorkehrungen, die jedes Unternehmen berücksichtigen sollte, unabhängig von Größe, Branche und Unternehmensstruktur. Wir haben dazu diese Übersicht für Sie zusammengestellt.

  • Etablieren Sie Dokumentationsprozesse für den Umgang mit personenbezogenen Daten.
  • Richten Sie ein Verzeichnis der Verarbeitungstätigkeiten ein.
  • Richten Sie Kommunikationswege für Kundenanfragen zum Datenschutz ein.
  • Prüfen Sie, ob Sie einen Datenschutzbeauftragten beauftragen müssen.
  • Passen Sie die Datenschutzerklärung auf Ihrer Website an die Neuregelungen an.
  • Beraten Sie sich mit Ihrem IT-Leiter und dem Datenschutzbeauftragten, ob die aktuellen technischen Maßnahmen zum Datenschutz ausreichen. Unter Umständen müssen weitere Maßnahmen eingeleitet oder bestehende Maßnahmen besser in die IT-Infrastruktur integriert werden.
  • Alle erhobenen personenbezogenen Daten, die gegen das Kopplungsverbot verstoßen, müssen fortan anders eingeholt und als freiwillig ausgegebene Daten erhoben werden.
  • Falls Sie externe Dienstleister damit beauftragt haben, personenbezogene Daten für Ihr Unternehmen zu verwalten, sollten Sie mit ihnen klären, ob die getroffenen Vereinbarungen der Datenschutzreform entsprechen. Passen Sie die Vereinbarungen gegebenenfalls den neuen Vorgaben an.
  • Überprüfen Sie, wie Sie in Ihrem Onlineshop oder auf Ihrer Website die Einwilligungen Ihrer Kunden einholen und passen Sie die Vorgehensweise an die Regelungen der Datenschutzgrundverordnung an.
  • Bleiben Sie auch aufmerksam, was die E-Privacy-Verordnung angeht: Sie wird künftig regeln, wie Website-Betreiber mit Analyse- und Trackingtools umgehen.

Der ProfitBricks DSGVO Readiness Check gibt auch nochmal im Detail Aufschluss.
Bitte beachten Sie: Leider ist es ProfitBricks nicht erlaubt, umfangreiche Rechtsberatung zu leisten. Falls Sie unsicher sind, nutzen Sie entsprechende professionelle Beratung. Externe qualifizierte Datenschutzdienstleistungen und -audits bieten u.a. die activeMIND AG oder SKW Schwarz.

Mögliche Auswirkungen auf Unternehmen

Die Anforderungen der DSGVO haben es gewiss in sich. Dennoch sind sie mit dem richtigen Datenschutzmanagement gut umsetzbar. Maßgaben der DSGVO müssen Unternehmen unbedingt berücksichtigen und bereits bei der Konzeption von Arbeitsabläufen mit Personenbezug in ihren Workflow integrieren (Prinzip des Privacy by Design im Datenschutzmanagement). Andernfalls verstoßen sie gegen europäisches Recht. Hier finden Sie die wichtigsten Neuregelungen, die Unternehmen – insbesondere im Bereich des E-Commerce – beachten müssen.

Allgemeine Datensicherheit in Unternehmen

  • Datenschutz-Folgeabschätzung (DSFA): Unternehmen sind verpflichtet, Risiko-Abschätzungen vorzunehmen. Sie müssen außerdem festhalten, welche Schutzmaßnahmen zur Risikominimierung unternommen werden. Insbesondere wenn ein Unternehmen mit Cloud-Computing arbeitet, ist diese Vorschrift relevant. Denn beim Cloud-Computing wird oft mit größeren Mengen personenbezogener Daten hantiert. Noch stärker dürften Unternehmen betroffen sein, die Gesundheitsdaten speichern, gelten diese doch als besonders sensibel und eine Verbreitung der Daten wiegt für die Betroffenen besonders schwer.
  • Arbeitnehmerdaten: Auf den Prüfstein kommt auch, wie ein Unternehmen die Daten seiner Arbeitnehmer bearbeitet. Die entsprechenden Regelungen in der DSGVO und dem BDSG-neu betreffen also auch die Human Resources, die in die Veränderungen miteinbezogen werden müssen.
  • Datenschutzbeauftragte: Für viele Unternehmen ist ein Datenschutzbeauftragter fortan Pflicht. Dieser überwacht die individuell ausgearbeitete Datenschutzstrategie und die DSGVO/GDPR-Konformität. Das betrifft nicht bloß Unternehmen, die in großem Umfang mit personenbezogenen Daten arbeiten. Jedes Unternehmen, bei dem mehr als 10 Personen regelmäßig mit personenbezogenen Daten zu tun haben, muss künftig einen Datenschutzbeauftragten bestellen.
  • Meldepflichten: Die neuen Vorgaben der DSGVO zum Vorgehen bei Datenpannen sind deutlich strenger als die zuvor geltenden Regelungen. Sicherheitsvorfälle müssen innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden: Im Zweifel sowohl an die betroffenen Personen als auch an die zuständigen Behörden.
  • Verantwortlichkeit und Bußgelder: Unternehmen können künftig für Verstöße im Umgang mit den von ihnen erhobenen Daten leichter verantwortlich gemacht werden. Das schließt hohe Geldbußen mit ein.

Sicherheit personenbezogener Daten

  • Dokumentationspflicht: Ein Schwerpunkt der Datenschutzgrundverordnung liegt auf der Rechenschaftspflicht von Unternehmen, auch Accountability genannt. Anders als bisher sind Unternehmen verpflichtet, die Datenschutz-Compliance durch eine interne Dokumentation belegen zu können. Sie müssen den Behörden jederzeit durch Vorlage eines entsprechendes Verzeichnisses darlegen können, welche Daten zu welchem Zweck gespeichert und auf welche Weise verarbeitet werden und wann das Unternehmen sie löscht.
  • Privacy by Design: Das Prinzip Privacy by Design bedeutet, dass Unternehmen bereits beim technischen Aufbau ihrer Geschäftsprozesse den Datenschutz berücksichtigen müssen. Sie dürfen Maßnahmen zum Datenschutz technisch nicht erst nachträglich (also zweitrangig) implementieren, sondern müssen sie bereits in der Erarbeitungsphase in den Arbeitsprozess integrieren. Produkte und Prozesse sollen also so konzipiert werden, dass sie mit möglichst wenig personenbezogenen Daten auskommen.
  • Privacy by Default: Diese Vorschrift der Datenschutzgrundverordnung schreibt vor, dass grundsätzlich die Datenschutz freundlichste Variante technisch voreingestellt sein muss. Das erspart es Nutzern, sich durch komplexe technische Einstellungen zu kämpfen, um Beschränkungen der Datenverarbeitung zu erwirken.
  • Erlaubnisgrundlagen (Einwilligung, Betriebsvereinbarung): Auch künftig müssen Individuen der Nutzung ihrer persönlichen Daten in den meisten Fällen ausdrücklich zustimmen. Zudem ist die Einwilligung des Arbeitnehmers oder Verbrauchers nur für den anzugebenden Verwendungszweck gültig. Außerdem muss die Einwilligungserklärung verständlich formuliert und grundsätzlich widerrufbar sein. Der Widerruf muss für den Kunden ebenso einfach sein wie die Einwilligung. Die Anforderungen an eine wirksame Einwilligung sind nach der DSGVO gestiegen. Ein grobes Ungleichgewicht zwischen den Beteiligten kann die Freiwilligkeit ebenso ausschließen, wie die Kopplung der Erteilung an den Vertragsschluss.
  • Löschung von Daten: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist. Erlischt die Verarbeitungsbefugnis (etwa weil die Einwilligung widerrufen oder der Vertrag erfüllt wurde), müssen die Daten gelöscht werden.
    Auskunftsrecht und Recht auf Löschung: EU-Bürger haben das Recht, auf Anfrage zu erfahren, über welche ihrer Daten ein Unternehmen verfügt und wie es diese verwendet. Außerdem können Verbraucher bei Unternehmen einfordern, ihre Daten zu löschen.
  • Ein „Recht auf Vergessenwerden“ wird damit gesetzlich festgelegt.

Sie sehen: Da steckt viel Arbeit drin. Aber mit dem richtigen Datenschutzmanagement auf Unternehmensseite und Augenmaß bei den Aufsichtsbehörden wird sich die DSGVO sicher bald erfolgreich etablieren. ProfitBricks als IaaS Cloud-Provider für den Mittelstand ist in jedem Fall bereits jetzt vollumfänglich auf die DSGVO eingestellt.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *