Von vielen Seiten wird gewarnt, dass sich dadurch in der Praxis Vieles ändern wird, dass dramatisch höhere Bußgelder drohen und dass die Zeit für erforderliche Umsetzungsmaßnahmen knapp wird.
Ob die Datenschutz-Welt ab dem 25. Mai tatsächlich ganz anders aussehen, vermag niemand seriös vorherzusagen. Sicher ist aber, dass sich zahlreiche rechtliche Änderungen ergeben, die praktisch jedes Unternehmen und auch die meisten gemeinnützigen Organisationen betreffen werden, und dass die erforderlichen Maßnahmen für eine solide Umsetzung äußerst komplex sind.
Das aus unserer Sicht wichtigste Stichwort lautet dabei: Dokumentation. Denn alle verantwortlichen Stellen unterliegen zukünftig einer Rechenschaftspflicht: Sie müssen die Vorgaben der Grundverordnung nicht nur einhalten, sondern dies auch nachweisen können (Art. 5 Abs. 2 DS-GVO).
Unternehmen sollten sich daher einen Überblick bezüglich der eigenen Datenverarbeitungsvorgänge und der bereits vorhandenen Schutzmaßnahmen verschaffen, um sodann mit Blick auf die neuen gesetzlichen Vorgaben die erforderlichen Maßnahmen zu identifizieren und umzusetzen.
Wer ist betroffen?
Jede Organisation,
- die personenbezogene Daten automatisiert verarbeitet (oder nach bestimmten Kriterien zugänglich in einer strukturierten Sammlung speichert), wenn dies durch eine in der EU belegene Niederlassung erfolgt;
- die in der EU befindlichen Personen Waren oder Dienstleistungen anbietet und in diesem Zusammenhang deren personenbezogene Daten verarbeitet (Bsp.: Onlineshops);
- die mittels Datenverarbeitung das Verhalten von in der EU befindlichen Personen beobachtet (ggf. Tracking, Profiling, Social-Media-Plugins etc.).
- Praktisch alle Organisationen in der EU, da jede IT-basierte Datenverarbeitung erfasst ist
- Sowohl Unternehmen als auch viele gemeinnützige Träger (bspw. schon bei Lohnabrechnung)
- Auch Nicht-EU-Organisationen, die sich an EU-Bürger richten und deren Daten verarbeiten
- Dokumentationspflichten werden ausgeweitet
- Betroffenenrechte auf "Vergessenwerden" und auf Datenübertragbarkeit
- Erweiterte Informationspflichten, insbesondere bzgl. Datenschutzerklärung
- Meldepflichten ggü. Aufsichtsbehörden: Kontakt Datenschutzbeauftragter, Datenpannen
- Datenschutz durch "Technikgestaltung" und "datenschutzfreundliche Voreinstellungen"
- Deutlich erhöhter Bußgeldrahmen: Bis zu € 20 Mio. oder 4 % des weltweiten Jahresumsatzes
1. Bestandsaufnahme
- Bestand bereits die Verpflichtung zur Bestellung eines Datenschutzbeauftragten?
- Welche Prozesse im Unternehmen beinhalten eine Verarbeitung personenbezogener Daten?
- Auf welcher Rechtsgrundlage erfolgt die jeweilige Datenverarbeitung?
- Welche technischen und organisatorischen Maßnahmen zum Schutz der Daten gibt es?
- Welche Verträge beinhalten eine Datenverarbeitung/-übermittlung bzw. Auftragsverarbeitung?
- Welche Dokumentationen gibt es bereits? (bspw. Verfahrensverzeichnisse, Konzepte/Leitlinien zu Datenschutz und IT-Sicherheit, Verschwiegenheitserklärungen, Mitarbeiteranweisungen, Betriebsvereinbarungen, Einwilligungserklärungen, Datenschutzerklärung auf der Internetseite)
- Ggf. Bestellung eines Datenschutzbeauftragten (oft verpflichtend!) + Mitteilung an Behörde
- Verzeichnis von Verarbeitungstätigkeiten aktualisieren
- Bestehende Verträge (insbesondere zur Auftragsdatenverarbeitung) aktualisieren
- Einwilligungen überprüfen, ggf. erneut einholen, Prozess für Widerruf einführen
- IT-Sicherheit/technische und organisatorische Maßnahmen anpassen
- Datenschutzerklärung aktualisieren
- Leitlinien/Mitarbeiteranweisungen erstellen/aktualisieren
- Prozess zur Wahrung der Betroffenenrechte einführen
- Prozess zur Datenschutz-Folgenabschätzung einführen
- Prozess zur Bewertung, Dokumentation und ggf. Meldung von "Datenschutzpannen" einführen
- Speicher- bzw. Löschfristen festlegen, Prozess zur Umsetzung einführen
- Schulungen durchführen lassen und Dokumentationen regelmäßig aktualisieren