EU-Datenschutz: Checkliste für Unternehmen

Ab dem 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung (EU-DSGVO) unmittelbar in Kraft. Sie bringt eine Reihe von Veränderungen und neuen Anforderungen für den Umgang mit personenbezogenen Daten mit sich.

Das Bundesministerium für Wirtschaft und Energie (BMWi) hat in diesem Zusammenhang eine Checkliste für die Umsetzung der EU-DSGVO (Broschüre der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mit Erläuterungen) in Unternehmen erarbeitet und online gestellt, die Anregungen zur Umsetzung in Unternehmen geben soll.

Nachfolgend eine kurze Zusammenfassung der wichtigsten Punkte:

  1. Kommunikation und Sensibilisierung Geschäftsleitung und andere für das Thema Datenschutz
    Zuständige sollten innerhalb des Unternehmens dafür sensibilisieren, dass sich ab dem 25.05.2018 nicht nur der Name einer europäischen Datenschutzregelung ändern wird. Die EU-DSGVO wird direkte Auswirkungen auf datenverarbeitende Unternehmen haben. Anders als eine EU-Richtlinie ist eine EU-Verordnung in den Mitgliedstaaten der Europäischen Union unmittelbar anwendbar, also auch in Deutschland.
  2. „Bestandsaufnahme“
    Um möglichen Änderungsbedarf im Umgang mit personenbezogenen Daten identifizieren zu können, sollten Unternehmen in einem ersten Schritt eine Bestandsaufnahme der Prozesse durchführen, in denen personenbezogene Daten verarbeitet werden.
  3. Rechtsgrundlagen prüfen
    Auch unter der EU-DSGVO ist für die Verarbeitung personenbezogener Daten stets eine Rechtsgrundlage erforderlich (Verbot mit Erlaubnisvorbehalt). Die Rechtsgrundlage kann sich unmittelbar aus der EU-DSGVO ergeben.
  4. Anforderungen an die datenschutzrechtliche Einwilligung
    Vielen Unternehmen dient die Einwilligung (etwa von Kunden) als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Bei der Einholung von Einwilligungen sind die spezifischen Anforderungen der EU-DSGVO zu beachten (Art. 7 EU-DSGVO).
  5. Verträge und Regularien überprüfen
    Unternehmen sollten ihre bestehenden Verträge zur Auftragsdatenverarbeitung überprüfen und überarbeiten. In Artikel 28 EU-DSGVO sind Vorgaben für Vereinbarungen mit Auftragsdatenverarbeitern (jetzt: „Auftragsverarbeiter“) geregelt. Auch bestehende Geschäftsprozesse, Regularien/Richtlinien und Handbücher, wie z.B. Dienstvereinbarungen, sollten daraufhin überprüft werden, ob sie mit den Anforderungen der EUDSGVO vereinbar sind.
  6. Datenschutz-Folgenabschätzung
    Der europäische Gesetzgeber hat die bisherige Vorabkontrolle (§ 4d Abs. 5 BDSG) nicht in die EU-DSGVO übernommen. Sie wird abgelöst durch die Datenschutz-Folgenabschätzung (Artikel 35 EU-DSGVO). Eine Datenschutz-Folgenabschätzung ist durchzuführen, wenn eine Datenverarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen zur Folge hat (Artikel 35 Abs. 1 EU-DSGVO)
  7. Melde– und Konsultationspflichten
    Die Melde- und Konsultationspflichten gegenüber den Aufsichtsbehörden (Artikel 33, 36 und 37 EU-DSGVO) müssen in den internen Abläufen des Unternehmens abgebildet werden. Gleichzeitig sollte sichergestellt sein, dass der betriebliche Datenschutzbeauftragte bei datenschutzrechtlichen Fragestellungen und der Ausgestaltung von Datenverarbeitungsprozessen frühzeitig beteiligt wird.
  8. Betroffenenrechte und Informationspflichten
    Die in der EU-DSGVO geregelten Betroffenenrechte müssen in den Geschäftsabläufen des Unternehmens abgebildet und gegenüber den Betroffenen umgesetzt werden. Hierzu gehören etwa das Recht auf Löschung (Artikel 17), das Recht auf Datenübertragbarkeit (Artikel 20) sowie die Informationspflichten des Verantwortlichen gegenüber dem Betroffenen (Artikel 13, 14) einschließlich der übergreifenden Rahmenvorgaben (Artikel 12).
  9. Dokumentation
    Die EU-DSGVO enthält an verschiedenen Stellen Dokumentationspflichten, beispielsweise in Artikel 30 (Verarbeitungsverzeichnis), Artikel 33 Abs. 5 (Dokumentation von Datenschutzvorfällen) oder Artikel 28
  10. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“)
    Die EU-DSGVO gibt Rahmenbedingungen vor, wie die datenschutzrechtlichen Anforderungen der EU-DSGVO durch die verantwortliche Stelle schon bei der Prozessgestaltung und bei Voreinstellungen umzusetzen sind (Artikel 25 EU-DSGVO).

Fazit:
Die EU-DSGVO setzt auf ein Datenschutzmanagementsystem mit einem Pflichtenkatalog, der die Einhaltung datenschutzrechtlicher Anforderungen frühzeitig, effektiv und schnell gewährleisten soll. Es liegt in der Verantwortung des Unternehmens, dieses System proaktiv umzusetzen. Datenschutzverletzungen können empfindliche Geldbußen (Artikel 83 EU-DSGVO) und/oder Schadensersatzansprüche der betroffenen Personen (Artikel 82 EU-DSGVO) nach sich ziehen.

Download der Checkliste (ausführliche Informationen)

 EU-Datenschutz-Grundverordnung

Ab dem 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung (EU-DSGVO) unmittelbar in Kraft. Sie bringt eine Reihe von Veränderungen und neuen Anforderungen für den Umgang mit personenbezogenen Daten mit sich. Foto: Ralph Schipke

Tipp:
Weitere Informationen zum Thema EU-Datenschutz-Grundverordnung findet man auch in der GründerNews vom 19.12.2017

2018-04-16

Print Friendly, PDF & Email