Datenschutz-Grundverordnung (DSGVO)

Der Countdown läuft

Die Zeit wird knapp, aber das Ziel kann noch erreicht werden. Am 25. Mai 1961 gab Präsident Kennedy in einer Rede zur Lage der Nation das Ziel aus, bis zum Ende des Jahrzehnts einen amerikanischen Astronauten zum Mond und wieder heil zur Erde zurückzubringen. Ähnlich wie damals die NASA zum Ende des Jahrzehnts plante, müssen Unternehmen im Hinblick auf den 25. Mai 2018 vorgehen und die verbleibende Zeit zum Erreichen des Ziels gut einteilen.

Foto: Franco Tinè

Zunächst ist das Projektteam zusammenzustellen. Dabei muss geprüft werden, inwieweit interne Ressourcen zur Verfügung stehen. In vielen Fällen wird, auch wegen der Kürze der verbleibenden Zeit und der fehlenden Erfahrung, auf externe Unterstützung nicht verzichtet werden können. Sofern vorhanden, sind Datenschutzbeauftragte, Compliance-Beauftragte und Betriebsräte einzubeziehen. Das Ziel lautet: bis zum Stichtag 25. Mai 2018 sicherstellen, dass die Regeln und Richtlinien der DSGVO befolgt werden.

Dann beginnt das Team mit einer Analyse der Datenverarbeitung. Viele Unternehmen sind heute bereits gut aufgestellt und erfüllen die aktuellen datenschutzrechtlichen Anforderungen. Das Projektteam DSGVO muss in Gesprächen mit dem Management und allen Unternehmensteilen (zum Beispiel IT, HR, Recht, Vertrieb, Produktion, Einkauf) den aktuellen Stand im Hinblick auf die datenschutzrechtlichen Anforderungen ermitteln. Damit ist eine Lücken-Analyse möglich, die den Status quo mit den Anforderungen der DSGVO abgleicht und den Handlungsbedarf zeigt. Selbst Unternehmen, die heute den datenschutzrechtlichen Anforderungen genügen, müssen tätig werden, weil die DSGVO und das neue Bundesdatenschutzgesetz (BDSG) in den meisten Bereichen Änderungen gegenüber der aktuellen Rechtslage mit sich bringen. Wer aktuell die datenschutzrechtlichen Verpflichtungen unvollständig oder gar nicht erfüllt, steht entsprechend vor deutlich größeren Aufgaben.

Unternehmen müssen prüfen, ob sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen (soweit sie dies noch nicht getan haben). Interne wie externe Datenschutzbeauftragte müssen im Datenschutzrecht und in der IT über Fachkenntnisse und Erfahrung verfügen. Gemeinsam werden die Risiken beim Erheben, Speichern und Verarbeiten personenbezogener Daten ermittelt und klassifiziert. Es sind angemessene technische und organisatorische Maßnahmen zur Minderung festzulegen und umzusetzen.

In der Regel muss ein Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten erstellt werden. Kleinunternehmen sollen zwar von dieser Pflicht befreit sein. Wer aber ein solches Verzeichnis erstellen muss, kann nur im Einzelfall beantwortet werden.

Mitarbeiter sind für den Datenschutz zu sensibilisieren und im Hinblick auf die neuen Regelungen zu schulen. Alle Verträge mit externen Unternehmen, die die Verarbeitung personenbezogener Daten zum Gegenstand haben, müssen geprüft und entsprechend ergänzt oder erneuert werden. Gleiches gilt für Betriebsvereinbarungen, Verhaltensregeln oder interne Anweisungen, beispielsweise zur Nutzung von Internet, E-Mail und sozialen Netzwerken.

Aus der Lücken-Analyse ergibt sich der konkrete Umsetzungsbedarf. Dabei ist auch das erforderliche Budget für externe Unterstützung, Software und weitere Ausgaben bereitzustellen. Schließlich geht es ans Umsetzen. Nach aktueller Planung gilt es, bis zum 25. Mai 2018 darüber hinaus die Anforderungen zum Beispiel an Webseiten und Datenschutzerklärungen durch die sogenannte E-Privacy-Verordnung anzupassen. Auch das bindet Kapazitäten.

Die Aufsichtsbehörden werden nach dem Stichtag bald aktiv werden und Verstöße verfolgen, schon um ihren Wunsch nach zusätzlichem Budget und Personal zu rechtfertigen. Unternehmen, die die Anforderungen pünktlich umgesetzt haben, werden sicherlich versucht sein, weniger korrekten Mitbewerbern mit Abmahnungen zu Leibe zu rücken.

Autor:

Dr. Thomas Lapp
Telefon (069) 9540-8865
anwalt@dr-lapp.de

Diesen Artikel teilen
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone