Datenschutz wird dauerhafter Managementprozess

Die DS-GVO zwischen Panikmache und Chance

Seit dem 25. Mai 2018 müssen Unternehmen die Vorgaben der Datenschutz- Grundverordnung (DS-GVO) umgesetzt haben. Bei vielen Beratern herrscht im Hinblick darauf Goldgräberstimmung. Umgekehrt wird manchem Unternehmer oder Datenschutzbeauftragten in Anbetracht der praktischen, technischen, rechtlichen und vor allem finanziellen Herausforderungen schwindelig. Infolgedessen zögern viele, die Umsetzung anzugehen. Das ist riskant.

Bild: Rudie – stock.adobe.com

Unternehmen, die ein „fertiges“ Konzept zur DS-GVO vorlegen können, werden künftig bei Ausschreibungen oder bei Vertragsverhandlungen bevorzugt behandelt werden. Warum?
Weil die DS-GVO regelt, dass jeder Geschäftsführer seinen Vertragspartner dahingehend überprüfen muss. Tut er es nicht, sieht er sich selbst Haftungsrisiken ausgesetzt. Sich mit den Anforderungen der DS-GVO befasst zu haben, heißt daher, sich bei Kunden und Behörden als verlässlicher und vertrauenswürdiger Partner zu positionieren. Datenschutz muss als dauerhafter Managementprozess verstanden werden (Planung, Umsetzung, Bewertung, kontinuierliche Verbesserung). Darüber hinaus müssen die Mitarbeiter geschult und sensibilisiert werden. Ein in sich geschlossenes, sich aber noch fortentwickelndes Dokumenten-Management beseitigt gleichzeitig das Risiko materieller wie immaterieller Schäden.

Die wesentlichen Neuerungen und die notwendige Reaktion darauf:

1. Erweiterung der Informationspflichten

Die DS-GVO erweitert die Rechte der Mitarbeiter und Kunden. Betroffene haben das Recht zu erfahren, ob und welche personenbezogene Daten von ihnen verarbeitet werden. Sie können Kopien dieser Daten oder deren Löschung verlangen, haben Anspruch auf Übertragung der Daten und auf Widerruf einer erteilten Einwilligung.

Der Autor rät: Definieren Sie interne Prozesse, wie Sie in diesen Fällen fristgerecht und datenschutzkonform reagieren werden.

2. Wie soll mit Datensicherheit und Datenschutzverletzungen umgegangen werden?

Das Thema Datensicherheit gewinnt einen neuen, längst überfälligen Stellenwert. Die DS-GVO fordert von Unternehmen die Pseudonymisierung und Verschlüsselung personenbezogener Daten sowie die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Es geht nicht nur darum, Bußgelder, sondern auch den drohenden Image-Verlust des eigenen Unternehmens zu vermeiden.

Der Autor rät: Überprüfen Sie daher Ihre IT hinsichtlich externen und internen Datenpannen. Erstellen Sie Reaktions- und Kommunikationspläne für den Ernstfall.

3. Verarbeitungsverzeichnis und Datenschutz-Folgenabschätzung

Die DS-GVO verpflichtet den Verantwortlichen (und jetzt auch jeden Auftragsverarbeiter) zur Führung eines Verarbeitungsverzeichnisses. In diesem sind unter anderem der Zweck der Datenverarbeitung, die Empfänger der Daten sowie ein Konzept zur Löschung darzulegen. Leider ist es eine immer noch weitverbreitete Fehlvorstellung, kleinere Unternehmen müssten derartige Verzeichnisse nicht erstellen. Daneben besteht bei Verarbeitungsformen, die ein hohes Risiko für Personen bedeuten (unter anderem bei der Verarbeitung von sensitiven Daten), die Pflicht einer sogenannten Datenschutz-Folgenabschätzung.

Der Autor rät: Führen Sie Verarbeitungsverzeichnisse! Diese sind die Grundlage für alle weiteren Maßnahmen. Prüfen Sie Ihre Prozesse auch anhand der strengen Vorgaben der Datenschutz-Folgenabschätzung. Hinterfragen und bewerten Sie die (technischen, finanziellen und strategischen) Risiken der einzelnen Datenverarbeitungen.

4. Was ändert sich im Bereich Auftragsverarbeitung?

Die Auslagerung oder Inanspruchnahme von Dienstleistungen im Zusammenhang mit personenbezogenen Daten erfordert aus datenschutzrechtlicher Sicht in der Regel den Abschluss eines Auftragsdatenverarbeitungsvertrages. Die DS-GVO nimmt sowohl den Auftraggeber als auch den Auftragsverarbeiter deutlich stärker in die Pflicht.

Der Autor rät: Prüfen Sie, ob mit Ihren Dienstleistern Verträge über die Auftragsverarbeitung vorliegen. Klären Sie Handlungsbedarf nach einer Änderung des Vertrags. Sind die technisch-organisatorischen Maßnahmen noch aktuell? Sind die Rechte und Pflichten transparent dargelegt und die Ansprechpartner benannt?

5. Wie gehen Unternehmen das Projekt DS-GVO praktisch an?

Die Umsetzung der Anforderungen an die DS-GVO erfordert ein projektbezogenes und koordiniertes Team von allen internen Abteilungen und externen Beratern. Am Anfang steht eine Bestandsaufnahme sämtlicher datenschutzrechtlich relevanter Dokumente und Prozesse. Wo steht Ihr Unternehmen? Gibt es einen Ansprechpartner für den Datenschutz? Der Autor rät: Prüfen Sie den Ergänzungs- und Anpassungsbedarf. Errichten Sie einen Pflichtenkatalog und arbeiten Sie ihn ab. Ausgangspunkt sind dabei die Verzeichnisse der Verarbeitungstätigkeiten. Bei der Umsetzung sollte ein funktionierendes Datenschutz- und Risikomanagement-System entstehen. So ist die DS-GVO zwar eine Herausforderung, aber noch mehr als eine Chance zu verstehen.

Autor:

Dr. Philipp Herrmann
PRW Rechtsanwälte PartG mbB
Telefon (089) 2109 770
office@prw.de

Kontakt:

Daniel Kühn
Telefon (069) 8207-225
kuehn@offenbach.ihk.de

Cloud Expo Europe

Mehr Informationen gibt es auf der Messe zu Themen wie Cloud, IT-Sicherheit und digitaler Transformation.

Termin: 7. und 8. November 2018
Ort: Messezentrum Frankfurt auf der Cloud Expo Europe

www.cloudexpoeurope.de