Umstellung auf die Datenschutz-Grundverordnung – Die wichtigsten Baustellen

Die EU-Datenschutz-Grundverordnung (DSGVO), welche vor 2 Jahren in Kraft getreten ist, wird ab dem 25. Mai 2018 gelten. Es werden viele komplexe Anforderungen und Vorschriften an Unternehmen, Gewerbetreibende sowie Vereine gestellt. Bei Nichteinhaltung steigen die Geldbußen für Datenschutzverstöße von bisher maximal 300.000€ auf eine Höhe von maximal 20.000.000€ oder 4% des weltweiten Jahresumsatzes an. Wir gehen nicht davon aus, dass sofort solch hohe Strafen erteilt werden, jedoch ist dies mit Vorsicht zu betrachten, da die Sanktionen von den Aufsichtsbehörden gemäß Art. 83 Abs. 1 DSGVO verhältnismäßig und abschreckend zu verhängen sind. Wie genau diese „abschreckende Wirkung“ geltend gemacht werden wird, bleibt abzuwarten.

Jeder Verantwortliche, sei es ein Unternehmen, Gewerbetreibender oder Verein, sollte die neuen Datenschutzbestimmungen sehr ernst nehmen und versuchen, die Verarbeitung von personenbezogenen Daten DSGVO-konform zu gestalten. Denn nur so können unangenehme Überraschungen vermieden werden. Zudem sollte es von hohem Interesse sein, die personenbezogenen (Kunden-)Daten angemessen vor unbefugtem Zugriff und Weitergabe zu schützen.

Was sollten Sie auf jeden Fall beachten? – Wichtigste Baustellen

Wie bereits erwähnt, gibt es zahlreiche Vorschriften die einzuhalten sind. Wir haben für Sie eine Liste zusammengestellt, mit den wohl wichtigsten Mindestanforderungen, die Unternehmen, Gewerbetreibende und Vereine umsetzen sollten.

  1. Sofern Sie über eine gewerbliche Webseite verfügen, sollten Sie diese vor dem 25. Mai 2018 auf den Stand der Datenschutz-Grundverordnung bringen. Ein nicht datenschutzkonformer Internetauftritt führt zu dem wohl größten Risiko einer Abmahnung, da jedermann freien Zugriff auf ihn hat und somit schnell bspw. fehlende Informationspflichten feststellen und dagegen angehen kann. Die Anforderungen der DSGVO an eine gewerbliche Webseite finden Sie hier.
    In aller Munde ist wohl derzeit die von vielen vorhergesagte „Abmahnwelle“, welche ab dem 25.05.18, hauptsächlich auf die Betreiber von gewerblichen Webseiten, zukommen könnte. Es ist durchaus möglich, dass bspw. bei fehlerhaften Datenschutzerklärungen oder fehlenden Informationen über Datenverarbeitungen, die auf gewerblichen Webseiten stattfinden, Abmahnungen erteilt werden und Schadensersatzansprüche geltend gemacht werden. Jedoch bleibt vorerst abzuwarten, ob dies wirklich solch große Dimensionen annimmt. Um unerwünschten Überraschungen vorzubeugen, sollte trotz allem jeder Verantwortliche seinen Internetauftritt DSGVO-konform umgestalten.
  1. Sind Sie dazu verpflichtet einen Datenschutzbeauftragten zu benennen? Sollte dies der Fall sein, raten wir Ihnen entweder einen Mitarbeiter als internen Datenschutzbeauftragten zu benennen oder einen externen Datenschutzbeauftragten zu bestellen. Die Kontaktdaten des Datenschutzbeauftragten müssen auf der Webseite angegeben werden. Daher ist es für Dritte sehr einfach festzustellen, ob in einem Unternehmen ein Datenschutzbeauftragter existiert oder nicht.
    Es sollte beachtet werden, dass sofern Sie sich für einen internen Datenschutzbeauftragten entscheiden, ein solcher auch über das in diesem Amt benötigte Wissen verfügen muss. Dies kann bspw. durch Schulungen erlangt werden. In vielen Fällen ist es von Vorteil einen externen Datenschutzbeauftragten anzustellen. Zum einen ist ein solcher oft kostengünstiger zum anderen verfügt er über das nötige Wissen und ist datenschutzrechtlich gut ausgebildet. Ob Sie dazu verpflichtet sind einen Datenschutzbeauftragten zu benennen, erfahren Sie hier.
  1. Analysieren Sie die datenschutzrelevanten Prozesse, in denen personenbezogene Daten verarbeitet werden und erstellen mit deren Hilfe ein Verzeichnis von Verarbeitungstätigkeiten. Wie genau dieses Verzeichnis auszusehen hat, können Sie hier nachlesen.
  1. Für jeden Prozess der Verarbeitung von personenbezogenen Daten ist eine Risikoanalyse durchzuführen, mit deren Hilfe eine Schutzbedarfsfeststellung erfolgt. Diese kann bspw. im Verzeichnis von Verarbeitungstätigkeiten integriert werden.
  1. Beschäftigen Sie externe Dienstleister oder sind für andere Unternehmen als externer Dienstleister tätig? Bei Weitergabe (als Verantwortlicher) bzw. Zugriff (als Auftragsverarbeiter) auf personenbezogene Daten findet eine Auftragsverarbeitung statt, deren Vereinbarungen in einem Vertrag (AV-Vertrag) zwischen den Parteien festgehalten werden muss. Weitere Informationen finden Sie hier.
  1. Sind alle Verarbeitungen von personenbezogene Daten rechtmäßig? Für die Verarbeitung ist bspw. eine Einwilligung der Betroffenen notwendig. Weitere Erlaubnistatbestände befinden sich in Artikel 6 DSGVO.
  1. Dokumentieren Sie die technischen und organisatorischen Maßnahmen gemäß Art. 25, 32 DSGVO, um festzustellen, ob Ihre personenbezogenen Daten ausreichend vor unbefugtem Zugriff und Weitergabe geschützt sind.
  1. Erfüllen Sie die Informationspflichten, die gemäß Art. 12, 13 DSGVO bei der Verarbeitung von personenbezogenen Daten befolgt werden müssen? Diese sollten Sie bei sämtlichen Datenverarbeitungen umsetzen.
  1. Sofern in Ihrem Unternehmen/Gewerbe/Verein Verarbeitungen von personenbezogene Daten stattfinden, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich führen, wie bspw. bei Videoüberwachung oder Zeiterfassungssystemen, muss für die betroffenen Verarbeitungen eine Datenschutz-Folgenabschätzung durch den Datenschutzbeauftragten durchgeführt werden. Weitere Informationen erhalten Sie hier.
  1. Sind Sie in der Lage, die Betroffenenrechte zu erfüllen? Dazu gehören u. a.
  • das Auskunftsrecht (Art. 15 DSGVO), siehe hier,
  • das Recht auf Berichtigung (Art. 16 DSGVO),
  • das Recht auf Löschung (Art 17 DSGVO),
  • das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie
  • das Widerspruchsrecht (Art. 21 DSGVO).
  1. Verpflichten Sie alle Mitarbeiter, die Zugriff auf personenbezogenen Daten besitzen, zur Vertraulichkeit bzw. Einhaltung der Datenschutz-Grundverordnung. Zudem sollten die Mitarbeiter nachweislich für das Thema Datenschutz sowie die DSGVO sensibilisiert werden. Dies findest bspw. durch Schulungen, durchgeführt von dem Datenschutzbeauftragten, statt.
  1. Richten Sie eine regelmäßige Prüfung des Datenschutzes bzw. des Umgangs und der Verarbeitung mit personenbezogenen Daten ein. Datenschutz ist keine einmalige Aufgabe, sondern ein dauerhafter Prozess. Diese regelmäßigen Kontrollen, ggf. Verbesserungen und deren Umsetzung bilden ein Datenschutz-Managementsystem und helfen Ihnen dabei, auch in Zukunft datenschutzkonform zu arbeiten.

Benötigen Sie Hilfe bei der Umsetzung der teils komplexen Anforderungen der Datenschutz-Grundverordnung oder verfügen noch nicht über einen Datenschutzbeauftragten, sind jedoch daran interessiert diese Position extern zu besetzen?

Wir beraten Sie gern!

Rufen Sie uns an oder kontaktieren uns über das Kontaktformular, um einen ersten Kennenlern- und Beratungstermin zu vereinbaren. Gern können Sie auch über die sozialen Netzwerke oder per E-Mail mit uns Kontakt aufnehmen.

Ihr Name

Ihre E-Mail-Adresse (Pflichtfeld)

Betreff

Ihre Nachricht

Von |2018-05-11T18:35:52+00:00Mai 11th, 2018|Allgemein|0 Kommentare

Hinterlassen Sie einen Kommentar