#DSGVO: Abwarten gibt es nicht mehr

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

99 Artikel umfasst sie, die europäische Datenschutzgrundverordnung (DSGVO). Die Bestimmungen sind nicht alle neu, vieles ist aus der Vorgängerversion von 1995 übernommen. Trotzdem hat es die Umsetzung in sich. Ein Justiziar erläutert fünf dringliche Maßnahmen.

99 Artikel umfasst sie, die europäische Datenschutzgrundverordnung (DSGVO). Die Bestimmungen sind nicht alle neu, vieles ist aus der Vorgängerversion von 1995 übernommen. Trotzdem hat es die Umsetzung in sich. Ein Justiziar erläutert fünf dringliche Maßnahmen.

Die neue EU-weite Datenschutz-Grundverordnung, kurz DSGVO, trat bereits am 24. Mai 2016 in Kraft und muss ab dem 25. Mai 2018 in allen Unternehmen in Deutschland angewendet werden. „Die überarbeitete DSGVO sorgt spätestens ab dann für umfangreiche Pflichten, die aktiv erfüllt sein wollen, um Fehler und unter Umständen empfindlich hohe Bußgelder zu vermeiden“, erläutert Dr. Alexander Malatidis, Justiziar bei der Haufe Group.

1) Ein Verfahrensverzeichnis erstellen und aktuell halten

Unternehmen müssen nun die Einhaltung der Anforderungen der DSGVO durch ein Verzeichnis ihrer Datenverarbeitungstätigkeiten jederzeit nachweisen können. Sie sind daher verpflichtet, alle Vorgänge inklusive Zweck und Löschfristen aufzulisten. Um zügig ein Verfahrensverzeichnis anlegen zu können, sollten Unternehmer alle Bereiche überprüfen, die mit personenbezogenen Daten arbeiten – wie Personal, Buchhaltung, Marketing, Vertrieb und die eigentliche Leistungserbringung.

Werden Teile der Einzelbereiche mit einer Software erbracht, ist auch zu kontrollieren, welche Daten zu welchen Zwecken gespeichert werden und ob diese Datenverarbeitungsvorgänge mit dem neuen Recht in Einklang stehen. Die Datenverarbeitung ist nur zulässig, wenn eine Einwilligung vorliegt. Die Anforderungen an diese Einwilligung wurden verschärft.

2) Unverzüglich auskunftsfähig sein und bleiben

Schon immer konnte jeder Auskunft über seine Daten verlangen; ab jetzt ist diese allerdings unverzüglich zu erteilen. Der Umgang mit den Auskunftsansprüchen sollte also spätestens ab Mai kommenden Jahres klar geregelt sein. Laut DSGVO hat jede Person das Recht, auf ihre persönlichen Daten zuzugreifen oder diese zu korrigieren, zu löschen oder elektronisch übertragen zu lassen. Unternehmer müssen nun Verantwortliche benennen und die entsprechenden Kapazitäten schaffen, um der neuen unverzüglichen Auskunftspflicht nachzukommen. Notwendige Basis dafür ist, die relevanten Daten immer aktuell und zugänglich zu halten. Das betrifft auch Dritte, die im Namen des beauftragenden Unternehmens personenbezogene Daten verarbeiten.

3) Die eigene Datenschutzerklärung aktualisieren – überall

Eine Datenschutzerklärung muss über die Verarbeitung personenbezogener Daten informieren. Diese Informationspflicht gilt für alle Datenverarbeitungsvorgänge: Auch wer offline Daten erhebt – etwa in einem Kundengespräch – muss über die Verarbeitung der Daten informieren. Außerdem wurde der Umfang der Pflichtinformationen noch einmal erweitert.

Unternehmer sollten auch nicht vergessen, ihre Texte, die nach außen sichtbar sind, der neuen Rechtslage anzupassen. Dies betrifft vor allem die Datenschutzerklärung auf der Website, aber auch Einwilligungserklärungen von Kunden, Newsletter-Empfängern oder Angestellten. Verträge mit Dienstleistern sollten besser ebenfalls einer Prüfung unterzogen werden, um sie gegebenenfalls anpassen zu können. Generell ist es ratsam, mit Dienstleistern zusammenzuarbeiten, die international anerkannte Standards für Datensicherheit und Datenschutz erfüllen, beispielsweise ISO 27018.

4) Security optimieren, um Datenpannen bemerken und melden zu können

Das Gesetz schreibt Unternehmen vor, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Sollte es dennoch zu Verletzungen kommen, sind diese der Datenschutz-Aufsichtsbehörde zu melden. Während eine Meldung bislang nur im Ausnahmefall erforderlich war, muss das Unternehmen nach neuem Recht grundsätzlich jede Datenschutzverletzung binnen 72 Stunden der Datenschutz-Aufsichtsbehörde – unter Umständen auch den Betroffenen – melden. Aus dieser Pflicht folgt die Notwendigkeit, einen unternehmensinternen Prozess zu schaffen, der im Falle von Datenlecks greift. Eine versäumte Meldepflicht kann mit Bußgeldern geahndet werden.

5) Einen qualifizierten Datenschutzbeauftragten bestellen

Die DSGVO sieht auch eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor, wenn sich mehr als zehn Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Für diese Aufgabe sind Ressourcen zu schaffen, und der Datenschutzbeauftragte sollte die Gelegenheit zu entsprechenden Fortbildungen im Bereich Compliance erhalten.

Es gibt kein Universalkonzept, wie Unternehmen bis Mai kommenden Jahres bestmöglich die neue Verordnung umsetzen. Fest steht nur: Sie sollten so schnell wie möglich damit anfangen.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

avatar
  Abonnieren  
Benachrichtige mich bei

Andere Leser haben sich auch für die folgenden Artikel interessiert

Jedes vierte Unternehmen in Deutschland kämpft mit dem Problem knapp bemessener Budgets für IT-Sicherheit. Bedarf besteht bei der Sensibilisierung der Mitarbeiter und bei der Rekrutierung von IT-Sicherheitsspezialisten. Das soll sich ändern. Mehr als die Hälfte der Entscheider (56 Prozent) erwarten laut einer Studie von Sopra Steria und dem F.A.Z.-Institut für die kommenden drei Jahre eine Steigerung des Budgets.

Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktions-Newsletter ein, um auf dem Laufenden zu bleiben.

Aktuelle Ausgabe

Topthema: Kindgerechte Orthesen dank 3D-Druck & Simulation

ANDIAMO GARANTIERT PERFEKTEN SITZ MIT ALTAIR HYPERWORKS

Mehr erfahren

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.