Neue Datenschutz-Grundverordnung – Datenschutz-Compliance im Griff?

Neue Datenschutz-Grundverordnung – Datenschutz-Compliance im Griff?

 

Compliance führt zu neuen Regelungen und es drohen hohe Bußgelder. Bei der Flut an Regulierungen muss sich jedes Unternehmen genau fragen, welches Risiko von neuen Gesetzen ausgeht, um dann sinnvoll und risikoorientiert die notwendigen Sicherungsmaßnahmen einzurichten.

• Alle Mitarbeiter, die mit personenbezogenen Daten dienstlich umgehen, müssen im Datenschutz mitarbeiten
• Steigende Kosten für Datenschutz-Compliance
• Existenzbedrohliche Kosten für Non-Compliance im Datenschutz
• Welche Schritte sollten Unternehmen jetzt einleiten?

 

Alle Mitarbeiter, die mit personenbezogenen Daten dienstlich umgehen, müssen im Datenschutz mitarbeiten

Mit der neuen Datenschutz-Grundverordnung (DSGVO) muss jedes Unternehmen nachweisen können, dass sie über eine funktionierende Datenschutz-Organisation verfügt. Aufgrund der stark erweiterten Rechenschaftspflichten müssen alle Mitarbeiter so geschult sein, dass sie in der Lage sind, ihre Datenschutzaufgaben zu erfüllen. Aufgrund der existenzbedrohlichen Bußgelder der DSGVO wird es wahrscheinlich sogar sinnvoll sein, diese Schulungen durch Übungen zu ergänzen – eine Entscheidung die ganz vom Risikoappetit des Unternehmens abhängt.

 

Steigende Kosten für Datenschutz-Compliance

Die Kosten für den Datenschutz werden ab Ende Mai 2018 merklich steigen. Bereits bekannte Datenschutz-Mechanismen werden wesentlich strenger ausgelegt werden und neue Anforderungen werden an das Unternehmen gestellt werden:

Durch die Rechenschaftspflicht werden die Anforderungen an die Datenschutz-Dokumentation massiv erhöht.

Mit einer Erhebung personenbezogener Daten müssen durch das Unternehmen die neuen Transparenzpflichten umgesetzt werden. Die Einhaltung der Transparenzpflichten ist im Rahmen von Kontrollen der zuständigen Aufsichtsbehörde nachzuweisen.

Bei der Informationssicherheit bei der Verarbeitung personenbezogener Daten muss ein Datenschutz-Risikomanagement etabliert sein und die Prinzipien des Privacy by Design und des Privacy by Default sind einzuhalten. Sofern erforderlich müssen bei einem hohen Risiko für die Rechte und Freiheiten der Betroffenen Datenschutz-Folgenabschätzungen durchgeführt werden, und es kann in diesem Verfahren zu Pflichtkonsultationen der Aufsichtsbehörde kommen. Des Weiteren muss ein Verfahren zur Meldung von Datenschutzvorfällen eingerichtet werden. Meldungen müssen spätestens 72 Stunden nach deren Entdeckung an die zuständige Aufsichtsbehörde vorgenommen worden sein, eine sehr sportliche Frist.

Alle Aufträge mit Auftragsverarbeitern sind auf die neuen Anforderungen der DSGVO zu überprüfen. Wurden diese Verträge bisher nicht geschlossen, so ist dies unbedingt nachzuholen. Sollten Subauftragnehmer nicht in der Lage sein, das erforderliche Datenschutz-Niveau zu erfüllen, so muss sich von diesen Dienstleistern getrennt werden.

 

Existenzbedrohliche Kosten für Non-Compliance im Datenschutz

Neben den existenzbedrohlichen Bußgeldern von bis zu 20 Mio. Euro (oder 4 % vom weltweiten Konzernumsatz) droht den Unternehmen bei einem Verstoß gegen die DSGVO auch ein Image-Verlust.

Bereits jetzt ist es schwierig, qualifizierte externe Datenschutzbeauftragte zu bekommen, da große Firmen und Konzerne als Nachfrager von externen Datenschutz-Beratungsleistungen auftreten. Dies ist der Grund, warum Berufsorganisationen dazu raten, sich bereits jetzt entsprechende Datenschutzdienstleitungen zu sichern.

Ein kurzes Beispiel zeigt die Knappheit bei Datenschutz-Beratungsleistungen: im Bundesland Niedersachsen sind etwas mehr als 300.000 Firmen gemeldet. Bei einem Blick in das hannoversche Branchenbuch sind aber nur eine Hand voll Datenschutzfirmen genannt.

Ab Mai nächsten Jahres müssen der zuständigen Aufsichtsbehörde die Kontaktdaten des Datenschutzbeauftragten schriftlich mitgeteilt werden. Schon jetzt kündigen die Aufsichtsbehörden an, zeitnah zu prüfen, warum welche Unternehmen keinen Datenschutzbeauftragten gemeldet haben. Auch ist zu erwarten, dass die Aufsichtsbehörden die Fachkunde der bestellten Datenschutzbeauftragten kontrollieren werden. Die Landesdatenschutzaufsichtsbehörde kommunizieren schon jetzt, dass die Schonfrist im Datenschutz vorbei ist. Mit der Anwendung der DSGVO wird auch das Mittel der neuen Bußgelder eingesetzt werden.

 

Welche Schritte sollten Unternehmen jetzt einleiten?

Awareness: Die Geschäftsführung muss sich mit den neuen Datenschutzregelungen vertraut machen.

Datenschutzbeauftragter: Unternehmen müssen einen Datenschutzbeauftragten berufen, sofern dies gesetzlich vorgeschrieben ist und die Bestellung veröffentlichen und der zuständigen Datenschutz-Aufsichtsbehörde ab dem 25. Mai 2018 melden.

Verzeichnis der Verarbeitungstätigkeiten: Unternehmen müssen identifizieren und dokumentieren, welche personenbezogenen Daten sie verarbeiten, von wo die personenbezogenen Daten stammen und an wen sie weitergegeben werden.

Rechtsgrundlagen: Für alle Verarbeitungen personenbezogener Daten müssen in einem Unternehmen die rechtlichen Erlaubnisnormen identifiziert und dokumentiert sein.

Informationssicherheit, Privacy by Design, Privacy by Default, Datenschutz-Folgenabschätzung: Unternehmen müssen ihre bisherige Informationssicherheit um ein Datenschutz-Risikomanagement erweitern und die Grundsätze des Privacy by Design und Privacy by Default einhalten.

Betroffenenrechte: Unternehmen müssen Verfahren zum gesetzeskonformen Umgang mit Betroffenenrechten ausbilden und betreiben.

Auskunftsanfragen: Unternehmen müssen sicherstellen, dass sie Auskunftsanfragen von Betroffenen vollständig im vorgeschriebenen Zeitraum erteilen können.

Auftragsverarbeitungen: Unternehmen müssen die vorgeschriebenen Verträge zur Auftragsverarbeitung abgeschlossen haben und die datenschutzkonforme Leistungserbringung regelmäßig überprüfen.

Datenschutz-Erklärungen: Unternehmen müssen bestehende Datenschutz-Erklärungen überprüfen und wenn notwendig aktualisieren. Die neuen Transparenzvorschriften sind unbedingt einzuhalten.

Einwilligung: Unternehmen müssen organisieren, wie sie Einwilligungen datenschutzkonform formulieren, einholen und archivieren.

Datenlecks: Unternehmen müssen sicherstellen, dass sie über entsprechende Mechanismen verfügen, um Datenlecks entdecken, behandeln und melden zu können.

Mitarbeiter-Schulungen: Unternehmen müssen die eigenen Mitarbeiter so schulen, dass sie in der Lage sind, ihre Datenschutzaufgaben zu erfüllen. Die Schulungen sind zu dokumentieren.