Sie haben Fragen oder benötigen professionelle Unterstützung?
Rufen Sie uns an unter
030 403 63 36 60.

Teil 1: Die Datenschutz-Grundverordnung: Was Unternehmen dazu wissen müssen.

Die 10 wichtisten Schritte zur Umsetzung der DS-GVO

Viel wurde in den letzten Monaten zur DS-GVO geschrieben und erzählt. Leider hat die Art und Weise oftmals nicht dazu beigetragen, den Unternehmen die (tatsächlich unberechtigte) Angst vor den verschiedenen Datenschutzthemen zu nehmen. In diesem Blog geben wir einen Überblick über aktuelle Veränderungen, Anforderungen und Hinweise zum Umgang mit dem „Schreckensgespenst“ DS-GVO.

Wie alle Gesetzestexte verwendet auch die DS-GVO eine Reihe von Fachbegriffen. Zum besseren Verständnis werden wir diese nach und nach näher erläutern.

Lassen Sie uns jedoch zunächst einen kurzen Überblick über die notwendigen Schritte zur Umsetzung der DS-GVO verschaffen.

1. Schritt: Sensibilisierung und Kommunikation

Spätestens seit dem 25.05.2018 sollte jedem klar sein: Datenschutz betrifft uns alle! Der erste Schritt zum richtigen Umgang mit Daten ist die Sensibilisierung für das „leidige“ Thema Datenschutz. Das heißt nicht nur die Geschäftsführung und beispielsweise die IT-Verantwortlichen sollten wissen, welche Auswirkungen die DS-GVO auf die Praxis hat, sondern auch jeder einzelne Mitarbeiter. Denn nur so lassen sich die konkreten Auswirkungen auf den Arbeitsalltag erkennen und auch umsetzen. Die Vergangenheit hat gezeigt, dass Unternehmen, die den Datenschutz ernst nehmen, nicht nur gegenüber den kontrollierenden Aufsichtsbehörden gut aufgestellt sind und so empfindliche Strafen vermeiden können, sondern auch gegenüber den Mitbewerbern oftmals ein erhöhtes Vertrauen der Kunden genießen.

2. Schritt: Datenschutzprinzipien kennen

Das Datenschutzrecht hat eine Reihe von Grundprinzipien, die sich mit der DS-GVO nicht ändern, durch den Gesetzestext aber nochmals betont werden: Rechtmäßigkeit, Transparenz, Verbot mit Erlaubnisvorbehalt, Zweckbindung, Datenminimierung, Integrität und Vertraulichkeit. Dies sind allgemeingültige Grundsätze aus Art. 5 DS-GVO, die bei jeder Datenverarbeitung zu berücksichtigen sind.

Zukünftig müssen zudem die Unternehmen die personenbezogene Daten verarbeiten und gegenüber Aufsichtsbehörden nachweisen, dass diese Datenschutzprinzipien eingehalten werden (sog. Rechenschaftspflicht).

3. Schritt: Bestandsaufnahme durchführen

Die DS-GVO regelt den Umgang mit personenbezogenen Daten von natürlichen Personen. Dieser Umgang wird „Datenverarbeitung“ oder einfach „Verarbeitung“ genannt. Verarbeitung umfasst dabei jeden denkbaren Umgang mit Daten wie z.B. Speicherung, Auswertung, Löschung oder Weitergabe an Dritte.

Um feststellen zu können, an welchen Stellen im unternehmen Anpassungen vorgenommen werden müssen, sollte klar sein, wo und welche Verarbeitungstätigkeiten im Unternehmen überhaupt durchgeführt werden. Woher stammen die Daten? Wie sind Sie an die Daten gekommen? Wofür werden die Daten verwendet? Ein bereits bestehendes oder noch anzulegendes Verzeichnis von Verarbeitungstätigkeiten sollte der Ausgangspunkt der Identifizierung sein.

Achtung: Auch Daten der eigenen Mitarbeiter unterfallen natürlich den Regelungen der DS-GVO.

4. Schritt: Rechtsgrundlagen und Einwilligungen prüfen

Eines der in Schritt 2 bereits erwähnten Datenschutzprinzipien ist das Verarbeitungsverbot mit Erlaubnisvorbehalt. Das heißt: Die Verarbeitung von personenbezogenen Daten ist zunächst verboten, es sei denn, das Gesetz lässt es eindeutig zu. Die verschiedenen Rechtsgrundlagen finden sich im Art. 6 DS-GVO und werden in den nachfolgenden Artikeln konkretisiert. Die wohl relevantesten Erlaubnistatbestände sind die Einwilligung, die Vertragsdurchführung und ein berechtigtes Interesse. Bereits hier wird klar, dass diese Begriffe weiter ausgeführt werden müssen.

Der wohl bekannteste Erlaubnistatbestand ist die Einwilligung des Betroffenen. An die Einwilligung stellt die DS-GVO jedoch strenge Anforderungen (Art. 7 DS-GVO). Bereits bestehende Einwilligungen müssen zudem auf die Einhaltung der Anforderungen der DS-GVO überprüft werden.

Zu beachten ist insbesondere auch, dass die Einwilligung jederzeit widerrufen werden kann. Den Nachweis, dass eine Einwilligung vorgelegen hat, muss das Unternehmen erbringen können.

Im Unternehmensalltag wird in vielen Fällen die Datenverarbeitung alternativ durch die eine Vertragsdurchführung (Art. 6 Abs. 1 lit. b DS-GVO) gerechtfertigt. Auch hier bestehen jedoch Anforderungen, die es zu beachten gilt. Beispielsweise dürfen auf dieser Rechtsgrundlage nur die tatsächlich für die Vertragsdurchführung notwendigen Daten verarbeitet werden. Eine Telefonnummer, die zwar die Kommunikation mit dem Kunden erleichtert, ist zumeist nicht für Durchführung des Vertrages notwendig.

Als weitere mögliche Rechtsgrundlage haben Unternehmen häufig ein sog. berechtigtes Interesse an der Datenverarbeitung. Dies ist in Art. 6 Abs. 1 lit. f DS-GVO geregelt. Die Verarbeitung muss jedoch erforderlich sein und gegenüber den Interessen oder Grundrechten der betroffenen Person überwiegen. So kann beispielsweise ein Interesse an der IT-Sicherheit oder auch der Direktwerbung bestehen. Diese berechtigten und zum Teil gegenläufigen Interessen sind jedoch im Einzelfall stets gesondert darzulegen.

5. Schritt: Auftragsdatenverarbeitung – Verträge überprüfen!

Oftmals werden Verarbeitungstätigkeiten an Drittunternehmen ausgelagert (z.B. Cloud-Dienste, IT-Service-Dienstleister). Diese sog. Auftragsverarbeitung muss auf Grundlage eines Vertrages erfolgen, an den die DS-GVO in Art. 28 DS-GVO bestimmte Anforderungen stellt. So muss der Vertrag insbesondere Gegenstand, Dauer und Zweck der Datenverarbeitung, sowie Rechte und Pflichten der Parteien bezeichnen, da sich nur so nachhaltig die Betroffenenrechte durchsetzen lassen.

Zusammengefasst

Die Datenschutz-Grundverordnung bringt viele Verpflichtungen für Unternehmen mit sich. Einige Regelungen der DS-GVO sind bereits aus dem alten Bundesdatenschutzgesetz (BDSG) bekannt. Allerdings gibt es auch wesentliche Veränderungen und neue Anforderungen.

Die ersten wichtigsten Schritte zur Umsetzung sind:

  1. Sensibilisierung und offene Kommunikation des Datenschutzes
  2. Grundprinzipien der DS-GVO kennen
  3. Bestandsaufnahme zum Datenschutz durchführen
  4. Rechtmäßigkeit der Datenverarbeitung sicherstellen
  5. Auftragsverarbeitung rechtlich absichern

Lesen Sie auch unseren Artikel zu den weiteren Schritten.

Sie haben Fragen zu diesem Beitrag oder benötigen Hilfe bei der Umsetzung des Datenschutzes?

Rufen Sie uns an (030 403 63 36 60) oder schreiben Sie uns eine E-Mail (mail@datenschutz-werk.de).