Sie haben Fragen oder benötigen professionelle Unterstützung?
Rufen Sie uns an unter
030 403 63 36 60.

Teil 2: Die Datenschutz-Grundverordnung – was Unternehmen dazu wissen müssen.

Die 10 wichtisten Schritte zur Umsetzung der DS-GVO

In einem vorherigen Beitrag haben wir bereits die aus unserer Sicht ersten wichtigen Schritte zur Umsetzung des Datenschutzes kurz erläutert.

Die ersten Schritte zur Umsetzung sind:

  1. Sensibilisierung und offene Kommunikation des Datenschutzes
  2. Grundprinzipien der DS-GVO kennen
  3. Bestandsaufnahme zum Datenschutz durchführen
  4. Rechtmäßigkeit der Datenverarbeitung sicherstellen
  5. Auftragsverarbeitung rechtlich absichern

6. Schritt Datenschutzerklärungen erstellen oder aktualisieren

Eines der wichtigsten Gebote der neuen Datenschutzregeln ist die Transparenz gegenüber den Betroffenen. Unternehmen haben gemäß Art. 13 DS-GVO die Pflicht ihre Kunden ausführlich darüber zu informieren, wie und warum Daten erhoben und wie lange sie gespeichert werden. Dies sollte im Rahmen einer Datenschutzerklärung (z.B. auf der Website) erfolgen. Auch Datenschutzerklärungen „offline“ sind notwendig, zum Beispiel für Bewerber, Beschäftigte und Kunden.

7. Schritt: Betroffenenrechte kennen und umsetzen

Die DS-GVO enthält in den Art. 12-23 DS-GVO eine Reihe von (teilweise neuen) Betroffenenrechten, die in den unternehmensinternen Abläufen abgebildet und gegenüber den Betroffenen umgesetzt werden müssen. Beispiele sind das Recht auf Löschung (Recht auf Vergessenwerden), Berichtigung, Datenübertragbarkeit (Datenportabilität), sowie Auskunftsund Informationsrechte. Kann Ihr Unternehmen Daten von Kunden schnell und einfach finden, löschen und bewegen? Haben Sie die Kapazitäten, Auskunftsersuchen von Betroffenen schnell nachzukommen? Für diese Fälle sollten standardisierte Abläufe geschaffen werden, die eine zeitnahe Reaktion ermöglichen.

8. Schritt: Reaktionsplan für Datenschutzpannen erstellen

Unternehmen sollten für den Fall einer Datenschutzverletzung ein geeignetes Krisenmanagement entwickeln. Gemäß Art. 33 DS-GVO sind Unternehmen verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Die Meldung muss die Art der Datenschutzverletzung, die Anzahl der Betroffenen, eine Abschätzung möglicher Folgen für die Betroffenen, sowie eine Beschreibung der ergriffenen Maßnahmen enthalten.

Um diese strengen Anforderungen einhalten zu können, müssen Unternehmen mit einem geeigneten Meldesystem für Datenschutzverstöße ausgestattet sein. Insbesondere müssen alle Mitarbeiter mit dem Krisenmanagement vertraut sein.

Lösung: Das Verzeichnis von Verarbeitungstätigkeiten laufend pflegen und eine Datenschutzfolgenabschätzung durchführen, um mögliche Risikobereiche aufzudecken und entsprechend reagieren zu können.

9. Schritt: Privacy by Design und Privacy by Default umsetzen

Zu den oben bereits genannten Datenschutzgrundsätze kommen die neuen, in Art. 25 DS-GVO geregelten Prinzipien „Privacy by Design“ und „Privacy by Default“ hinzu. Privacy by Design (Datenschutz durch Technikgestaltung) bedeutet, dass Datenschutzmaßnahmen bereits bei der Entwicklung von Produkten, Technologien und Verfahren einbezogen werden müssen. Privacy by Default (Datenschutzfreundliche Voreinstellung) bedeutet, dass die Voreinstellungen bei Geräten, Software oder Onlinediensten standardmäßig die höchste Datenschutzstufe haben müssen.

10. Schritt: Datenschutzbeauftragten bestellen

Mit der DS-GVO wird es europaweit für Unternehmen, die personenbezogene Daten verarbeiten, zur Pflicht einen Datenschutzbeauftragten (DSB) zu bestellen (Art. 37 DS-GVO). Eine Ausnahme gilt für kleinere Unternehmen, in denen weniger als 10 Mitarbeiter personenbezogene Daten verarbeiten (§ 38 BDSG). Achtung: Als Mitarbeiter gelten auch Aushilfskräfte oder Praktikanten, die beispielsweise nur 1x pro Woche tätig sind (sog. Kopfprinzip)! Unternehmen, in denen regelmäßig sensible Daten (z.B. Gesundheitsdaten) verarbeitet werden, brauchen in jedem Fall einen DSB.

Datenschutzbeauftragte können interne Mitarbeiter sein, aber auch extern bestellt werden. Hierzu wird jeweils die Person des Datenschutzbeauftragten gegenüber der zuständigen Aufsichtsbehörde angezeigt und in deren Register geführt. Die Hauptaufgaben liegen in der Beratung des Verantwortlichen, in der Kontrolle des Datenschutzes im Unternehmen und in der Zusammenarbeit mit den Aufsichtsbehörden.

Auch wenn wir die Bestellung des DSB hier als letzten Schritt aufgeführt haben, so kann dies oftmals auch der erste Schritt sein – oder genauso gut im Wege der Umsetzung des Datenschutzes erfolgen.

Zusammengefasst

Die Datenschutz-Grundverordnung bringt viele Verpflichtungen für Unternehmen mit sich. Einige Regelungen der DS-GVO sind bereits aus dem alten Bundesdatenschutzgesetz (BDSG) bekannt. Allerdings gibt es auch wesentliche Veränderungen und neue Anforderungen.

Die weiteren Schritte zur Umsetzung sind:

  • Transparente Information der Betroffenen
  • Abläufe für die Umsetzung der Betroffenenrechte schaffen
  • Datenschutzpannen vorbeugen und Reaktionsmöglichkeiten schaffen
  • Umsetzung von Privacy by Design und Privacy by Default
  • Bestellung eines Datenschutzbeauftragten

Lesen Sie auch unseren Artikel zu den vorherigen Schritten.

Sie haben Fragen zu diesem Beitrag oder benötigen Hilfe bei der Umsetzung des Datenschutzes?

Rufen Sie uns an (030 403 63 36 60) oder schreiben Sie uns eine E-Mail (mail@datenschutz-werk.de).