Warum jeder einen Datenschutzbeauftragten braucht

Im digitalen Zeitalter nehmen Cyberangriffe auf Unternehmen, die sensible Daten führen, stetig zu. Mehr Sicherheit in der EU soll nun durch die DSGVO geschaffen werden, wo jedes Unternehmen ab Mai 2018 die Regelungen einhalten muss. Sie müssen nun aber nicht in Panik verfallen. Wer frühzeitig seinen bisherigen Datenschutz überprüft und an die neuen Datenschutzvorschriften anpasst, der braucht die deutlich höheren Sanktionen der DSGVO nicht zu fürchten. Dazu sollten Sie den Datenschutzbeauftragten in Ihrem Unternehmen integrieren.

Auf was müssen sich die Unternehmen einstellen?

Bereits im 25. Mai 2016 trat die EU-Datenschutzgrundverordnung in Kraft. Allerdings kommt diese erst zwei Jahre später (25. Mai 2018) zur Anwendung. Sie umfasst alle Vorgänge, bei denen personenbezogene Daten von EU-Bürgern verarbeitet werden. Hier in Deutschland sollten Sie die Datenschutzregelungen entsprechend dem Bundesdatenschutzgesetz (BDSG) umsetzen. Diese werden im Mai 2018 dann weitestgehend ersetzt, obwohl der Kern der Datenschutzgrundsätze bestehen bleibt. Jedoch stehen auch zahlreiche Änderungen an. Die Pflicht zum Datenschutz besteht nicht nur, wenn Ihr Unternehmen sich mit Onlinegeschäften auseinandersetzt, sondern beispielsweise schon, wenn die Personalabteilung die personenbezogenen Daten Ihrer Mitarbeiter elektronisch verarbeitet. Es wird auch weiterhin ein deutsches Bundesdatenschutzgesetz geben, da die EU-DSGVO 50 sogenannte Eröffnungsklauseln enthält, wonach die Mitgliedsstaaten einzelne Vorschriften anders handhaben können. Das deutsche Bundesdatenschutzgesetz ist bereits verkündet.

Die EU-DSGVO bestimmt nicht nur den sachlichen Bereich der Vorschriften, sondern auch vielmehr noch den räumlichen Bereich. Dies bedeutet, dass sogar Unternehmen wie Facebook, WhatsApp und andere Unternehmen der Global-Player künftig die EU-DSGVO beachten müssen, wenn Sie Daten von EU-Bürgern verarbeiten.

Welche Dokumente und Prozesse müssen Sie in Ihrem Unternehmen kontrollieren und anpassen?

  • Verträge
  • Dokumentation der Datenverarbeitungsprozesse im Unternehmen
  • Einwilligungserklärungen
  • Anpassung der Betriebsvereinbarungen an DSGVO
  • Vorlagen und Prüflisten
  • Datenschutzerklärungen
  • Prozesse zum Widerruf der Einwilligung
  • Vereinbarungen zur Auftragsdatenverarbeitung
  • Prozesse bei Datenpannen
  • Prozesse zur Umsetzung von Widersprüchen
  • Verfahren, um Daten in gängigen elektronischen Formaten übertragen zu können
  • Schulungen und Fortbildungen zum Thema EU-DSGVO und Datenschutz
  • Monitoring nationaler und internationaler Gesetzgebung
  • Einführung von Privacy Impact Assessment
  • Compliance-Gefährdungsanalyse zur Festlegung geeigneter technisch-organisatorischer Maßnahmen

Wie gehe ich dabei vor?

  1. Damit das Datenmanagement in allen Abteilungen, die personenbezogene Daten verarbeiten, rechtzeitig funktioniert, muss mit einer Bestandsaufnahme Ihres Unternehmens frühzeitig begonnen werden.
  2. Das Unternehmen sollte daher einen internen oder einen externen Datenschutzbeauftragten benennen, der dafür sorgt, dass der Umgang mit den sensiblen Daten immer nach aktueller Rechtslage geschieht.
  3. Setzen Sie sich – auch die Geschäftsführung – inhaltlich mit der EU-DSGVO auseinander. Sie finden hier Hilfe für die Auslegung und Information zur DSGVO.
  4. Damit sich Ihre Mitarbeiter der neuen Datenschutzpraxis bewusst werden, organisieren Sie Schulungen für Ihre Mitarbeiter und beziehen Sie diese mit ein. Ihre Mitarbeiter müssen ab Mai 2018 die neuen Vorschriften beachten.
  5. Führen Sie Gefährdungsanalyse durch, um Risiken zu identifizieren und zukünftig zu minimieren.
  6. Überprüfen Sie die Datenverarbeitungsprozesse und die Dokumente in Ihrem Unternehmen
  7. Dokumentieren Sie die Herkunft und Empfänger der Daten, die Sie verarbeiten.
  8. Bis zum 25.Mai 2018 müssen die neuen Regelungen umgesetzt sein, damit Sie die hohen neuen Sanktionen (Bußgeld bis zu 4 % des Gesamtumsatzes) nicht fürchten müssen.
  9. Informieren Sie alle Abteilungen über die Neuerungen. Dies ist eine Sache für alle und nicht nur für den Datenschutzbeauftragten (Hinwirkung auf den Datenschutz) und die Geschäftsführung (Sie zahlen die Sanktionen)

Wen müssen Sie alles informieren?

Die DSGVO bringt viele Änderungen mit sich. Dazu sollten auch noch andere Abteilungen als der Datenschutzbeauftragte und die Geschäftsleitung informiert sein. Dazu gehören:

  • Betriebsrat
  • Forschung und Entwicklung
  • Personalabteilung
  • Finanzen
  • Recht und Compliance
  • IT-Security

Was sind jetzt nochmal genau die Veränderungen dieser DSGVO?

  • Neue Begriffsdefinitionen
  • Neue Regelungen für die Verarbeitungen und Weiterverarbeitung von personenbezogenen Daten zu anderen Zwecken als den ursprünglichen Zweck der Erhebung.
  • Die Einwilligungserklärung muss nun freiwillig, spezifisch informiert und durch eine eindeutige Handlung erfolgen, welche auch elektronisch abgegeben werden kann.
  • Dokumentations- und Nachweispflicht für abgegebene Einwilligungen
  • Überdies besteht ein Koppelungsverbot für Einwilligungen
  • Der Betroffene/Nutzer muss dazu die Einwilligung „ohne Begründung“ und „jederzeit“ widerrufen können.
  • Zukünftig müssen dem Betroffenen eine Reihe an Informationen zur Seite gestellt werden. Dazu gehören beispielweise Informationen wie die Dauer der Speicherung der Daten ist oder auf welche Grundlage sich die Datenverarbeitung stützt.
  • Es gibt einen neuen Portabilitätsgrundsatz. Betroffene können nun bei Ihnen die personenbezogenen Daten anfragen, die Sie erhoben haben. Dann müssen Sie dem Betroffenen diese in einem gängigen und elektronischen Format bereitzustellen und auf Wunsch auch direkt an Dritte zu übermitteln.
  • Geben Sie Daten an dritte Unternehmen weiter, die nicht aktuell sind, so sind Sie in der Pflicht, über die sachliche Unrichtigkeit aufzuklären.

Weitere Änderungen der DSGVO

  • Der Nutzer ist in einem separierten Abschnitt (deutlich getrennt) über das Widerspruchsrecht bei Datenschutzerklärungen aufzuklären.
  • Nun gibt es die Möglichkeit, das zwei Parteien gemeinsam Daten verarbeiten. Verantwortlichkeiten werden nun vertraglich geregelt und beide sind zur Einhaltung der Richtlinie verpflichtet (Stichwort: Joint Controllership).
  • Der Auftragsdatenverarbeiter wird nun doch für seinen Verantwortungsbereich stärker in die Pflicht genommen.
  • Datenverarbeiter müssen ab Mai 2018 schriftliche bzw. elektronische Dokumentationen für Ihre Verarbeitungen darlegen und der Aufsichtsbehörde auf Verlangen vorzeigen.
  • Die Risikoabschätzung bezüglich der technisch-organisatorischen Maßnahmen muss dokumentiert werden.
  • Anstatt der Vorabkontrolle ist nun eine Datenschutz-Folgenabschätzung durchzuführen. Dazu sollte vorab ein Risikomanagement durchgeführt werden.
  • Der Mai 2018 bringt erweiterte Benachrichtungs- und Meldepflichten bei Datenschutzpannen.
  • Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich europaweit nach dem Hauptsitz bzw. der Niederlassung, die generell über die Datenverarbeitung entscheidet.
  • Für die Geschäftsführung sicherlich der wichtigste Grund für den Datenschutz. Die drastische Erhöhung der Geldbußen für Verstöße auf bis zu 4 Prozent des weltweiten Umsatzes pro Verstoß. Die EU-DS-GVO stützt sich auf den weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres des gesamten Unternehmens (Konzerns). Wirtschaftlich betrachtet, ist dies ein Grund, warum man nun besser doch einen internen oder externen Datenschutzbeauftragten beschäftigen sollte.

Im Mai 2018 kommt die DSGVO. Das haben Sie jetzt oft genug gehört und gelesen. Das Thema Datenschutz ist immer medienpräsenter. Doch machen Sie es auch zu Ihrem Thema. Suchen Sie sich rechtzeitig Hilfe, da das „Juristendeutsch“ nicht immer verständlich ist. Die Umsetzung für ein Unternehmen benötigt Zeit. Bitkom z.B. bietet zum Datenschutz weitere Informationen.

Wir befassen uns auch mit dem Thema Datenschutz und würden Sie gerne unterstützen. Stellen Sie uns eine Anfrage über dsb@anka.eu, über das Kontaktformular oder rufen Sie uns an.