In knapp über einem Jahr wird die Europäische Datenschutz-Grundverordnung scharf geschaltet und löst das Bundesdatenschutzgesetz (BDSG) ab. Die meisten mittelständischen Unternehmen haben bislang keine entsprechenden Maßnahmen umgesetzt – Vielleicht aufgrund der Vielschichtigkeit und geringen Kontrolldichte zur Einhaltung. Die EU-Datenschutz-Grundverordnung ist mit 99 Artikeln und 173 Erwägungsgründen umfangreicher als z. B. das deutsche Bundesdatenschutzgesetz. Ziel der Grundverordnung ist es, die Datenschutzbestimmungen EU-weit auf ein einheitliches Niveau zu bringen.

Was bedeutet das für Sie?

Die EU-DSGVO beschreibt eine unternehmensweit einheitliche Strategie für den Informationskreislauf. Dies löst den standardmäßigen Compliance-Ansatz ab. Je nach aktueller Datenhandhabung und -prozessen, kann der Aufwand zur Einhaltung der Vorgaben extrem variieren. Wie Artikel 13-22 beschreibt, werden Unternehmen wirksame Systeme für die Einhaltung von Nutzerrechten einsetzen müssen – eine Zusammenfassung:

  • Meldepflichten bei Vorfällen
  • Personen Einverständniserklärungen (einschl. Minderjähriger)
  • Datenschutz-Folgenabschätzung (Privacy Impact Assessment)
  • Privacy-by-Design (Integration des Datenschutzes in Lösungen)
  • Bestellung von Datenschutzbeauftragten
  • Recht auf “Vergessen” (Datenlöschung)
  • Auftragsdatenverarbeitungen (Erhebung, Verarbeitung oder Nutzung)
  • Datenportabilität (Herausgabe von Daten)
  • Protokoll der Verarbeitungsaktivität

Wer muss handeln?

Die Verordnung besagt, dass die Aufzeichnungspflicht von Unternehmen zu leisten ist, die personenbezogene Daten verarbeiten oder generell größer als 250 Mitarbeitern sind. Das heißt, betroffene kleine und mittelständische Unternehmen müssen ebenso protokollieren wie Großkonzerne.

Wie wirkt sich das aus?

Unternehmen werden prüfen müssen, welche Daten sie aktuell speichern, wo sich diese befinden, wie Datenflüsse im Unternehmen verlaufen und wie diese Daten möglicherweise geteilt werden. Daneben ist der Schutz zu überwachen, ob und in welchem Umfang sie für Dritte zugänglich sind. Protokolle der Verarbeitungsaktivität sind anzufertigen und im Bedarfsfall vorzuweisen. Bei Verstößen gegen die EU-DSGVO stehen drastische Sanktionen im Raum: Bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes des Gesamtkonzerns.

Wie schaffen Sie die DSGVO-Compliance?

Deutsche Unternehmen, die noch kein konkretes Projekt „Compliance EU-DSGVO“ begonnen haben, sollten sich den noch verfügbaren Zeitraum und die Komplexität bewusstmachen. Die Anforderungen und Rahmenbedingungen sind rechtlich dokumentiert und können in einen Anforderungskatalog übertragen werden. Die Aufgabe besteht darin, herausgearbeitete Anforderungen auf das jeweilige Unternehmen zu beziehen und Maßnahmen ableitbar zu machen. Hierbei wird klar, dass ein angemessen tiefer Eingriff in Unternehmensprozesse, Budget und interne wie externe Ressourcen voraussetzt.

 

Weitere Informationen:
Deutscher Text der DSGVO
Einschätzung zur DSGVO