Die Uhr tickt unerbittlich weiter: Bis zum 25.05.2018 muss die Datenschutzgrundverordnung umgesetzt werden – und der Maßnahmenkatalog ist gelinde gesagt umfangreich. Einen Überblick finden Sie in diesem Beitrag.
1. Bestandsaufnahme
Eine gründliche Bestandsaufnahme beinhaltet vor allem die Datenverarbeitungs- und Erhebungsprozesse. Welche Daten werden abgefragt? Wie werden sie erhoben? Von wem werden sie abgefragt? Wer hat Zugriff auf diese Daten? Wie werden sie verarbeitet? Wichtig: Auf welcher rechtlichen Grundlage findet die derzeitige Datenerhebung statt?
Was bislang legal war, ist es nach DSGVO nicht mehr zwangsläufig. Hierbei spielt vor allem der Grundsatz der Datensparsamkeit eine Rolle – Sie dürfen nur so viele Daten erheben wie unbedingt notwendig.
Datenschutzdokumentationen ermitteln – gibt es ein Datenschutzkonzept im Betrieb, mit dem Sie Ihre Datenerhebung vor den Behörden rechtfertigen können?
2. Handlungsbedarf ermitteln
In diesem Schritt gleichen Sie die Ergebnisse der Bestandsaufnahme mit der DSGVO ab. Dazu gehören unter anderem Datenschutzerklärung und Datenschutzhinweise. Beispielsweise muss der Haken bei Datenschutzhinweisen und Einwilligungserklärungen vom Besucher/Kunden gesetzt werden und darf nicht vorgefertigt mit angekreuztem “ich stimme zu” ausgeliefert werden. Weiterhin sollten Sie Dienstleistungsverträge und Auftragsverarbeitungsverträge auf ihre Kompatibilität mit der DSGVO überprüfen.
3. Umsetzung
Möglicherweise müssen Sie Anpassungen Ihrer Datenerhebungsprozesse vornehmen. Weitere Änderungen können die Art der Datenspeicherung betreffen oder die Art, wie Mitarbeiter auf diese Daten zugreifen können. Wichtig ist natürlich, dass Mitarbeiter nicht unberechtigt auf Daten zugreifen können.
Natürlich sollten Sie Ihre Datenschutzerklärung und -Hinweise dergestalt ändern, dass sie DSGVO-konform sind.
Gegebenenfalls muss ein Datenschutzbeauftragter eingestellt werden. Ab mindestens zehn Mitarbeitern im Betrieb ist ein solcher verpflichtend. Er übernimmt Beratung und Überwachung der Einhaltung datenschutzrechtlicher Richtlinien. Der Datenschutzbeauftragte ist Ansprechpartner für Betroffene (insbesondere Kunden), die ihre Ansprüche bezüglich Datenschutz geltend machen wollen. Sie sollten ihn schnellstmöglich der zuständigen Aufsichtsbehörde melden, weil diese sonst nicht weiß, mit wem sie in Kontakt treten soll.
Wichtig ist außerdem, dass Sie Ihre IT-Infrastruktur an die DSGVO anpassen. Eine 100%ige Sicherheit kann niemand garantieren, aber: Schwache Passwörter, mangelnde Verschlüsselung und mangelhafte Dokumentation Ihrer Dienstleister kann mit der Grundverordnung schwerwiegende und vor allem teure Folgen nach sich ziehen.
Unternehmen sind also gehalten, die Zeit bis zur Gültigkeit des neuen europäischen Datenschutzrechts ab dem 25. Mai 2018 zu nutzen, die eigenen Datenverarbeitungsprozesse auf Anpassungsbedarf zu überprüfen.
In diesem Zusammenhang weisen wir auf eine Checkliste für die Umsetzung im Unternehmen vom Bundesministerium für Wirtschaft und Energie (BMWi) hin, die Sie hier abrufen können.
Abschließend richten wir unseren Appell an alle, die sich mit dem Thema DSGVO noch gar nicht auseinandergesetzt haben. Denn insbesondere für jeden Webseitenbetreiber, der seine Datenschutzerklärung bis zum 25.05.2018 nicht rechtskonform gestaltet und auf seiner Webseite veröffentlicht hat, könnte es teuer werden: Wir gehen von einer Abmahnwelle aus…
Haftungsausschluss: Dieser Inhalt ist nicht als Rechtsberatung auszulegen.
