Die EU-Kommission hat seit längerem eine Harmonisierung der Datenschutzvorschriften angestrebt und dazu mit der Datenschutz-Grundverordnung (DSGVO) ein zentrales Rahmenwerk geschaffen. Die Umsetzung der DSGVO bildet die Grundlage der Datenschutzreform in Deutschland. Deutsche Unternehmen richteten sich bisher nach dem Bundesdatenschutzgesetz (BDSG). In Zukunft sind die Regelungen der Datenschutz-Grundverordnung, die zum 24. Mai 2018 in Kraft tritt, vorrangig zu befolgen. Auf Unternehmen kommen deshalb zahlreiche Neuerungen zu: Sie müssen ihre Prozesse überprüfen und anpassen.
Wir zeigen Ihnen, wie Sie sich für die Änderungen rüsten, die die DSGVO mit sich bringt und erläutern Ihnen gerne die neuen gesetzlichen Vorgaben. Zudem wissen wir, wie die datenschutzrechtlichen Aufsichtsbehörden über die Vorgaben der DSGVO denken.
Nachstehend einige Fakten zur DSGVO im Überblick:
1. Die DSGVO sieht eine stärkere Einbindung des Datenschutzbeauftragten vor: Gemäß Art. 39 Abs. 1 DSGVO sind Verantwortlichkeiten festzulegen.
2. Art. 35 DSGVO schreibt vor, dass Datenschutz-Folgeabschätzungen zu treffen sind. Das sog. Privacy Impact Assessment ist als Prozess im Unternehmen zu etablieren.
3. Art. 33 DSGVO sieht bei Datenpannen eine Meldepflicht an die Aufsichtsbehörde b vor.
4. Laut Art. 12 ff. DSGVO sind weitere unternehmensinterne Prozesse zu gestalten . Diese tangieren insbesondere Informationspflichten und Betroffenenrechte.
5. Gemäß Art. 5 Abs. 2 DSGVO müssen Unternehmen sämtliche Prozesse dokumentieren.
6. Art. 28 DSGVO verlangt die Anpassung von Verträgen zur Auftragsdatenverarbeitung.
7. Unternehmen müssen prüfen, ob die geführten Verfahrensverzeichnisse den Anforderungen gemäß Art. 30 DSGVO gerecht werden
8. Art. 30 Abs. 2 DSGVO betrifft Auftragsverarbeiter, die ein neues Verzeichnis über ihre Verarbeitungstätigkeiten zu erstellen haben.
9. In Anbetracht von Art 39 Abs. 1 DSGVO empfiehlt sich die Aufstellung einer Schulungsplanung für Mitarbeiter.
10. Nach Art. 32 DSGVO müssen Unternehmen technisch-organisatorische Maßnahmen (TOMs) dokumentieren und bewerten. Auch hier sind Verantwortlichkeiten festzulegen.
11. Die Wirksamkeit der TOMs ist zu prüfen. Art. 32 Abs. 1 Lit. d) DSGVO sieht vor, Penetrationstests zu planen und ein Informationssicherheitsmanagement zu etablieren.
12. Art. 20 DSGVO bezieht sich auf das Recht auf Datenübertragbarkeit. Dieses in der deutschen Rechtsordnung bis dato noch unbekannte Recht muss in die Unternehmensprozesse integriert werden.
13. Art. 7 DSGVO schreibt detaillierte Bedingungen für die Einwilligung des Betroffenen vor.
14. Gemäß den Art. 12 ff. DSGVO sind die Rechte der Betroffenen zu wahren. Unternehmen müssen deshalb überprüfen, ob die aktuellen unternehmensinternen Prozesse den Vorgaben der DSGVO gerecht werden.
