Quick-Check DSGVO: Diese acht Fragen sollten Sie mit „ja“ beantworten können
Jetzt sind es nur noch wenige Monate bis zur Geltung der Datenschutzgrundverordnung (DSGVO) ab 25. Mai 2018 als neuem einheitlichen Regelwerk für den Datenschutz innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums. Dies bedeutet aus verschiedenen Gründen eine mögliche Zeitenwende im Datenschutzrecht: Zum einen drohen bei Verstößen ganz erhebliche Strafen mit Bußgeldern bis zu 4 % des weltweiten Jahresumsatzes. Zum anderen greifen mit dem Accountability Grundsatz dann erhebliche Dokumentations- und Nachweispflichten, verbunden mit einer Beweislastumkehr; d.h. Unternehmen müssen die Einhaltung des neuen Datenschutzrechts darlegen und nachweisen können.
Bei der DSGVO-Umsetzung müssen Sie etwa folgende Fragen beantworten:
Haben Sie eine effiziente Datenschutzorganisation eingerichtet, z.B. einen Datenschutzbeauftragten bestellt?
Datenschutzbeauftragte können für jede Einheit oder für den Konzern bestellt werden, es sind interne oder externe Bestellungen möglich. Er muss ausreichende Ressourcen haben und Ihr Unternehmen benötigt evtl. auch zusätzliches Fachwissen. Unternehmensgruppen können auswählen, ob sie von einer einheitlichen Datenschutzbehörde beaufsichtigt werden möchten. Nicht europäische Unternehmen müssen einen Vertreter in der EU bestellen.
Haben Sie ein Verzeichnis über Ihre Verarbeitungen erstellt und somit erfasst, welche Datenverarbeitungen in Ihrem Unternehmen stattfinden?
Viele Unternehmen führen ein „Data Mapping“ zur Erfassung sämtlicher Datenverarbeitungen durch. Das Verarbeitungsverzeichnis ist für die Aufsichtsbehörden ein wichtiger Anknüpfungspunkt und kann Ihnen als zentrale Informationsinstanz für den Datenschutz dienen.
Haben Sie die für den Datenschutz erforderlichen Unternehmensprozesse aufgesetzt, eingeführt und geprobt, insbesondere für die Einführung neuer Systeme, Datenschutzfolgeabschätzungen, Meldepflichten bei Verstößen?
Ein zentrales Element des Datenschutzrechts ist die Prüfung der Risiken, des vorbeugenden Datenschutzes und der Datenschutzfolgen. Darauf basierend müssen ausreichend technisch-organisatorische Maßnahmen festgelegt werden. Außerdem bedarf es der Einführung von Löschkonzepten sowie eines Prozesses für die Meldung von Datenschutzverstößen.
Haben Sie interne Richtlinien und Arbeitsanweisungen für Ihre Mitarbeiter eingeführt und diese geschult?
Eine interne Datenschutzrichtlinie für die Mitarbeiter mit einer Auflistung sämtlicher Pflichten sowie weiterführende Anweisungen bzw. ein Datenschutzhandbuch sind zwingender Teil des Nachweises eines funktionierenden Datenschutzes. Über diese Pflichten müssen Ihre Mitarbeiter informiert und
entsprechend geschult werden.
Haben Sie Ihre Datenschutzhinweise und Einwilligungserklärungen geprüft und überarbeitet sowie effektive Prozesse für die Beantwortung von Betroffenen-Anfragen eingerichtet?
Die Informationspflichten und sonstigen Betroffenenrechte wurdenerheblich ausgeweitet. Daher ist es unter anderem erforderlich, Datenschutzhinweise (etwa „Policies“ auf einer Webseite) zu überarbeiten und effektive Prozesse für die zeitnahe Beantwortung von Anfragen Betroffener einzurichten (hier gibt es Neuerungen wie ein Widerspruchsrecht gegen Verarbeitungen auf Basis eines „berechtigten Interesses“ sowie ein Recht auf Datenmitnahme).
Haben Sie ausreichende Vertragsmuster zum Datenschutz eingeführt und vereinbart, etwa Verträge über Auftragsverarbeitung, Verpflichtungen auf die Verschwiegenheit etc.?
Nach neuem Datenschutzrecht bedarf es zwingend schriftlicher Verträge mit Auftragsverarbeitern, anderen gemeinsamen Verantwortlichen, sonstigen nach Weisung handelnden Personen sowie Verpflichtungserklärungen der eigenen Mitarbeiter auf Verschwiegenheit. Diese Dokumente, auch bislang in Deutschland vielfach üblich, müssen an die neue Rechtslage angepasst und mit den
Vertragspartnern umgesetzt werden.
Haben Sie die notwendigen Anpassungen im Arbeitnehmerdatenschutz vorgenommen?
Verpflichtungserklärungen für Mitarbeiter, Betriebsvereinbarungen sowie die Datenschutzhinweise an die Mitarbeiter bedürfen einer Anpassung und Überarbeitung.
Übermitteln Sie Daten in Drittländer und haben Sie diese geregelt?
Die wesentlichen Instrumente wie Datenschutzverträge, EU-US-Privacy Shield bleiben in Kraft. Es wird zukünftig aber noch mehr Wert auf die saubere Umsetzung und Dokumentation gelegt werden.
Die ITC-Praxis von Oppenhoff & Partner ist in zahlreichen DSGVO-Umsetzungsprojekten für mittelständische und große Mandanten beteiligt und hilft Ihnen gerne bei Ihren Umsetzungsbemühungen. Dabei lautet die Devise für die Umsetzung: besser früher als später, aber lieber später als gar nicht.
