Die Datenschutzgrundverordnung (DSGVO) tritt ab dem 25. Mai 2018 in Kraft. Sie hat direkte Auswirkungen auf jedes Unternehmen, unabhängig davon, wie viele Mitarbeiter ein Unternehmen hat.
Vor allem auf Grund der erheblich steigenden Bußgeld- und Reputationsverlustrisiken sowie künftig drohender Schadenersatzforderungen betroffener Personen ist eine auf das gesamte Unternehmen und die einzelnen Geschäftsbereiche bezogene datenschutzrechtliche Risikoanalyse erforderlich.
1. Einhaltung der Datenschutzbestimmungen ab sofort „Chefsache“
Die Leitung des Unternehmens (AG-Vorstand, Vereinsvorstand, Geschäftsführer, Inhaber etc.) trägt nun nach der DSGVO die Gesamtverantwortung für den Datenschutz und damit auch die Verantwortung für die Umsetzung der DSGVO.
Die Organisationsverantwortung besteht insbesondere im Hinblick auf die Umsetzung der DSGVO mittels Anweisungen bzw. Policies (Vermeidung von Organisationsverschulden).
Die Leitung des Unternehmens hat die ordnungsgemäße Überwachung der datenschutzrelevanten Unternehmensprozesse durch die Installation ausreichender Kontrollmechanismen und Kontrollsysteme (Vermeidung des Überwachungsversagens) sicherzustellen. Sie muss auch für die Bereitstellung der erforderlichen finanziellen, sachlichen und personellen Ressourcen zur Umsetzung der DSGVO sowie für die nach der DSGVO-Umsetzungsphase erforderliche weitergehende Datenschutzorganisation sorgen. Die Geschäftsleitung muss die Einführung eines Datenschutz-Management-Systems veranlassen und dessen dauerhafte Pflege und Aktualisierung durch ausreichend qualifizierte Personen sicherstellen.
Die Geschäftsleitung muss auch für die Bestellung eines Datenschutzbeauftragten sorgen, sofern dieser gesetzlich vorgeschrieben ist. Jedoch auch dann, wenn keine gesetzliche Bestellungspflicht für einen Datenschutzbeauftragten im Unternehmen besteht, muss die Geschäftsleitung für ausreichende Datenschutzfachkunde bzw. für ein ausreichendes datenschutzrechtliches Know-how im Unternehmen sorgen. Sofern diese Fachkunde im Unternehmen nicht vorhanden ist, muss diese Fachkunde extern „eingekauft“ werden. Zwingend vorgeschrieben ist in jedem Unternehmen zumindest die Installation eines ausreichend qualifizierten „Datenschutz-Koordinators“.
Die Unternehmensleitung hat die Verantwortung und Pflicht, durch die Einrichtung von Prozess-, Produkt- und Technikgestaltung und durch die Einrichtung von Löschkonzepten usw. für die Vermeidung datenschutzrechtlicher Risiken im Unternehmen zu sorgen.
Die Geschäftsleitung hat sicherzustellen, dass die Transparenz- und Informationspflichten nach der DGSVO sowie die Gewährleistung der datenschutzrechtlichen Betroffenenrechte nach der DSGO sichergestellt sind. Es müssen daher Prozesse für datenschutzrechtliche Informationen, Auskünfte, Löschungen, Berichtigungen, Datenportabilität, Widersprüche, Datenpannen sowie für das Recht auf Vergessen werden geschaffen und dokumentiert werden.
2. Datenschutzrechtliche Bestandsaufnahme
Um die vorgenannten Punkte umzusetzen zu können, muss jedes Unternehmen zunächst eine Bestandsaufnahme der vorhandenen datenschutzrechtlichen relevanten Prozesse im Unternehmen durchführen (Ermittlung des „IST-Zustandes“).
Hierzu sind u.a. folgende Prüfungen erforderlich:
- Prüfung der bestehenden Verarbeitungsprozesse von personenbezogenen Daten (zum Beispiel Verfahrensverzeichnisse, Vorabkontrollen, Datenschutzkonzepte, Meldeverfahren)
- Prüfung von Betriebsvereinbarungen, die Regelungen zum Beschäftigungsdatenschutz enthalten
- Prüfung, ob die Verarbeitung und Nutzung personenbezogener Daten mit der erforderlichen Erlaubnis erfolgt. Überprüfung der Rechtsgrundlagen und/oder Einwilligungen, aufgrund derer die Datenverarbeitung erfolgt
- Prüfung der vorhandenen Dokumentationen zum Datenschutz (zum Beispiel Richtlinien, Handbücher, Schulungsunterlagen)
- Prüfung der bislang verwendeten Texte für Einwilligungen, der Verträge zur Auftragsverarbeitung, der Muster für Auskunftsersuchen usw.
- Prüfung sämtlicher Datenschutzerklärungen auf Homepages und in Onlineshops
3. Feststellung des konkreten Handlungsbedarfs
Nach der Bestandsaufnahme und der Feststellung des datenschutzrechtlichen „IST-Zustandes“ im Unternehmen müssen der konkrete Handlungsbedarf und der zu erreichende „Soll-Zustand“ im Unternehmen festgelegt werden. Hierbei sind insbesondere die erhöhte Rechenschaftspflicht und der risikobasierte Ansatz der DSGVO zu berücksichtigen. Es ist daher in dieser Phase zu prüfen, an welchen Stellen des Unternehmens Änderungsbedarf im Hinblick auf die neuen gesetzlichen Regelungen besteht.
4. Umsetzung der notwendigen Maßnahmen
Nachdem die notwendigen Maßnahmen zur Umsetzung der DSGVO festgestellt wurden, sind die erforderlichen Anpassungen vorzunehmen.
Hierzu gehören insbesondere:
- Installation eines Datenschutz-Management-Systems, welches den Anforderungen der DSGVO genügt
- Anpassung sämtlicher datenschutzrechtlicher Prozesse und Strukturen im Unternehmen
- Als elementarer Punkt müssen die bestehenden Verfahrensverzeichnisse überarbeitet und auf die neuen gesetzlichen Regelungen angepasst werden. Es bestehen zwar Ausnahmen für kleinere Unternehmen, so dass diese unter bestimmten Umständen kein Verfahrensverzeichnis erstellen müssen, jedoch verpflichtet die DSGVO Unternehmen nunmehr, wie bereits erwähnt, zu einem Datenschutz-Management-System. Künftig müssen Unternehmen nicht nur sicherstellen, dass datenschutzrechtliche Vorgaben eingehalten werden, sie müssen dies auch nachweisen und dokumentieren. Um die Vorgabe erfüllen zu können, muss ein Unternehmen daher zunächst sämtliche Verarbeitungstätigkeiten von Daten kennen, aufführen und dokumentieren. Aus diesem Grund muss nach unserer Einschätzung jedes Unternehmen über ein Verarbeitungsverzeichnis der Daten verfügen, da ansonsten nicht belegt werden kann, welche Daten wie im Unternehmen verarbeitet werden. Wir vertreten daher die Auffassung, dass jedes Unternehmen, egal ob es gesetzlich dazu verpflichtet ist oder nicht, ein Verzeichnis der Verarbeitungstätigkeiten nach der DSGVO erstellen muss.
- Erstellung eines Datensicherheitskonzeptes. Auch für den Bereich der Datensicherheit muss nach der DSGVO jedes Unternehmen nachweisen, dass „geeignete technische und organisatorische Maßnahmen“ eingesetzt werden, die dem Schutz der betroffenen Personen und ihrer Daten dienen.
- Erstellung neuer Datenschutzerklärungen auf Internetseiten und in Onlineshops
- Festlegung der Rechtsgrundlagen und der Zwecke der Datenverarbeitung gemäß der DSGVO
- Anpassung der bestehenden Einwilligungserklärungen und Rechtfertigung von Verarbeitungsvorgängen auf die DSGVO
- Festlegung von Maßnahmen und Erarbeitung von Musterdokumenten zur Sicherstellung und Dokumentierung der Erfüllung der datenschutzrechtlichen Informationspflichten und Betroffenenrechte
- Erarbeitung und Dokumentierung eines Reaktionsplans bei Datenpannen
- Erstellung eines dauerhaften Schulungssystems, d.h. Mitarbeiterschulung, Verpflichtung der Mitarbeiter auf das Datengeheimnis
5. Fazit
Zusammenfassend ist festzustellen, dass im Hinblick auf die am 25.05.2018 unmittelbar geltende DSGVO jedes Unternehmen handeln muss.
Jedes Unternehmen muss im Hinblick auf die DSGVO ein Datenschutzrecht-Managementsystem im Unternehmen einführen. Das Datenschutzrecht nach der DSGVO ist als Datenschutz-Compliance-Regelung ausgestaltet. Dies bedeutet, dass eine ständige Beratung und Anpassung der datenschutzrechtlichen Unterlagen im Unternehmen erforderlich sein wird. Dem bisher stiefmütterlich behandelten Thema Datenschutz im Unternehmen muss daher zukünftig mehr Beachtung geschenkt werden.
Dies gilt insbesondere im Hinblick auf die deutlich erhöhten Bußgeldandrohungen. Die aktuellen Bußgelder in Höhe von bis zu maximal 300.000,00 € wurden auf bis zu 20 Millionen € oder 4 % des globalen Konzernumsatzes des Vorjahres erhöht. Darüber hinaus besteht unter bestimmten Voraussetzungen eine persönliche Haftung der Unternehmensinhaber, Geschäftsführer und/oder Vorstände.
Daher muss jedes Unternehmen nun schnellstmöglich tätig werden, sich auf die DSGVO vorbereiten und sich ggf. durch ausreichend qualifiziertes Personal beraten lassen.
Unsere Sozietät verfügt über mehre Rechtsanwälte und Fachanwälte, die bereits seit zahlreichen Jahren als externe Datenschutzbeauftragte und/oder datenschutzrechtliche Berater für zahlreiche Unternehmen tätig sind. Sofern in Ihrem Unternehmen Beratungsbedarf besteht, stehen wir Ihnen daher gerne zur Verfügung.
Für Rückfragen wenden Sie sich bitte an:
Rechtsanwalt Michael Ullrich, LL.M. (Informationsrecht)
Fachanwalt für Informationstechnologierecht (IT-Recht)
E-Mail: info@goldberg.de
