Ausgangspunkt
Ab dem 25.05.2018 wird die DSGVO (Datenschutzgrundverordnung) in der EU Anwendung finden. Auch wenn dieses Datum zunächst noch weit entfernt klingt, sollte die Zeit bis zur Geltung der Grundverordnung genutzt werden, um die dann geltenden Dokumentations-, Nachweis- und Rechenschaftspflichten betreffend das Datenschutzmanagement eines Unternehmens rechtskonform umgesetzt zu haben.
Ausblick
Die DSGVO regelt künftig das Datenschutzrecht europaweit einheitlich, auch wenn dem nationalen Gesetzgeber in einigen Punkten sog. Öffnungsklauseln zugestanden wurden, wodurch in einzelnen Bereichen konkretere Regelungen erfolgen können. Gleichwohl ist festzuhalten, dass die DSGVO den Datenschutz in Europa grundlegend ändert. Es werden teils neuere und auch strengere Regelungen eingeführt; die Geltung des EU-Rechts erstreckt sich künftig auch auf Nicht-EU-Unternehmen, welche in der EU tätig werden und das Vorhandensein eines IT-Sicherheitsmanagements wird vorausgesetzt. Gleichzeitig können Verstöße mit drastischen Strafen und Bußgeldern von bis zu 20 Mio. Euro oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Insoweit werden die Compliance-Anforderungen im Unternehmen erheblich verschärft.
Umsetzung der DSGVO im Unternehmen
Zwar bestehen nach wie vor einige Unsicherheiten über die möglichen Auswirkungen der DSGVO, nicht zuletzt mangels Vorliegens von nationalen Regelungen, gleichwohl sollten sich Unternehmen frühzeitig mit der Planung und Umsetzung der ab Mai 2018 rechtsverbindlichen Vorgaben gem. DSGVO auseinandersetzten. Tatsächlich gibt es für die Umsetzung auch keine allgemeingültige Handlungsanweisung oder To-Do-Liste, gleichwohl kann anhand bekannter und bewährter Vorgehensweisen – welche sich schon im Rahmen der geltenden gesetzlichen Regelungen nach BDSG bewährt haben – eine schrittweise Umsetzung der kommenden rechtlichen Vorgaben der DSGVO bereits erfolgen.
Die Herangehensweise hängt hierbei natürlich auch vom aktuellen Stand im jeweiligen Unternehmen ab und ob bereits eine vorhandene Datenschutzorganisation vorhanden ist. Da aber die etablierte Datenschutzpraxis eine fortlaufende Struktur im Unternehmen mit wiederkehrenden Prozessabläufen darstellt, können jedenfalls über Einbeziehung etablierter Systeme Synergien geschaffen werden, welche auf lange Sicht den Aufwand relativieren. Damit können ausschließlich für den Datenschutz getroffene Maßnahmen vermieden bzw. verringert werden.
Vorgehensweise bei der Einführung einer Datenschutzorganisation nach DSGVO
Soweit bislang kein oder nur ein geringer Grundstein für die Datenschutz-Compliance gelegt wurde, empfiehlt es sich als ersten Prozessschritt zunächst mittels eines geeigneten Teams im Wesentlichen die Projektziele für das Unternehmen festzulegen. Unter Heranziehung aktueller Leitfäden und Auslegungshilfen zur DSGVO sind dann Schwerpunktbereiche herauszuarbeiten, welche mittels Risikoanalyse (betreffend Risiken für betroffener Personen, mögliche Bußgelder, zivilrechtlicher Haftungsrisiken u.a.) nach Schwerpunkten gewichtet werden können.
Die Bestandsaufnahme vorhandener Datenverarbeitungsaktivitäten und etablierter Compliance-Maßnahmen im Bereich Datenschutz ermöglicht die Auswertung und den Vergleich des Ist-Zustandes mit dem erforderlichen Soll-Zustand, wobei Lücken und Schwachstellen identifiziert und Abhilfemaßnahmen festgelegt werden.
Hieran anschließend ist mit Blick auf das vorhandene Budget der nächste Schritt die Umsetzung der festgelegten Maßnahmen, welche neben der Erstellung von Richtlinien und Aufsichtsstrukturen auch notwendige technische Änderungen, Dokumentationserstellung und die Überarbeitung von Verträgen, Bewilligungen u.ä. Dokumente umfasst.
Nachdem die wichtigsten Handlungsbedarfe umgesetzt wurden, können solche Maßnahmen mit geringerer Priorität angegangen und Reaktionspläne für zukünftige Änderungen von Prozessen erstellt werden. Im Rahmen der sich dann anschließenden laufenden Überwachung und Aktualisierung der DSGVO-Compliance sollten schließlich neben den routinemäßigen Neuanalysen und Anpassungen auch regelmäßige Schulungsprogramme für Mitarbeiter und Führungskräfte etabliert werden.
Datenschutzbeauftragter
In jedem Fall kann ein von Seiten des Unternehmens eingesetzter Datenschutzbeauftragter zur Klärung der offenen Fragen im Zusammenhang mit dem anstehenden Inkrafttreten der DSGVO und damit zur rechtssicheren Handhabung im Unternehmen beitragen.
Bitte beachten Sie, dass vorstehende Zusammenfassung einen Überblick über die bestehende Rechtslage darstellt. Eine ausführliche und individuelle Beratung im Zusammenhang mit konkreten Einzelfällen kann hierdurch nicht ersetzt werden.
