Datenschutz

Checkliste - Auf dem Weg zur EU-DSGVO

Checkliste für Unternehmen

1. Sensibilisierung

Geschäftsführungen, Datenschutzbeauftragte und andere für das Thema Datenschutz Zuständige sollten innerhalb des Unternehmens dafür sensibilisieren, dass sich ab dem 25. Mai 2018 nicht nur der Name der wichtigsten Datenschutzvorschriften ändern wird. Die DSGVO wird in vielen Bereichen direkte Auswirkungen auf jedes Unternehmen als datenverarbeitende Stellen haben. Anders als eine EU-Richtlinie ist eine EU-Verordnung direkt in den Mitgliedstaaten der Europäischen Union anwendbar, also auch in Deutschland. Neben der DSGVO wird es weiterhin ein Bundesdatenschutzgesetz und sektorales Fachrecht mit ausführenden Regelungen zur DSGVO geben.

2. Risikoanalyse

Vor allem aufgrund der steigenden Bußgeld- und Reputationsverlustrisiken sowie künftig drohender Schadenersatzforderungen betroffener Personen ist eine auf das gesamte Unternehmen und die einzelnen Geschäftsbereiche bezogene Risikoanalyse empfehlenswert. Denkbare Risiken sind beispielsweise:
• Betroffenenrechte
• Arbeitsrechtliche Aspekte
• Mögliche Bußgelder
• Umgang mit Aufsichtsbehörden
• Zivilrechtliche Haftungsrisiken
• Reputationsschäden

3. Bestandsaufnahme

Um Änderungsbedarf identifizieren zu können, sollte eine Bestandsaufnahme sämtlicher Prozesse und Verfahren durchgeführt werden, in denen personenbezogene Daten verarbeitet werden. Ein möglichst aktuelles Verfahrensverzeichnis nach § 4 d Bundesdatenschutzgesetz (BDSG) kann ein wertvoller Ausgangspunkt zur Identifizierung sein. Wegen des gegenüber dem BDSG deutlich stärker risikobasierten Ansatzes der DSGVO kommen neben der Nutzung bereits bestehender Datenschutzstrukturen auch die Adaption von Prozessen und Strukturen eines bestehenden Compliance-Managements oder Qualitätsmanagementsystems in Betracht.

4. Gap-Analyse

Das Unternehmen sollte für die erfolgreiche Umsetzung der Vorgaben der DSGVO einen strukturierten Abgleich des Ist-Zustandes mit dem künftigen Soll-Zustand vornehmen. Auf dieser Grundlage lassen sich dann alle weiteren Schritte planen. Die Gap-Analyse ist ein wichtiger Baustein jeglicher Projektplanung zum Thema Datenschutz, insbesondere bei der Umsetzung vorgeschriebener Transparenz- und Dokumentationspflichten. In einem ersten Schritt der Gap-Analyse sollten alle von der Umsetzung der DSGVO betroffenen Organisationseinheiten und Prozesse und rechtlichen Einheiten identifiziert werden. Unternehmen sollten außerdem insbesondere ihre bestehenden Verträge mit Auftragsdatenverarbeitern (ADV) überprüfen und überarbeiten.

5. Einbindung des Datenschutzbeauftragten

Der betriebliche oder externe Datenschutzbeauftragte muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden. Außerdem sollte das Unternehmen die Umsetzung dieser Anforderung in einer dem Art. 24 Abs. 1 DSGVO entsprechenden Weise dokumentieren. Der Datenschutzbeauftragte ist gleichzeitig verpflichtet, sein Unternehmen und die Beschäftigten in Datenschutzfragen zu beraten. Neben der Erfüllung der rechtlichen Pflichten ist die Einrichtung einer im Unternehmen gut kommunizierten und akzeptierten Datenschutzberatung ein wichtiges Mittel, um Fehler bei der Verarbeitung personenbezogener Daten und daraus folgende Risiken für das Unternehmen und dessen Entscheidungsträger zu vermeiden.

6. Datenschutzkommunikation

Viele Unternehmen werden dem Datenschutz aufgrund der Vorgaben der DSGVO in Zukunft einen höheren Stellenwert zumessen müssen als nach den bisherigen Vorgaben des BDSG. Dies setzt ein klares Bekenntnis der Unternehmensführung zum Datenschutz sowie eine entsprechende Kommunikation gegenüber der Belegschaft und den Kunden voraus. Bei größeren Unternehmen bietet sich dazu – sofern nicht bereits vorhanden – die Einführung einer Datenschutzrichtlinie oder eine entsprechende Überarbeitung der EDV-Richtlinie an.

7. Mitarbeiterschulungen

Aufgrund der Komplexität und den vielfältigen Anforderungen der DSGVO sollten von den Änderungen betroffene Mitarbeiter gründlich im Umgang mit den Neuregelungen geschult werden. Der Datenschutzbeauftragte ist nach Art. 39 Abs. 1 lit. b der DSGVO ausdrücklich zur „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ angehalten.

8. Betriebsrat und Betriebsvereinbarungen

Die DSGVO zählt zu den Schutzvorschriften, über die der Betriebsrat zum Schutz der Arbeitnehmer zu wachen hat. Aus Unternehmersicht empfiehlt es sich deshalb zu Fragen der Umsetzung der DSGVO frühzeitig den Betriebsrat in die Umsetzungsprozesse mit einzubeziehen. Aufgrund der DSGVO werden außerdem teilweise erhebliche Anpassungen bei bestehenden Betriebsvereinbarungen notwendig. Zudem kann auch der Abschluss neuer Betriebsvereinbarungen Sinn machen.

9. Rechtzeitige Planung neuer Prozesse und Strukturen

Nach der DSGVO werden zahlreiche neue Prozesse und Strukturen vorausgesetzt, die die Unternehmen bis Ende Mai 2018 umsetzen müssen. Dabei sollten insbesondere folgende Anforderungen besonders berücksichtigt werden:
a) Datenschutzdokumentation
Die DSGVO enthält zahlreiche Dokumentationspflichten, wie etwa das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO), die Dokumentation von Weisungen bei Auftragsverarbeitungsverhältnissen (Art. 28 Abs. 3 lit. A DSGVO) sowie die rechtzeitige Meldung von Datenschutzvorfällen (Art. 33 Abs. 5 DSGVO).
b) Privacy by design, privacy by default
Unternehmen sind in Zukunft nach Art. 25 DSGVO dazu verpflichtet, die geltenden Datenschutzvorschriften durch eine datenschutzfreundliche Gestaltung der eingesetzten IT und entsprechende Voreinstellungen umzusetzen. Unternehmen müssen dies durch geeignete technische Maßnahmen umsetzen, etwa durch auf Datenminimierung ausgerichtete IT-Systeme und eine möglichst frühzeitige Pseudonymisierung von personenbezogenen Daten.
c) Transparenz
Eines der wichtigsten Gebote der DSGVO ist das Transparenzgebot. Die von der Verarbeitung personenbezogener Daten betroffenen Personen müssen von der verantwortlichen Stelle über eine Vielzahl von Angaben bezüglich der geplanten Datenverarbeitung rechtzeitig informiert werden. Dies äußert sich in gegenüber dem BDSG deutlich erweiterten Mitteilungs- und Hinweispflichten (Art. 13 u. 14 DSGVO). So müssen etwa Zweck und Zweckänderung einer erstmaligen Erhebung oder geplanten Datenverarbeitung gegenüber den Betroffenen transparent kommuniziert werden. Darüber hinaus werden Unternehmen verpflichtet, ein Löschkonzept mit entsprechenden Löschfristen zu entwickeln.
d) Datenschutzfolgenabschätzung
Sofern eine geplante Datenverarbeitung hohe Risiken für die Rechte und Freiheiten natürlicher Personen beinhaltet, ist der Verantwortliche verpflichtet, vor dem erstmaligen Einsatz des Verfahrens eine sog. Folgenabschätzung (Art. 35 DSGVO) durchzuführen. Hierzu sollte in den Unternehmen rechtzeitig ein Konzept zur Durchführung und Dokumentation eines solchen Verfahrens erarbeitet werden.
e) Beschwerdemanagement zur Wahrung der Betroffenenrechte
Nach der DSGVO stehen den von einer Verarbeitung von personenbezogenen Daten betroffenen Personen verschiedenen Mechanismen zur Geltendmachung ihrer Rechte zur Verfügung. Dies äußert sich etwa in dem Auskunftsrecht nach Art. 15 DSGVO, das deutlich umfangreicher ist als das bisher nach § 34 BDSG bestehende. Außerdem sieht die DSGVO u. a. ein Recht auf Berichtigung (Art. 16 DSGVO), das „Recht auf Vergessen-werden“ (Art. 17 Abs. 2 DSGVO), ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 Abs. 1 DSGVO) sowie ein Widerspruchsrecht (Art. 21 DSGVO) vor. Die Umsetzung dieser Betroffenenrechte legt nahe, dass Unternehmen ein entsprechendes Beschwerdemanagement einrichten sollten, um die Geltendmachung der genannten Ansprüche umsetzen zu können, andernfalls droht eine Haftung.
f) Vertragsmanagement
Unternehmen sollten ein Vertragsmanagement für Verträge mit datenschutzrechtlichem Bezug einführen und bis zur Geltung der DSGVO sicherstellen, dass bestehende Auftragsdatenverarbeitungsverträge (ADV), Verträge zur Übermittlung von personenbezogenen Daten und sonstige Verträge, die die Verarbeitung personenbezogener Daten beinhalten, den Anforderungen der Art. 28 und 29 DSGVO entsprechen.
g) Einwilligungsmanagement
Die DSGVO stellt hohe Anforderungen an die Einwilligung betroffener Personen in die Verarbeitung ihrer personenbezogenen Daten. Daher sollte strukturiert geprüft und dokumentiert werden, an welchen Stellen personenbezogene Daten auf welcher Grundlage verarbeitet werden, um bestehende Prozesse von den bisherigen Vorgaben auf die des Art. 7 DSGVO umzustellen. Nach dem Beschluss des Düsseldorfer Kreises vom 14. September 2016 gelten bisher erteilte Einwilligungen fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171, Satz 3 DSGVO). Bereits rechtswirksam erteilte Einwilligungen erfüllen grundsätzlich diese Bedingungen. Informationspflichten nach Art. 13 DSGVO müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes sind.