Diese Checkliste beantwortet wichtige Fragen zur DSGVO ab Mai 2018!

Schon in wenigen Wochen tritt die neue EU-Datenschutzgrundverordnung in Kraft und konfrontiert Sie mit weitreichenden Veränderungen. Steht Ihr Plan für die Umsetzung der DSGVO? Und sind Sie im Bilde darüber, welche Teile Ihres Unternehmens von Änderungen betroffen sind?

Obwohl so gut wie jedes Unternehmen von der DSGVO betroffen ist, ist die Zahl derer, die sich schon intensiv mit der neuen Verodrnung befasst haben, erschreckend gering. Dabei tickt die Uhr, es sind gerade noch ein paar Wochen, bis die DSGVO das bisherige Recht ersetzt. Betroffen ist prinzipiell jedes Unternehmen, das Daten eines EU-Bürgers speichert oder nutzt. Daher ist es oberste Pflicht, genau zu üprüfen, wo Änderungen nötig sind und welche Teile der Verordnung dringend umgesetzt werden müssen. Ob das Daten von Kunden, Interessenten oder nur Mitarbeitern sind, spielt dabei keine Rolle. Eine Untergrenze ist nicht vorgesehen – Start-ups sind genauso in der Pflicht wie börsennotierte Unternehmen.

Wichtigste Ziel der DSGVO: Datenschutz-Awareness

Die Urheber des Gesetzes setzen nun konsequent um, was sie so lange bemängelt haben. Mit der neuen Verordnung soll „Awareness“ – also ein Bewusstsein für die Sensibilität von Daten geschaffen werden.

Ausnahmslos jedes Unternehmen, das mit der Speicherung, Verarbeitung und Übertragung von Daten zu tun hat, wird nun handeln müssen, um Transparenz und Klarheit zu schaffen, wie mit den Daten von Kunden, Geschäftspartnern, Mitarbeiten und Lieferanten verfahren wird. Das gilt vor allem auch in Punkto Offenlegung der eigenen Prozesse oberen Behörden gegenüber (die sog. Rechenschaftspflicht, normiert in Art. 5 DSGVO). Das alleine liefert schon einen wichtigen Grund dafür, die eigene Unternehmenspolitik mit Blick auf die DSGVO entsprechend auszurichten.

Bei allen anstehenden Tätigkeiten hilft Ihnen unsere Checkliste, den Überblick zu behalten.

1. Verantwortlichkeit definieren

In allererster Linie ist Datenschutz auf jeden Fall Chefsache. Darüber hinaus müssen Verantwortlichkeiten auch in allen Abteilungen geschaffen werden, die mit Daten zu tun haben. Eine Datenschutzleitlinie kann dabei hilfreicher Anhaltspunkt für Sie, Ihre Mitarbeiter und Auftragsverarbeiter sein. Unser Tipp: Der DSB-Ratgeber gibt praktische Hilfestellungen zur Erstellung einer individuellen Datenschutzleitlinie – rechtssicher, prozessorientiert und stets aktuell!

2. Optimale Prozess-Gestaltung

Empfindliche Strafen und eine vermutliche Abmahnwelle sind Grund genug für ein strukturiertes Vorgehen. Die Organisation der Abläufe muss sicherstellen, dass alle Unternehmensbereiche ihre anstehenden Aufgaben zuverlässig erledigen. Fertigen Sie eine Liste mit allen Verarbeitungstätigkeiten an und stellen Sie sicher, dass von Anfang an und bei jeder Veränderung der Verarbeitung die Datenschutzrichtlinienbelange der betroffenen Personen berücksichtigt werden.

3. Datenzugriff durch „Dritte“ klären

Nehmen Sie frühzeitig Ihre Auftragsverarbeiter mit ins Boot. Denn prinzipiell unterliegt jeder, der in Ihrem Namen Daten verarbeitet, Ihrer Weisung. Dazu gehören insbesondere externe Lohnabrechner, Zeiterfasser oder Agenturen. Jedes externe Unternehmen, das von Ihnen Daten übertragen bekommt, gilt als Auftragsverarbeiter. Erstellen Sie eine Liste mit allen Externen, der Art der Daten und vermerken Sie, zu welchem Zweck diese übertragen werden und auf welcher Rechtsgrundlage. Denken Sie auch daran, dass ein Vertrag mit dem Auftragsverarbeiter existieren muss. Der Mindestinhalt ist in Art. 28 Abs. 3 DSGVO festgelegt. Damit tun Sie der Rechenschaftspflicht ausreichend Genüge!

4. Anpassung der bisherigen Datenschutzerklärung

Nach wie vor muss Ihre Datenschutzerklärung gut sichtbar, jederzeit abrufbar und klar und leicht verständlich formuliert sein. Aber die Informationspflichten sind nun weiter gefasst: Jeder hat ein Recht zu wissen, wer was wann und bei welcher Gelegenheit über ihn weiß. Die DSGVO verlangt daher neue und noch mehr Angaben in der Datenschutzerklärung eines Unternehmens. Der gesamte Katalog findet sich in Art. 13 und 14 DSGVO und ist einen Blick wert. Neu ist, dass die Datenschutzerklärung über eine klare Rechtsgrundlage und eine Zweckangabe für die Verarbeitung der Daten verfügt. Wie bisher muss Ihre Datenschutzerklärung gut sichtbar, jederzeit abrufbar und in klarer, einfacher Sprache formuliert sein.

5. Bereiten Sie sich auf mögliche Kundenanfragen vor

Nach einführung der DSGVO werden Sie vermutlich mit Anfragen Ihrer Kunden konfrontiert – denn auch die werden mitbekommen, dass sie nun seitens der Unternehmen umfassender informiert werden müssen, als dies bisher der Fall war. Der Prozess, wie auf solche Auskunftsanträge zeitnah zu reagieren ist, ist auch ein Aspekt, der einer behördlichen Überprüfung standhalten muss.

6. Das Marketing muss insgesamt auf den Datenschutz-Prüfstand

Die Werbe-Einwilligungserklärungen müssen um einen Passus erweitert werden, der über den Datenverarbeitungszweck aufklärt. Zusätzlich sieht die DSGVO noch die Mitteilung eines verantwortlichen Ansprechpartners für den Betroffenen vor. Dazu gehört auch die Information zur jederzeitigen Widerrufbarkeit der Einwilligung – selbstverständlich ohne Nachteile für den Kunden. Die Beweislast liegt auch hier wieder beim Unternehmen.

7. Datenschutzfolgenabschätzung: Was bedeutet die für Ihr Unternehmen?

Unternehmen, die in besonders großem Umfang Daten verarbeiten, oder Daten, die ein hohes Risiko für persönliche Rechte und Freiheiten bergen, müssen zukünftig eine Datenschutzfolgenabschätzung (DSFA) durchführen. Darin enthalten sein müssen eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung des Risikos für die betroffenen Personen und geplante Abhilfemaßnahmen, sollte es zu einem Datenleck kommen.

Wenn Sie sich nicht sicher sind, ob die Art der verarbeiteten Daten eine DSFA indiziert, dann holen Sie sich Rat bei der für Sie zuständigen Datenschutzbehörde.

8. Auf Datenschutz-Pannen vorbereiten!

Ihre Prozesse bei Datenlecks oder Auskunftsanfragen müssen funktionieren! Insbesondere auch deswegen, weil die Beweislast in der DSGVO immer beim Verantwortlichen liegt. Dies ist einer der Gründe, weshalb es sich kein Unternehmen mehr leisten kann, die Neuerungen im Datenschutz zu ignorieren. Als Inhaber eines Unternehmens sind Sie verpflichtet, durch entsprechende Dokumente nachzuweisen, dass Ihre Verarbeitung der personenbezogenen Daten datenschutzkonform erfolgt. Dazu gehört auch, dass Sie sicherstellen, dass eine Meldung an die Datenschutzbehörden im Zweifelsfall kurzfristig (innerhalb von 72 Stunden) möglich ist, und ein Notfallplan für Datenlecks existiert.