Die neue Europäische Datenschutzgrundverordnung

Die neue Europäische Datenschutzgrundverordnung (EU-DS-GVO oder kurz DS-GVO) gilt ab dem 25. Mai 2018 und löst ab diesem Zeitpunkt alle bisher geltenden nationalen Datenschutzbestimmungen ab. Die DS-GVO stellt aktuell nicht nur die Datenschutzbehörden vor große Herausforderungen, sondern auch ausnahmslos alle Unternehmen unabhängig ihrer Größe und der Zahl ihrer Mitarbeiter. Auch kleinere Unternehmen oder gerade auch Kleinstbetriebe, welche die Thematik Datenschutz bislang gerne mit den Worten „wir sind zu unbedeutend“ beiseitegeschoben haben, sind unmittelbar von dem Geltungsbereich der DS-GVO betroffen.

Die DS-GVO bringt eine Vielzahl an Neuerungen im Bereich des Datenschutzes mit sich. So werden z. B. neue Anforderungen an Datenschutzerklärungen, Einwilligungen zur Datenverarbeitung oder Verfahrensverzeichnissen gestellt. Unternehmen sind künftig dazu verpflichtet, Datenschutzleitlinien aufzustellen, ein Datenschutzmanagement einzuführen und entsprechend vorhandene IT-Richtlinien, Dienstvereinbarungen bzw. Betriebsvereinbarungen den neuen Anforderungen entsprechend anzupassen. Zudem müssen die Verfahren bei Auskunftsersuchen Betroffener oder im Falle von Datenpannen überarbeitet werden.

Gänzlich neu ist die sogenannte Datenschutz-Folgenabschätzung. Eine solche muss zukünftig immer bei einer umfangreichen Verarbeitung besonderer Kategorien von Daten vorgenommen werden. In einem ersten Schritt muss ermittelt werden, inwieweit im Unternehmen sensible Daten verarbeitet und gesichert werden. In einem zweiten Schritt muss das Risiko eingeschätzt werden, inwieweit bei einer missbräuchlichen Datenverwendung ein Eingriff in die Rechte anderer besteht und welche Schäden durch diesen Eingriff drohen.

Ebenfalls neu ist der Begriff der so genannten Auftragsverarbeitung. Die Auftragsverarbeitung entspricht weitestgehend der aus dem Bundesdatenschutzrecht bekannten Auftragsdatenverarbeitung. Im Falle einer Auftragsdatenverarbeitung (z. B. bei Outsourcing von Arbeitsbereichen an externe Dienstleister) ist es momentan gesetzlich verpflichtend, eine Vereinbarung zur Auftragsdatenverarbeitung nach den Vorgaben des § 11 BDSG (Bundesdatenschutzgesetz) zwischen Auftraggeber und Auftragnehmer einer Datenverarbeitung zu schließen. Die Voraussetzungen einer Auftragsverarbeitung nach Art. 28 DS-GVO sind strenger. Das macht es notwendig bestehende Verträge an die neuen Anforderungen anzupassen und zukünftige Verträge dementsprechend zu gestalten.

Gefordert werden die Unternehmen auch durch die Verpflichtung zur Sensibilisierung ihrer Mitarbeiter im Bereich des Datenschutzes. Das hat primär zur Folge, dass ein erhöhter Schulungsbedarf entstehen wird. Es muss ein Bewusstsein der Mitarbeiter geschaffen werden, dass der Datenschutz ein fortlaufender Prozess ist.

Im Ergebnis ist jedes Unternehmen innerhalb der Europäischen Union dazu angehalten, sich selbständig darum zu kümmern, seine Unternehmensstruktur an die Anforderungen der DS-GVO anzupassen. Aus den Reihen der Aufsichtsbehörde heißt es bereits jetzt, dass im Falle einer Vernachlässigung des Umsetzungsprozesses oder bei Feststellung von Verstößen gegen die DS-GVO nicht unerhebliche Sanktionen drohen werden. Diese könnten große wie auch kleine Unternehmen ziemlich hart treffen, zumal die bisherige Höchstgrenze der drohenden Bußgelder von aktuell 300.000 Euro auf eine Höchstgrenze von 20 Millionen Euro bzw. bis 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr angehoben wird.

Wir unterstützen Sie insbesondere bei:
  • Erstellung von Datenschutzleitlinien und Datenschutzkonzepten
  • Erstellung der Verzeichnisse der Verarbeitungstätigkeiten (ehemals „Verfahrensverzeichnisse“)
  • Regelungen der Auftragsverarbeitung
  • Sicherstellung der Rechte von Betroffenen
  • Sicherstellung einer datenschutzkonformen Datenverarbeitung
  • Einhaltung der Sicherheit der Verarbeitung
  • Einführung eines Datenschutzmanagementsystems
  • Durchführung von Datenschutz-Audits / -Zertifizierungen
  • Erstellung einer Datenschutzdokumentation
  • Einführung eines Datenschutz-Risikomanagementsystems
  • Umsetzung der Datenschutz-Folgenabschätzung
  • Umsetzung der rechtskonformen Datenverarbeitung im Beschäftigungsverhältnis (Beschäftigtendatenschutz)
  • Umgang mit Einwilligungen
  • Umgang mit Auskunftsersuchen Betroffener und Datenschutzverletzungen
  • Durchführung von „Feuerwehrübungen“ (z. B. für Datenschutzverletzungen, Auskunftsverlangen)
  • Erstellung von Datenschutz-Schulungskonzepten
  • Neuerstellung oder Anpassung von Dienstvereinbarungen bzw. Betriebsvereinbarungen
  • Erstellung von IT-Richtlinien und Arbeitsanweisungen