Ab dem 25.Mai 2018 tritt die neue EU-Datenschutzgrundverordnung in Kraft. Um die neuen Vorschriften einhalten zu können, müssen Unternehmen einige Änderungen vornehmen. Wir erklären Ihnen anhand einer To-Do-Liste, was Sie als Unternehmer in Zukunft tun müssen und welche Besonderheiten es nach der neuen DSGVO gibt.
1. Allgemeines Datenschutzmanagement überprüfen
Wie bereits in unserem allgemeinen Rechtstipp zur Datenschutzgrundverordnung beschrieben, muss nach den neuen Vorschriften das Datenschutzmanagement im Unternehmen überarbeitet werden.
Es ist zu klären, ob ein Datenschutzbeauftragter ernannt werden muss oder ob das Unternehmer die Struktur der Verantwortlichen auf andere Weise ändern sollte. Wichtig ist, dass jeder Mitarbeiter, der mit der Datenverarbeitung beschäftigt ist, ausreichend über den Datenschutz belehrt wurde, sodass er sicher und verantwortungsvoll mit den erhobenen Daten umgehen kann.
2. Einwilligungserklärung anpassen
Da viele Unternehmen eine Einwilligungserklärung als Grundlage zur Datenerhebungen nutzen, schreibt die EU-Datenschutzgrundverordnung eine genaue Form für eine wirksame Einwilligungserklärung vor. Ihr Inhalt sollte mindestens folgendes darstellen:
- Informationen zu Zweck und Umfang der verarbeiteten Daten
- leicht zugänglich, in klarer Form und einfacher Sprache
- Hinweis auf jederzeitiges Widerrufsrecht
- keine Einwilligung von unter 16-jährigen möglich
- schriftlich oder elektronisch
3. Verarbeitungsverzeichnis nach Art. 30 DSGVO anlegen
Um den sicheren Umgang mit den erhobenen Daten intern zu vereinfachen, muss ab dem 25. Mai 2018 ein sogenanntes Verarbeitungsverzeichnis nach Art. 30 DSGVO geführt werden. Dieses Verarbeitungsverzeichnis soll entweder schriftlich oder elektronisch geführt werden und muss inhaltlich aus den genauen Verarbeitungstätigkeiten des Unternehmens bestehen. Verarbeitungstätigkeiten sind zum Beispiel Adressdatenbanken, Personallisten oder Kundenakten.
Es ist nach DSGVO zwar kein konkreter Aufbau eines solchen Verzeichnisses vorgeschrieben, folgende Angaben müssen jedoch festgehalten werden:
- Name und Kontaktdaten des Unternehmens
- Name und Kontaktdaten des Datenschutzbeauftragten (wenn notwendig)
- Zweck der Datenverarbeitung (Rechtmäßigkeit)
- Art der verarbeiteten Daten
- mögliche Empfänger der Daten
- Art der Personen, deren Daten verarbeitet werden (Kunde, Mitarbeiter, Lieferant usw.)
- Übermittlung von Daten in die USA oder in andere nicht EU-Staaten
- Löschfristen
- Datensicherheit nach Art.32 DSGVO
Sowohl das Führen eines Verarbeitungsverzeichnisses, wie auch die Überarbeitung der internen Struktur und die Mitarbeiterverpflichtungen, sollen nach der neuen Datenschutzgrundverordnung dazu führen, dass irrelevante Daten nicht gespeichert werden und die Rechtmäßigkeit der Erhebung immer gewährleistet ist.
4. Verträge prüfen
Ein weiterer Schritt ist die Prüfung von Verträgen mit Dritten. Wenn Sie als Unternehmen von sogenannten „Auftragsdatenverarbeitern“ Gebrauch machen, müssen nach DSGVO ab Mai 2018 diese „Auftragsdatenverarbeitungsverträge“ genau darstellen, welche Information zu welchem Zweck, an wen weitergeben werden. Solche Verträge waren vor der neuen EU-Verordnung nicht immer zwingend notwendig, müssen nun jedoch immer vorhanden sein. Außerdem sollte die Arbeit der Auftragsverarbeiter stetig von Ihnen als Unternehmen überwacht werden, soweit dies zumutbar ist.
5. IT- Sicherheit gewährleisten
Auch die technischen Anforderungen steigen mit den Neuerungen der DSGVO. Jedes Unternehmen muss sicherstellen, dass kein Unbefugter auf die Daten zugreifen kann. Hierfür muss die Technik stets datenschutzfreundlich und immer auf dem neusten Stand sein. Durch Virenschutz und Firewalls, sowie mit Hilfe einer geeigneten Software, kann dies von dem Unternehmen ermöglicht werden.
6. Dokumentationspflicht wahren
Kommt es ab dem 25. Mai 2018 zu einer Datenpanne, unterliegt diese der Dokumentationspflicht und muss innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde übermittelt werden.
Einzige Ausnahme ist eine Datenschutzverletzung, welche nicht zu einem Risiko für die Rechte der Betroffenen führt. Kommt es zu einem besonders hohen Risiko, müssen die Betroffenen zwangsläufig von dem Unternehmen über die Datenschutzverletzung informiert werden.
Weitere Dokumentationspflichten sind beispielsweise das zuvor genannte Verarbeitungsverzeichnis oder die Verträge zu den Auftragsdatenverarbeitern. All diese Dokumentationen sollen zu einer betrieblichen Selbstkontrolle führen und möglichen Handlungsbedarf zur Verbesserung aufzeigen.
7. Informationspflicht und Betroffenenrechte
Bei der Datenerhebung muss nach der EU-DSGVO auf die Betroffenenrechte hingewiesen werden. Dies sind beispielsweise das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO). Außerdem muss das Unternehmen die Informationspflicht nach den Artikel 13 und 14 DSGVO gegenüber dem Betroffenen zu jeder Zeit einhalten.
Fazit:
Sie als Unternehmen müssen sicherstellen, dass der neue Pflichtenkatalog der EU- Datenschutzgrundverordnung in Ihrem Unternehmen umgesetzt wird und alle Vorschriften eingehalten werden. Datenschutz ist ein sehr sensibles Thema und deshalb bedarf es einer intensiven Auseinandersetzung mit dieser Materie.
Unsere To-Do-Liste vermittelt Ihnen einen groben Überblick, in welchen Bereichen des Unternehmens ein Handlungsbedarf vorliegen könnte. Durch die DSGVO wird das Thema Datenschutz in den Mittelpunkt gerückt. Können Sie es sich leisten, diese Vorschriften nicht einzuhalten? Bei Fragen stehen wir Ihnen gerne zur Verfügung.
Wir freuen uns darauf, Sie kennenzulernen.
Ihr Thomas Seidel,
(Rechtsanwalt)