EU-Datenschutz-Grundverordnung umsetzen – Aufgabe jedes Mitarbeiters

EU-DSGVO

Dirk Clemens, Datenschutzbeauftragter der Bundesdruckerei, informiert Sie in 10 Fakten über die wichtigsten Inhalte der EU-Datenschutz-Grundverordnung (EU-DSGVO) und leitet aus seiner Praxiserfahrung wichtige Tipps für die Umsetzung ab.

Am 25. Mai 2018 müssen die Bestimmungen und Vorgaben der EU-Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt sein. Die Neuerungen treffen jede Organisation und fordern, den Bereich Datenschutz in seiner Gesamtheit zu überprüfen und anzupassen. Diese 10 Fakten sollten Sie wissen:

Dirk Clemens - Datenschutzbauftragter der Bundesdruckerei

Dirk Clemens - Datenschutzbeauftragter der Bundesdruckerei

Fakt 1: Nur eine Minderheit der deutschen Unternehmen ist auf die EU-DSGVO vorbereitet, so das Ergebnis einer aktuellen Umfrage des Digitalverbandes Bitkom. Erst 13 Prozent haben erste Maßnahmen angefangen oder umgesetzt, jedes dritte Unternehmen hat sich überhaupt noch nicht mit den Vorgaben der Verordnung beschäftigt. 

Mein Praxistipp: Die Uhr tickt. Besteht bei Ihnen Nachholbedarf, sollten Sie sich schnell über die Auswirkungen der DSGVO auf ihre Prozesse informieren und danach umgehend die notwendigen Maßnahmen planen und umsetzen. Entscheidend ist, dass bis Mai 2018 der kritische Bedarf vollständig implementiert ist. Das sind zum Beispiel die Rechenschaftspflichten und die Etablierung eines Verfahrens für die Meldung von Datenschutzverletzungen. Hierbei könnte externe Beratung, die individuelle Anforderungen und branchenspezifische Vorgaben definiert, wertvolle Unterstützung leisten.

Fakt 2: Laut DSGVO besteht eine Rechenschaftspflicht („Accountability“). Das Unternehmen muss nachweisen, dass es als Verantwortlicher angemessene und wirksame Maßnahmen ergreift, um die datenschutzrechtlichen Grundsätze und Verpflichtungen der Verordnung umzusetzen. 

Mein Praxistipp: Die umfangreichen Rechenschafts- und Nachweispflichten machen die Einführung eines Datenschutz-Management-Systems notwendig. Dabei lassen sich etablierte Prinzipien aus Management-Systemen anderer Disziplinen - wie etwa der Informationssicherheit nach ISO 27001 oder BSI-Grundschutz - aufgreifen. So muss laut DSGVO der Verantwortliche unter Berücksichtigung des Kontexts und des Risikos Maßnahmen planen, umsetzen, dokumentieren, prüfen und bei Bedarf verbessern. Nichts anderes besagt im Kern der PDCA-Zyklus (Plan-Do-Check-Act) eines jeden Management-Systems. 

Fakt 3: Wer sich nicht um den Datenschutz kümmert, für den wird es in Zukunft sehr teuer. Bußgelder werden verzehnfacht, sie können jetzt bis zu 20 Millionen Euro bzw. bei Unternehmen 4 Prozent des Umsatzes betragen. Zusätzlich ist der Sanktionsrahmen wesentlich weiter gefasst. So gibt es Haftungsrisiken jetzt auch für den Geschäftsführer, interne Datenschutzbeauftrage und die Mitarbeiter.

Mein Praxistipp: Die erfolgreiche Implementierung der DSGVO im eigenen Unternehmen setzt voraus, dass Management und Mitarbeiter auf die Belange des Datenschutzes intensiv geschult und für den Umgang mit personenbezogenen Daten sensibilisiert werden. Das kann beispielsweise im Rahmen eines Grundlagen-Workshops geschehen, der von Beratungsunternehmen - wie der Bundesdruckerei - durchgeführt wird.

Fakt 4: Zentraler Inhalt der DSGVO ist der selbstbestimmte Umgang des Kunden mit seinen abgegebenen Daten. Dazu gehört auch das Recht auf Auskunft, Löschung („Vergessenwerden“) und Korrektur.

Mein Praxistipp: Richten Sie im Unternehmen Datenschutzprozesse für die Umsetzung von Betroffenenrechten ein. Bestehende Löschkonzepte vorhandener IT-Infrastrukturen sind sorgfältig zu überprüfen. Ein zentrales Datenmanagement und effiziente Abläufe für die Verarbeitung sind ebenfalls ratsam. Beispielsweise lassen sich die vom Kunden übertragenen Daten in Echtzeit validieren – Datenqualitätslösungen prüfen dann automatisiert die Korrektheit und Vollständigkeit der Adresse und des Namens.

Fakt 5: Die Benachrichtigungspflichten bei Datenschutzverletzungen sind erheblich verschärft worden. Während früher die Meldung nur in eng beschränkten Fällen – wie bei Berufsgeheimnissen oder Bank- und Kreditkartenkonten – vorgeschrieben war, sind gemäß DSGVO alle Datenschutzverletzungen innerhalb von 72 Stunden, nachdem sie erkannt wurden, an die Aufsichtsbehörde zu melden. 

Mein Praxistipp: Entwickeln Sie ein Verfahren, mit dem Datenschutzverletzungen innerhalb der Frist mit den erforderlichen Angaben gemeldet werden können. Legen Sie die personellen Zuständigkeiten von der Erkennung bis zur Meldung genauestens fest. Dokumentieren Sie die Verletzungen und welche Maßnahmen zur Abhilfe getroffen werden müssen. Und schulen Sie Ihre Mitarbeiter, damit Verstöße gegen den Datenschutz rechtzeitig erkannt und gemeldet werden. 

Fakt 6: Der Aufgabenbereich des Datenschutzbeauftragten wird durch die DSGVO erweitert. Neu ist, dass er nicht nur das Unternehmen in Punkto Datenschutz unterrichtet und berät, sondern auch die Einhaltung der Datenschutzvorschriften überwacht. Zudem verlieren Datenschutzbeauftragte ohne gezielte Weiterbildung ihre fachliche Eignung.

Mein Praxistipp: Mit seiner neuen Aufgabe gelangt der Datenschutzbeauftragte in den Kreis der Verantwortungsträger, verbunden mit einer höheren persönlichen Haftung. Dies erfordert eine sorgfältige Personalauswahl. Entscheiden Sie sich für einen Datenschutzbeauftragten, der seine fachlichen Weiterbildungsmaßnahmen fortlaufend nachweisen kann. Benennen Sie Datenschutzkoordinatoren, die den Datenschutzbeauftragten unterstützen und für einzelne Unternehmensbereiche zuständig sind. Ihre Aufgabe ist zum Beispiel, die Fachverantwortlichen bei der Dokumentation zentraler Verfahren zu helfen. 

Fakt 7: Produkte, die nicht datenschutzkonform konzipiert sind, können sanktioniert werden. 

Mein Praxistipp: Entwickeln Sie Produkte bzw. passen Sie bestehende Lösungen nach den Datenschutzprinzipien „Privacy by Design“ und „Privacy by Default“ an. Ein Beispiel für „Privacy by Design“ ist die Cloud-Lösung „Bdrive“ der Bundesdruckerei. Diese basiert auf einem Technologiekonzept, mit dem die Datenhoheit gewahrt wird, mit denen sich Daten vertraulich speichern und weitergeben lassen und mit denen eine hohe Sicherheit und Verfügbarkeit der Informationen sichergestellt werden. Beispielhaft für „Privacy by Default“ ist die Registrierungs-, Identitäts- und Datenplattform „verimi“, die Ende des Jahres starten soll. Nutzer können dort ausdrücklich entscheiden, welche Daten sie an Partnerunternehmen weitergeben möchten.

Fakt 8: Zukünftig können auch Dienstleister in Haftung genommen werden, die im Auftrag des Unternehmens personenbezogene Daten verarbeiten. Voraussetzung dafür ist, dass die Dienstleister die Mittel und/oder den Zweck der Verarbeitung von personenbezogenen Daten selbst bestimmen.

Mein Praxistipp: Prüfen Sie sorgfältig Ihre Verträge zur Auftragsdatenverarbeitung. Fordern Sie sämtliche Vereinbarungen beim Vertrieb an und stellen Sie sicher, dass alle Regelungen bis zum 25. Mai 2018 das BDSG und ab diesem Stichtag die DSGVO berücksichtigen. Etablieren Sie einen unternehmensweiten Vertragsmanagement-Prozess für die Auftragsdatenverarbeitung.

Fakt 9: Um sicherzustellen, dass personenbezogene Daten gemäß DSGVO verarbeitet werden, sind geeignete technische und organisatorische Maßnahmen nach dem Stand der Technik zu implementieren. Geschieht dies nicht, drohen Sanktionen.

Mein Praxistipp: Führen Sie ein Verfahren ein, das Ihre technischen und organisatorischen Maßnahmen regelmäßig auf Aktualität prüft und anpasst. Große Bedeutung besitzt dabei die Datenschutz-Folgenabschätzung, die bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen durchzuführen ist, zum Beispiel bei RFID-Lösungen, der Verarbeitung von Gesundheitsdaten oder der Videoüberwachung. Für die identifizierten Risiken müssen geeignete Maßnahmen, Sicherheitsvorkehrungen und Verfahren umgesetzt werden.

Fakt 10: Die Fachabteilungen sind für die Dokumentation der Verfahren zum Datenschutz verantwortlich, nicht der Datenschutzbeauftragte. 

Mein Praxistipp: Denken und etablieren Sie Datenschutz ganzheitlich in Ihrem Unternehmen. Datenschutz ist Aufgabe jedes Mitarbeiters, Teilziel jedes Projekts und Führungsaufgabe jedes Unternehmens. Helfen Sie mit der Bereitstellung ausreichender Ressourcen und Budgets und motivieren Sie Ihre Mitarbeiter, Datenschutz aktiv zu leben.

Die Datenschutz-Beratung der Bundesdruckerei informiert über die EU-Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz, berücksichtigt branchenspezifische Vorgaben und geht auf die individuellen Anforderungen der Kunden ein. Fachexperten der Bundesdruckerei begleiten Sie beim Aufbau Ihres Datenschutz-Management-Systems.