Am 25. Mai 2018 ist die zweijährige Frist zur Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) abgelaufen. Unternehmen mit Sitz in der EU haben die DSGVO nun zwingend zu befolgen. Gleiches gilt für Unternehmen mit Sitz außerhalb der EU, die Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten in der Union beobachten.

Zum gleichen Zeitpunkt ist in Deutschland das neue Bundesdatenschutzgesetz (BDSG) in Kraft getreten, das zu verschiedenen Anforderungen der DSGVO weitere Regelungen enthält oder diese konkretisiert. Beispiele sind der Beschäftigtendatenschutz, die Videoüberwachung, Informationspflichten und Auskunftsrechte sowie Scoring und Profiling. Insgesamt müssen Unternehmen eine Vielzahl an Neuerungen berücksichtigen. So werden ihnen u. a. erhöhte Dokumentationspflichten, eine stärkere Formalisierung sowie die Erfüllung einer Vielzahl an Betroffenenrechten auferlegt. Darüber hinaus müssen verschiedene bisher so nicht dagewesene Fristen beachtet werden. Der Datenschutz ist von nun an im Sinne eines Management-Systems zu organisieren. Der Verantwortliche, das Unternehmen, muss die Einhaltung der Vorgaben der DSGVO sicherstellen und nachweisen können (Rechenschaftspflicht).

Die DSGVO sieht vor allem folgende Neuerungen vor:

• Massiv erweiterte Sanktionsmöglichkeiten mit Bußgeldern von bis zu 4 Prozent des gesamten weltweiten Vorjahresumsatzes 
• Erweiterte Haftungsrisiken inkl. Rechenschaftspflicht des Verantwortlichen
• Neue Anforderungen an das Verarbeitungsverzeichnis
• Erfordernis von Risikoanalyse und ggf. Datenschutz-Folgenabschätzung
• Beachtung von Privacy by design/Privacy by default
• Neue Anforderungen an die Einwilligung erweiterter Informations- und Hinweispflichten
• Erweiterte Betroffenenrechte (insbes. Recht auf Datenportabilität und Recht auf Vergessenwerden)
• Neue Fristen bei der Erfüllung der Betroffenenrechte
• Verschärfte Anforderungen zur Meldung von Datenschutzverstößen (72-Stunden-Frist)
• Neue Anforderungen an die Auftragsverarbeitung inklusive Joint Controllership

Neben diesen Neuerungen räumen Öffnungsklauseln den europäischen nationalen Gesetzgebern in einzelnen Bereichen Gestaltungskompetenzen ein. Daher ist die Entwicklung der nationalen Regelungen nicht außer Acht zu lassen.

Die Umsetzung der DSGVO ist ein unternehmerischer Kraftakt. Es ist zu erwarten, dass auch nach dem Stichtag noch nicht alle Anforderungen im Einzelfall umgesetzt sind. Zudem wird es branchenspezifische Unterschiede geben. Wer besonderes viele oder besonders schützenswerte Daten verarbeitet oder in besonderem Maße neue Technologien einsetzt, wird einen größeren Aufwand betreiben müssen, als andere Unternehmen. Zu nennen sind exemplarisch die Finanzbranche mit ihrer großen Zahl an sensiblen Kundendaten auf vielen globalen Systemen, aber ebenso Versicherungen, die Pharmaindustrie, die Gesundheitsbranche, Telekommunikationsunternehmen oder Onlineanbieter. Unabhängig von der Branche gilt für alle Unternehmen: Sie müssen ihre bisherigen Zuständigkeiten, Prozesse und Maßnahmen neu bewerten. Risikoanalyse, Dokumentation und Transparenz rücken in den Vordergrund.

Zur Umsetzung der Vorgaben der DSGVO sollten folgende Fragen berücksichtigt werden:

• Verfügt Ihr Unternehmen über ein ganzheitliches Datenschutzkonzept im Sinne eines Management-Systems?
• Konkret wie weist das Management die Einhaltung der DSGVO nach?
• Ist die Datenschutz-Governance geregelt inkl. Rollen und Zuständigkeiten, Prozesse und Richtlinien, Tools und Templates?
• Liegt ein vollständiges Verarbeitungsverzeichnis als Verantwortlicher und/oder Auftragsverarbeiter vor?
• Wird eine einheitliche Methodik zur Risikoanalyse verwendet?
• Ist geklärt, wann eine Datenschutz-Folgenabschätzung inklusive einer Konsultation der Aufsichtsbehörde durchzuführen ist?
• Sind Zuständigkeiten und Prozesse implementiert, die sicherstellen, dass die Betroffenenrechte erfüllt und Fristen eingehalten werden?
• Genügen die bisher genutzten Prozesse zur Einholung einer Einwilligung des Betroffenen den gestiegenen Anforderungen der DSGVO?
• Sind auf Basis der Öffnungsklauseln erlassene nationale Vorschriften bekannt?
• Werden die Grundsätze „Privacy by Design“ und „Privacy by Default“ durch die Implementierung entsprechender technischer und organisatorischer Maßnahmen berücksichtigt?
• Ist ein geeignetes Konzept zur Löschung personenbezogener Daten implementiert?
• Sind die Konstellationen von Auftragsverarbeitung und Joint Controllership identifiziert und den Vorgaben der DSGVO zufolge vertraglich geregelt?
• Werden Dienstleister im Hinblick auf Datenschutz auditiert?
• Entsprechen internationale Datenübermittlungen den Vorgaben der DSGVO? 
• Ist das Unternehmen im Falle eines Datenschutzverstoßes umfassend reaktionsfähig und kann die 72-Stunden-Meldepflicht einhalten?
  

Das klingt nach viel Arbeit und das ist es auch. Aber angesichts von nun drastisch erhöhten Bußgeldern von bis zu 20 Millionen Euro beziehungsweise vier Prozent des gesamten weltweiten Vorjahresumsatzes stellt sich kaum die Frage, ob man ein Datenschutzrisiko eingehen will. Die neue Rechenschaftspflicht des Datenverarbeiters, der die Einhaltung der Vorgaben der DSGVO nachweisen muss und die zur prozessualen Beweislastumkehr führen kann, unterstreicht dies.

Bei Fragen rund um die DSGVO, ihre Konzeption und Implementierung im Unternehmen, wie auch Maßnahmen zur Prüfung und Zertifizierung des Datenschutzmanagements sprechen Sie uns gerne an.