Datenschutz
Umsetzung des neuen Datenschutzrechts nach DSGVO
Das Datenschutzrecht nimmt in der modernen Informationsgesellschaft einen immer wichtigeren Stellenwert ein. Anfangs noch als Hindernis in einer weltweiten Boom-Branche angesehen, rückt dieses Rechtsgebiet immer mehr in den Vordergrund. Denn vor allem die Internetnutzer haben ein zunehmendes Gespür und Interesses daran entwickelt, was beim Surfen im Internet mit ihren Daten geschieht.
Die DSGVO gilt unmittelbar als Gesetz ab dem 25.05.2018, es bedarf keiner weiteren Umsetzung durch die nationalen Regierungen. Das BDSG gilt daneben weiterhin fort, DSGVO geht als Gesetz aber vor. Was dann im Einzelnen gilt, ist noch ungeklärt und muss durch Rechtsprechung entwickelt werden, was leider für die Wirtschaft eine gewisse Rechtsunsicherheit bedeutet. Dies unterscheidet sich aber nicht von neuen Gesetzeslagen in anderen Bereichen wie etwa dem Wettbewerbsrecht vor ein paar Jahren. Die Reform des BDSG steht ebenfalls bevor, auch dort wird es spannend sein, inwieweit der deutsche Gesetzgeber von Ausnahmemöglichkeiten, die in der DSGVO enthalten sind, Gebrauch machen wird. Grundsätze des BDSG bleiben bestehen (Totalverbot mit Erlaubnisvorbehalt, Einwilligung, betrieblicher Datenschützer, Aufsichtsbehörden, Audits etc.) In Deutschland sind wegen des bisherigen, hohen Datenschutz Niveaus die Änderungen daher nicht so einschneidend, wie in anderen Europäischen Ländern.
Auch für Mittelständler ist eine rechtskonforme Umsetzung der Vorgaben der DSGVO machbar. IT-Unternehmen und Webagenturen haben dabei Multiplikatorenfunktion für eine rechtskonforme Umsetzung in der Wirtschaft insgesamt.
Die neuen Regelungen sehen erweiterte Betroffenenrechte, Pflichten und Bußgeldvorschriften vor, gleichzeitig geben sie Gelegenheit, das eigene Firmen Kno-How neu zu ordnen und in ein IT-Sicherheitssystem einzubinden. Auch bringt die DSGVO einige vorteilhafte Änderungen. So ist z.B im Gegensatz zum bisherigen BDSG eine Möglichkeit für jedermann, in das Verzeichnis von Verarbeitungstätigkeiten Einsicht zu nehmen, nach der DSGVO nicht vorgesehen. Ebenso entfallen mit der DSGVO die bisher in § 4d und § 4e BDSG geregelten Meldepflichten von manchen Unternehmen an die Aufsichtsbehörde. Erstellt und vorgehalten werden müssen die Verzeichnisse dennoch, da sie den Aufsichtsbehörden jederzeit auf Anfrage zur Verfügung zu stellen sind (siehe Art. 30 Abs. 4 DS-GVO und ErwGr. 82).
Wenn man sich an die folgenden Punkte hält und umsetzt, sollte man für die Deadline zum 25.05.2018 aber gerüstet sein:
- Datenschutzbeauftragten benennen (ab 10 Bildschirmplätzen Pflicht)
- Schulungen von Mitarbeitern, Booklet mit DS-Regeln erstellen
- Datenschutzrisikomanagement einführen, Prozess für fortlaufende Evaluierung etablieren (Wiedervorlagen Geschäftsführung)
- Verarbeitungsverzeichnisse erstellen mit Risikofolgenabschätzung und Festlegung von Löschungsfristen
- IT-Infrastruktur überprüfen und TOMs erstellen (Cloud in Deutschland, Virensoftware, Firewall, Dateiverschlüsselung, Back-Up-Routinen)
- Dokumentation aller Maßnahmen und Entscheidungen schriftlich festhalten
- Datenschutzerklärung Website
- Datenschutzverpflichtung der Mitarbeiter und der externen Dienstleister (ADV)
- Unnötig risikobehaftete und nicht erforderliche Datenverarbeitungen einstellen
- Verschlüsselung der Kommunikation prüfen und anbieten
Auch der Bayerische Landesdatenschützer versucht nach der Panikmache der letzten Monate die Wirtschaft und vor allem den Mittelstand einzufangen, indem er die gesamten Pflichten aus der DSGVO einmal auf die wesentlichen notwendigen Maßnahmen heruntergebrochen hat.
Ein umfangreicherer Projektverlauf zur Umsetzung der Vorgaben der DSGVO könnte nach unserer Einschätzung wie folgt aussehen:
Projekt zur Umsetzung EU-DSGVO:
- Bestandsaufnahme aller personenbezogenen Daten
- Eigenen Kundendaten
- Daten, welche der Kunde mittels Webshop generieren kann
- Dokumentation der Datenflüsse, eigene und für den Kunden leicht verständlich
- Dokumentation der Möglichkeiten der Anonymisierung/ Pseudonymisierung
- Dokumentation Datenvermeidung
- Dokumentation von der Umsetzung dieser Prozesse, "Privacy by Design",
- Datenvermeidung bei der Grundinstallation "Privacy by Default"
- Dokumentation des jeweiligen berechtigten Interesses für die einzelne Datenverarbeitung (Vertragserfüllung/Lieferung von Ware)
- Dokumentation eines möglichen Transfers von Daten in ein Drittland
- Dokumentation der beabsichtigten Speicherdauer mit Revision, Vorgabe aus Gesetz
- Dokumentation des Zwecks der Datenspeicherung und dessen Änderung
- Dokumentation muss transparent und leicht verständlich sein
- Dokumentation der Folgenabschätzung eines Verstoßes
- Bei hohem Risiko für Betroffenen Meldepflicht
- Schwerpunkt Projektmanagement und Organisation für den Bereich Legal (Projektverantwortung)
- Schnittstellenschwerpunkte / Koordination zwischen Legal, DSB, Fachbereiche und IT
- Durchführung strukturierte Analyse, Bestandsaufnahme (Vorstudie)
- Begleitung und Monitoring der Umsetzung
- Etablierung von Datenschutz Strukturen & Prozessen (PDCA-Zyklus)
- Schnittstelle zu IT-Compliance-Management-System
- Schnittstelle zu Compliance / Risc Managament
- Installation eines Datensicherheitssystems (Was ist zu tun bei Datenverlust, Merkblatt Mitarbeiter etc.)
- Einführung von TOMs (Technische und organisatorische Maßnahmen)
- Inhaltliche Überprüfung und Freigabe der Compliance
- Beachtung der Meldepflicht bei einem Verstoß (innerhalb von 72 Stunden)
- Aufbereitung der Daten, dass im Falle einer Auskunft des Betroffenen diese innerhalb von 24 h vollständig beantwortet werden kann
- Beachtung des Rechts auf Datenmigration in einen strukturierten, üblichen Format (z.B. ascii)
- Möglichkeit der Sperrung, Berichtigung, Widerspruch des Betroffenen
- Recht auf Vergessen werden