Die Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und stellt jedes Unternehmen vor große Herausforderungen. Man sollte bereits heute den Status der schon etablierten Maßnahmen und Prozesse kennen und kritische Themen zeitnah angehen. Dazu gilt es, folgende fünf Themen als Einstieg zu adressieren. Diese Aufstellung hilft im ersten Schritt, die Basis zu setzen, um im zweiten Schritt die DSGVO nachhaltig und vollständig zu erfüllen.
Betrachtet man die wesentlichen durch die DSGVO vorgegebenen Datenschutzprozesse (datenschutzkonforme Verarbeitung, Sicherstellung der Betroffenenrechte, Handhabung von Datenschutzverletzungen), so stellt man im Dialog mit Unternehmen fest, dass der erste Prozess noch weitgehend gut adressiert wird, die Themen Betroffenenrechte und Datenschutzverletzungen jedoch viele vor wirklich große prozessuale und technische Herausforderungen stellen. Darüber hinaus sucht man oft vergeblich nach einer Datenschutzleitlinie oder einem Verarbeitungsverzeichnis (zu Zeiten des Bundesdatenschutzgesetzes war dies das Verfahrensverzeichnis). Welches Unternehmen ist heute beispielsweise darauf vorbereitet, das Recht eines Betroffenen auf Zugriff oder Datenübertragbarkeit sicherzustellen?
- Datenschutzbeauftragter
Als Erstes ist die Bestellung eines internen oder externen Datenschutzbeauftragten notwendig, diese ist nach Artikel 37 der DSGVO aufgrund diverser dort festgelegter Kriterien für die meisten Unternehmen verpflichtend. Das Grundhandwerkszeug des Datenschutzbeauftragten besteht, neben vielen anderen Dingen, aus dem Verfahrensverzeichnis (zukünftig Verarbeitungsverzeichnis genannt) sowie der regelmäßigen Durchführung aller notwendigen Mitarbeiterschulungen und Vorabkontrollen, deren Ergebnisse in einen regelmäßig zu erstellenden Datenschutzbericht einfließen. Basis für seine Arbeit ist die Datenschutzleitlinie.
- Einwilligungserklärung
Alle Mitarbeiter des Unternehmens müssen eine Verpflichtungserklärung (DSGVO Artikel 32) unterschrieben haben; für die Speicherung und weitere Verarbeitung personenbezogener Daten sollte grundsätzlich eine Einwilligungserklärung (DSGVO Artikel 7) eines jeden Betroffenen vorliegen.
- Vertrag zur Auftragsdatenverarbeitung
Werden Systeme mit personenbezogenen Daten außerhalb des eigenen Hauses betrieben, muss dies mit einem Vertrag zur Auftragsdatenverarbeitung (DSGVO Artikel 28) unterlegt werden. Liegen derartige Verträge nicht vor, sollten diese umgehend geschlossen werden. Bestehende Verträge wären zu überprüfen.
- Zutritte, Zugänge und Zugriffe
Technisch muss es klar dokumentierte und angewandte Verfahren zu den Themen Zutrittskontrolle, Zugangskontrolle und Zugriffskontrolle (DSGVO Artikel 32) geben. Besonders wichtig hierbei ist die lückenlose Protokollierung aller Zutritte, Zugänge und Zugriffe.
- Rechte aller Betroffenen
Man sollte im Hinblick auf die zukünftig deutlich detaillierter festgelegten Rechte der Betroffenen (DSGVO Artikel 13 ff.), zum Beispiel das Recht auf Löschung und das Recht auf Vergessenwerden, die vorhandenen Systeme und Prozesse dahin gehend prüfen, wie derartige Anforderungen umsetzbar sind.
Die zukünftig geltende Pflicht, Datenschutzverletzungen innerhalb von 72 Stunden zu melden, wird ebenfalls große Herausforderungen an die bestehende System- und Prozesswelt stellen.
Fangen Sie jetzt mit diesen fünf Hausaufgaben an, um auf den 25. Mai 2018 vorbereitet zu sein! Sind diese erledigt, gibt es eine Fülle weiterer Anforderungen, Maßnahmen und Prozesse, die bis zur vollständigen Adressierung der DSGVO umzusetzen oder einzuführen sind. Die Umsetzung dieser fünf Themen hilft, dem Thema DSGVO den Schrecken zu nehmen.
Log in and join the discussion