Unsere Partner
Ist Ihr Unternehmen bereits ­datenschutzkonform? Mittwoch, 07 Februar 2018 09:41 Foto: Jörg Scheibe

Ist Ihr Unternehmen bereits ­datenschutzkonform?

Wie die IHK Braunschweig bereits berichtete, wird die Datenschutz-Grundverordnung (DS-GVO) ab dem 25. Mai die bisherige EG-Datenschutzrichtlinie (DS-RL) und die nationalen Vorschriften wie das BDSG in weiten Teilen ablösen beziehungsweise ersetzen. Gegenstand der Verordnung ist der Schutz personenbezogener Daten sowie der freie Verkehr dieser Daten in der Europäischen Union. Durch die DS-GVO soll der Datenschutz europaweit vereinheitlicht werden.

Unternehmen müssen handeln!
Die DS-GVO betrifft alle Unternehmen, unabhängig davon, ob ein betrieblicher Datenschutzbeauftragter zu bestellen ist. Für den Datenschutz verantwortlich ist die Geschäftsführung. Die Verletzung von Datenschutzpflichten zieht empfindliche Bußgelder nach sich: Bis zu 20 Millionen Euro oder 4 Prozent des welt­weiten Umsatzes können von den Aufsichts­behörden verhängt werden.

Wo besteht Handlungsbedarf?
Unternehmen sollten zunächst eine Bestandsaufnahme aller datenschutzrelevanter Verfahren und Dokumente durchführen. Als Grundlage hierfür bietet sich die Prüfung und Anpassung der bisherigen Verfahrensverzeichnisse nach BDSG an die neuen Vorgaben des sogenannten Verzeichnisses für Verarbeitungstätigkeiten an. In diesem Rahmen sollten die für die jeweilige Verarbeitung verwendeten Rechtsgrundlagen nach dem neuen Stand der DS-GVO überprüft werden.

Für jede einzelne Verarbeitungstätigkeit ist eine Risikobewertung vorzunehmen. Ergibt die Bewertung eines Prozesses ein erhöhtes Risiko, ist eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen. Bereits in der Anwendung befindliche Verfahren müssen keiner DSFA unterzogen werden, wenn eine Vorabkontrolle durchgeführt worden ist und das Verfahren nicht verändert wurde.

Einen weiteren Baustein bilden die Informationspflichten und die Sicherstellung der Betroffenenrechte. Alle datenschutzrelevanten Dokumente wie zum Beispiel Einwilligungen, Datenschutzerklärungen und bestehende Verträge zur Auftragsdatenverarbeitung sind an die neuen Regelungen der DS-GVO anzupassen. Bisherige Betriebs- oder Dienstvereinbarungen müssen ebenfalls auf ihre Übereinstimmung mit der DS-GVO überprüft werden.

In einer Datenschutzleitlinie können Unternehmen ihre Datenschutzziele festlegen und allgemeine Prozesse, wie beispielsweise mit Auskunfts- oder Löschanfragen von Betroffenen (Beschwerdemanagement) oder mit Datenschutzverletzungen umzugehen ist, etablieren. Ebenfalls festzulegen ist, wer im Unternehmen die Kommunikation mit der Aufsichtsbehörde übernimmt.

Kein Datenschutz ohne Informations­sicherheit
Auf technischer Seite muss die Wahrung der datenschutzrechtlichen Maßgaben durch den Einsatz entsprechender technischer und organisatorischer Maßnahmen sowie der Prinzipien »Privacy-by-Design« und »Privacy-by-Default« erfolgen.

Rechenschafts- und Dokumentationspflicht
Die DS-GVO sieht an zahlreichen Stellen Dokumentations- und Rechenschaftspflichten vor und stellt damit sehr hohe Anforderung an die Unternehmen. Diese tragen auch die Beweislast für die Rechtmäßigkeit einer Datenverarbeitung.

Datenschutz muss gelebt werden
Zur Gewährleistung funktionierender Datenschutzmechanismen ist es wichtig, kontinuierlich am Schutz personenbezogener Daten zu arbeiten. Datenschutzprozesse müssen regel­mäßig überprüft und angepasst werden. Das kann nur funktionieren, wenn die Geschäfts­leitung selbst einen hohen Wert auf die Einhaltung des Datenschutzrechts legt und dies auch von ihren Mitarbeitern einfordert.

Weitere Informationen zur DS-GVO sowie das vollständige Zehn-Punkte-­Papier der Aufsichtsbehörden finden Sie auf unserer Internetseite unter www.braunschweig.ihk.de.
Artikel-­ID 14710


Zehn-Punkte-Papier der Aufsichtsbehörden:
1. Sensibilisierung im Unternehmen durchführen
2. Bestandsaufnahme machen (Verzeichnis von Verarbeitungstätig­keiten)
3. Rechtsgrundlagen prüfen (gesetz­liche Regelung oder Einwilligung)
4. Personenbezogene Daten von ­Kindern besonders prüfen
5. Datenschutz durch Technikgestaltung und durch datenschutzfreund­lichere Voreinstellungen
6. Verträge checken
7. Datenschutzfolgeabschätzung implementieren
8. Melde- und Konsultationspflichten organisieren
9. Betroffenenrechte und Informationspflichten umsetzen
10. Dokumentation organisieren

Bild oben:

Ansprechpartnerin:
Olga Grasmik
Tel.: 0531 4715-272
E-Mail: olga.grasmik@braunschweig.ihk.de

geschrieben von  wo