Neuerungen und Massnahmenplan zur Umsetzung der Datenschutzgrundverordnung
Bedeutung
Die Datenschutzgrundverordnung ist ab dem 25. Mai 2018 unmittelbar in den Mitgliedstaaten der EU anwendbar.
Die Datenschutzgrundverordnung löst das bis dahin geltende Bundesdatenschutzgesetz (BDSG) ab.
Gleichzeitig sieht das deutsche Datenschutzanpassungs-und Umsetzungsgesetz-EU (DSAnpUG-EU) eine ergänzende Neufassung des nationalen Rechts vor, soweit in der Datenschutzgrundverordnung Spielraum für nationale Regelungen bestehen (BDSG-neu).
Alle Verfahren, mit denen personenbezogene Daten verarbeitet werden, sind dahingehend zu überprüfen, ob es einen Anpassungsbedarf im Hinblick auf die Datenschutzgrundverordnung gibt. Dies betrifft insbesondere die rechtlichen, die technischen und organisatorischen Bereiche in Ihrem Unternehmen.
Wir wollen Ihnen helfen, Ihre Datenschutzkonzeption anhand eines Soll-Ist-Abgleichs zu aktualisieren. Dabei soll die Kernaufgabe sein, herauszufinden, welche Prozesse in Ihrem Unternehmen gegebenenfalls anzupassen sind.
Bestandsaufnahme
Um ein genaues Verständnis davon zu bekommen, wie in Ihrem Unternehmen mit personenbezogenen Daten umgegangen wird, sollte eine Analyse der aktuell realisierten Rahmenbedingungen einer Datenverarbeitungen stattfinden- die Ermittlung des sogenannten Ist- Zustandes.
Das betrifft:
- die derzeitigen Prozesse in Ihrem Unternehmen, in denen personenbezogene Daten verarbeitet werden,
- die dazugehörenden Rechtsgrundlagen,
- die Datenschutzorganisation, also alle Vorkehrungen und Maßnahmen, die in Ihrem Unternehmen zum Schutz personenbezogener Daten getroffen werden,
- Ihre Dienstleistungsbeziehung, wie zum Beispiel Verträge über eine Auftragsdatenverarbeitung,
- die vorhandene Dokumentation der Verarbeitungsvorgänge,
- etwaige Betriebsvereinbarungen.
Handlungsbedarf eruieren
Nunmehr ist der Soll-Zustand zu ermitteln und im Anschluss daran eine Lückenanalyse zwischen dem jetzigen Ist-Zustand und dem künftigen Soll-Zustand durchzuführen.
Dabei sind folgende Punkte, die sich aufgrund der Datenschutzgrundverordnung geändert haben zu beachten:
- Rechtsgrundlagen:
Eine Legitimationsgrundlage für die Verarbeitung personenbezogener Daten ist zwingend erforderlich. Es ist also zu überprüfen, ob auch nach der Datenschutzgrundverordnung für alle Prozesse der Datenverarbeitung eine Rechtsgrundlage vorliegt. Sofern als Rechtsgrundlage hier lediglich eine Einwilligung des Betroffenen in Betracht kommt, ist zu prüfen, ob die neuen Anforderungen an eine wirksame Einwilligung vorliegen.
- Betroffenenrechte:
Die Betroffenenrechte sind mit der Datenschutzgrundverordnung erweitert worden. So sind die Informationspflichten erweitert. Neu ist insbesondere auch das Recht auf Datenübertragung und die Erweiterung der Auskunftsansprüche, sowie das Recht auf Berichtigung und das Recht auf Löschung.
- Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen:
Die Datenschutzgrundverordnung bestimmt spezifische Rahmenbedingungen für die Art und Weise, wie die Anforderungen der Datenschutzgrundverordnung schon bei der Prozessgestaltung und bei den Voreinstellungen umzusetzen sind (Stichwort Data Protection by Design/ Data Protection by Default).
- Dienstleistungsbeziehungen:
Insbesondere bestehende Verträge zur Auftragsdatenverarbeitung müssen auf Aktualität überprüft werden.
- Dokumentationspflichten:
Durch die Datenschutzgrundverordnung wird der Verantwortliche zum Nachweis verpflichtet, dass personenbezogene Daten rechtmäßig verarbeitet werden. Die Datenschutzgrundverordnung sieht an unterschiedlichen Stellen Dokumentationspflichten vor.
- Datenschutz-Folgenabschätzung:
Die aus dem Bundesdatenschutzgesetz bekannte Vorabkontrolle wird durch die Datenschutzfolgenabschätzung abgelöst und erfordert eine umfangreiche Dokumentation. Die Datenschutz-Folgenabschätzung kann zudem eine Konsultation der Aufsichtsbehörden nach sich ziehen (siehe Näheres unter Merkblatt Datenschutz-Folgenabschätzung).
- Meldepflichten:
Der Verantwortliche muss die Kontaktdaten seines Datenschutzbeauftragten der zuständigen Aufsichtsbehörde melden.
Daneben ist innerhalb von 72 Stunden die Verletzung des Schutzes personenbezogener Daten zu melden.
UNSERE HILFESTELLUNG
Die von uns entworfenen Vorlagen für eine Dokumentation der Verarbeitungsvorgänge ermöglichen Ihnen, sich mit den einzelnen Verarbeitungsvorgängen in Ihrem Unternehmen konkret zu befassen.
Dadurch können Sie die näher beschriebene Analyse des Ist-Zustandes durchführen.
Durch die Muster-Antworten, also durch unsere Vorschläge zum Ausfüllen der jeweiligen Zeilen und Spalten, können Sie Ihren Handlungsbedarf eruieren.
Sofern Sie eklatante Abweichungen zu unseren Mustervorschlägen finden, können Sie Ihre zu Grunde liegende Prozesse entsprechend anpassen oder aber sich hinsichtlich Ihres abweichenden Vorgangs individuell beraten lassen, ob hier die Vorgaben der Datenschutzgrundverordnung erfüllt sind, oder Änderung-Handlungsbedarf besteht.