chevron_left zurück

EU-DSGVO: Es drängt die Zeit!

In ca. 16 Monaten wird das Bundesdatenschutzgesetz durch  die EU-Datenschutz-Grundverordnung abgelöst.

Ab dem 25.05.2018 gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO) als vorrangiges Recht und verdrängt unmittelbar das Bundesdatenschutzgesetz (BDSG). Die neuen Anforderungen gehen hier weit über die Vorgaben des BDSG hinaus, es müssen zahlreiche neue Prozesse in Unternehmen implementiert werden. Daher ist es ratsam, ein entsprechendes „Anpassungs“-Projekt frühzeitig anzugehen.

Die verschärften Sanktionen sehen unter anderem Bußgeld bis 20 Millionen Euro vor sowie abhängig vom Verstoß auch eine Gewinnabschöpfung bis zu 4 % vom unternehmensweiten Jahresumsatz. Die EU-DSGVO ist mit Ihren Erwägungsgründen und den nachfolgenden Artikeln sehr umfangreich und kann an dieser Stelle nur sehr oberflächlich skizziert werden. Es können daher nur Anregungen zum Umsetzen eines solchen Projekts an die Hand gegeben werden.

So haben Unternehmen ein entsprechendes Datenschutzmanagementsystem (DMS) einzuführen, welches sich an den Risiken der verarbeiteten Daten orientiert. Nach der erfolgten Risikoanalyse bedarf es einer detaillierten Bestimmung der Ziele für das Design der Datenschutzprozesse und der Festschreibung eines Maßnahmenkatalogs für die Umsetzung. Der Umfang nachteiliger Folgen ist ebenso zu beschreiben wie die Möglichkeiten für die Risikovermeidung, Rechnung zu tragen ist zum Beispiel den Anforderungen an Datenübertragbarkeit, Reaktionsmechanismen auf Datenverletzung, Informationspflichten bei der Datenerhebung und das umfassendere Auskunftsrecht der Betroffenen. Ebenso sind Konzepte zur Löschung von Daten zu etablieren und allem voran sind Verarbeitungsverzeichnisse zu erstellen.

Für das Projekt sollte zusammen mit dem Datenschutzbeauftragten ein Projektteam aus IT, Personal, Recht, Revision und Compliance die Implementierung der Abläufe steuern, damit durch datenschutzfreundliche Voreinstellungen der Grundsatz „Privacy by Design and by Default“ (Datenschutz durch Technik) sichergestellt wird.

Die Umsetzung all dieser skizzierten Anforderungen ist komplex und benötigt Zeit. Unternehmen sollten sich frühzeitig mit den Themenkomplexen auseinandersetzen und nicht aus den Augen verlieren, dass das Projekt durchaus IT-Ressourcen bindet.

Thomas Heimhalt, Datenschutzbeauftragter und Berater für Datenschutz und Datensicherheit, DATENSCHUTZ perfect GbR, Karlsruhe

 

Bildquelle: artjazz/shutterstock.com