Themen Unternehmensberatung

Brennpunkt Datenschutz: Sind Sie DSGVO-ready?

Ihre fünf Aufgaben zur Einhaltung der EU-Datenschutzgrundverordnung (EU-DSGVO) bis zum 25.05.2018

In wenigen Tagen ist die EU-DSGVO verbindlich anzuwenden. Es kann davon ausgegangen werden, dass die Aufsichtsbehörde in den Startlöchern steht und einige Anwaltskanzleien gezielt Schwächen ausnutzen werden. In Gesprächen wird klar, dass in vielen, insbesondere mittelständischen, Unternehmen die Anforderungen aus der Verordnung und dem neuen Bundesdatenschutzgesetz noch nicht umgesetzt wurden. Was ist nun zu tun? Wir haben einen Fünf-Punkte-Plan entwickelt, der Ihnen weiterhelfen kann.

1. Prüfen Sie Ihre Verträge

Haben Sie mit all Ihren externen Dienstleistern Verträge abgeschlossen? Wenn ja, sind darin datenschutzrechtliche Vereinbarungen enthalten? Der Gesetzgeber gibt konkrete Vorgaben für sog. Auftragsverarbeiter. Diese sind in einer Vereinbarung zur Auftragsverarbeitung zu regeln. Diesbezüglich wird die DSGVO durch den § 62 BSDG n. F. konkretisiert. So müssen Sie z. B. die Weisungsgebundenheit des Auftragsverarbeiters schriftlich regeln. Auch eine Subdienstleisterklausel muss Bestandteil einer solchen Vereinbarung sein. Genauso sind die Rechte der Betroffenen auch vom Auftragsverarbeiter sicherzustellen. Ebenfalls ist eine Regelung zur Rückgabe und Löschung personenbezogener Daten zu treffen. Betroffene haben nach der DSGVO ein Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und ein Recht auf Vergessenwerden.

2. Etablieren Sie Prozesse

Ein wesentlicher Prozess beinhaltet die Einwilligung und den Widerruf. Die Einwilligung des Betroffenen zur Erlaubnis der Verarbeitung personenbezogener Daten muss explizit in Schriftform oder per E-Mail erfolgen. Im Online-Geschäft kann nur ein Double-Opt-in die Anforderungen der Authentizität erfüllen. Dabei ist zu beachten, dass der Widerruf (Opt-out) genauso einfach erfolgen kann wie die Einwilligung selbst.

Das Recht des Betroffenen, jederzeit Auskunft über seine Daten sowie einen Auszug seiner Daten in maschinenlesbarer Weise zu erhalten, bedarf der Etablierung eines standardisierten Prozesses.

Ebenso sind die Einführung eines geeigneten Prozesses zur Meldung von Datenpannen sowie ein Löschkonzept notwendig. Nach Widerruf oder allgemein Wegfall der Zweckbestimmung sind personenbezogene Daten zu löschen, es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht.

3. Erstellen Sie eine Dokumentation

Nach Art. 5 DSGVO haben Sie eine Rechenschaftspflicht. Dieser können Sie nur nachkommen, wenn Sie ein Datenschutzmanagementsystem dokumentiert haben. Darüber hinaus sind Sie verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten, die personenbezogene Daten betreffen, zu erstellen. Achten Sie auch darauf, dass Sie nach Art. 13 DSGVO Ihre Geschäftspartner informieren und eine aktuelle Datenschutzerklärung bereithalten. Diese muss ebenfalls im Online- Business jederzeit abrufbar sein. Als neue Anforderung ist eine Datenschutzfolgeabschätzung durchzuführen. Sie soll analog zu einem Risikomanagementsystem potenzielle Risiken mit dem Umgang personenbezogener Daten aufzeigen und eine Risikoabschätzung enthalten.

4. Stellen Sie die technischen und organisatorischen Maßnahmen (TOMs) sicher

Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik erforderliche technische und organisatorische Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Einzelne TOMs sind in § 64 Abs. 3 BDSG n. F. aufgeführt.

5. Bestellen und melden Sie einen Datenschutzbeauftragten

Gemäß der DSGVO haben Sie nicht nur einen Datenschutzbeauftragen zu bestellen, sondern der Aufsichtsbehörde auch zu melden. Eine unterlassene Meldung würde zu einer ersten Auffälligkeit führen, die zu einer behördlichen Datenschutzprüfung führen könnte.

Ihr Ansprechpartner

Jonas Tritschler

E-Mail: Jonas.Tritschler@falk-itcs.de


Matthias Schmitt

E-Mail: Matthias.Schmitt@falk-itc.de


This website uses cookies for analytics purposes and to ensure you get the best experience on our website. Learn more by visiting our privacy policy.