Magdeburg (vs) l Besonders Unternehmen und die Wirtschaft sind von der neuen Verordnung betroffen. Durch das neue Gesetz werden Regelungen zum Umgang mit personenbezogenen Daten drastisch verschärft.

Worum geht’s es bei der Datenschutzgrundverordnung?
Im Wege der Digitalisierung werden Daten zunehmend zu einem wichtigen Gut der Wirtschaft. Dabei geht es nicht nur um Online-Handel oder autonomes Fahren von Kraftfahrzeugen, sondern auch um gezieltes Setzen von Werbung im Internet – und nicht zuletzt um Kunden- und Beschäftigtendatenschutz in jedem Unternehmen. Diesen Hintergrund verfolgten Datenschützer seit geraumer Zeit. Seit dem 25.05.2016 gilt die DSGVO, ab dem 25.05.2018 ist sie zwingend umzusetzen. Damit werden die Anforderungen an den Datenschutz enorm erhöht.

Auch wenn Datenschutz bereits seit vielen Jahren Bestandteil unseres Rechtssystems ist, rüttelt die DSGVO erst nach und nach alle Betroffenen wach. So gaben im Rahmen einer am 19.09.2017 veröffentlichten, repräsentativen Befragung des Digitalverbandes Bitkom 33 Prozent von rund 500 befragten Unternehmen an, sich noch gar nicht mit den Vorgaben der Verordnung beschäftigt zu haben. Und sogar nur 47 Prozent der befragten Unternehmen hatten bis zum Zeitpunkt der Befragung lediglich höchstens 10 Prozent aller notwendigen Arbeiten erledigt.

Welche Folgen für mein Unternehmen haben die Neuerungen?
Schwierigkeiten bestehen dabei vordergründig bei den kleinen und mittleren Unternehmen (KMU). Laut einer aktuellen Forsa-Umfrage haben 36 Prozent der KMU von den neuen Regeln noch nicht einmal etwas gehört. Der Kleinunternehmer, der bereits täglich mit unzähligen Rechtsnormen und bürokratischen Hürden kämpft, sieht sich nunmehr weiteren Anforderungen ausgesetzt, die er mangels Personal und Kosten kaum umzusetzen vermag. Damit einher geht die Sorge, von Kontrollen durch die Aufsichtsbehörde bzw. von enorm hohen Bußgeldern betroffen zu sein, sofern er den Anforderungen nicht oder nur mangelhaft gerecht wird.

Grundsätzlich ist in vielen Unternehmen kaum ausreichend qualifiziertes Personal vorhanden. 56 Prozent der Unternehmen haben für den Datenschutz weniger als eine Vollzeitstelle eingeplant. Dies ergab eine weitere, ebenfalls vom Digitalverband Bitkom beauftragte repräsentative Befragung. Jedoch erfordert die Umsetzung der neuen Regularien viel Zeit, da z. B. nahezu jedes Unternehmen ein Verzeichnis über die Verarbeitungstätigkeiten erstellen muss, welches das derzeitige „Verarbeitungsverzeichnis“ ablöst. Viele Unternehmen haben ein solches Verzeichnis bisher gar nicht geführt, obwohl es bereits nach der aktuellen Rechtslage Pflicht ist. Zudem beginnt nach der Analyse der datenschutzrechtlichen Prozesse die Anpassung von Verträgen. Viel Zeitaufwand beanspruchen die Schaffung, Erhebung und Dokumentation der technischen und organisatorischen Maßnahmen.

Brauche ich in meinem Unternehmen einen Datenschutzbeauftragten?
Jedes Unternehmen sollte sich zunächst die Frage stellen, ob es einen Datenschutzbeauftragten braucht. Gemäß § 38 Absatz 1 des neuen Bundesdatenschutzgesetzes (kurz: BDSG neu) benennen Unternehmen ein/-e Datenschutzbeauftragte/-n, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Weiterhin muss z. B . ein Datenschutzbeauftragter unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen benannt werden, wenn das Unternehmen Verarbeitungen vornimmt, die einer sog. Datenschutz-Folgenabschätzung unterliegen oder wenn es personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, verarbeitet. Der Datenschutzbeauftragte ist ab dem 25.05.2018 dem Landesbeauftragten für den Datenschutz in Sachsen-Anhalt zu melden.

Muss ich eine Datenschutz-Folgenabschätzung veranlassen?
Diese ist durchzuführen, wenn ein Unternehmen Verarbeitungen vornimmt, die voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten von Betroffenen einhergeht. Insoweit werden von den Aufsichtsbehörden Listen veröffentlicht, aus denen erkennbar ist, wann eine solche Datenschutz-Folgenabschätzung vorzunehmen ist.

Was versteht man unter dem Verzeichnis über die Verarbeitungstätigkeiten?
Es ist erforderlich, das bereits bestehende Verarbeitungsverzeichnis zu überprüfen und anzupassen. Dieses Verzeichnis dient dem Nachweis, dass die Verarbeitung der personenbezogenen Daten im Unternehmen der DSGVO entspricht. Darin anzugeben sind einige Angaben zum Unternehmen selbst, die Zwecke der Verarbeitung, die Kategorien verarbeiteten Daten und deren Empfänger. Schließlich sind die sog. technischen und organisatorischen Maßnahmen zu analysieren und dokumentieren. Einen Vordruck mit Erläuterungen finden Unternehmen auf der Homepage des Landesbeauftragten für den Datenschutz in Sachsen-Anhalt.

Brauche ich überhaupt ein Datenschutzmanagementsystem?
Die DSGVO zielt mit ihren Anforderungen auf ein Datenschutzmanagementsystem ab. Langfristig gesehen ist es sinnvoll, Datenschutz und Informationssicherheit sowie Qualitätsmanagement zu verknüpfen, da diese drei Bereiche ineinandergreifen.

Welche technischen und organisatorischen Maßnahmen müssen ergriffen werden?
Technische und organisatorische Maßnahmen sind wesentliches Element, um einen Datenschutzstandard zu gewährleisten. Diese sind z. B. Schutz vor unbefugtem Zutritt zum Unternehmensgebäude oder –gelände, passwortgeschützte IT-Systeme, die Vergabe von Berechtigungen (Personalakten kann nur die Personalabteilung einsehen), Firewalls, abgeschlossene Serverräume, das Durchführen von Backups, die datenschutzgerechte Vernichtung von Akten oder beispielsweise neuerdings ein Prozess zur Meldung von Datenschutzvorfällen im Unternehmen oder aber bei Auftragsverarbeitern.

Müssen Verträge angepasst werden?
Bestehende Verträge, die die Auftragsdatenverarbeitung beinhalten, sollten auf Anpassungsbedarf überprüft werden. So sollte z. B. geregelt werden, wie bei Datenschutzverstößen zu verfahren ist und welche technischen und organisatorischen Maßnahmen der Vertragspartner erfüllen sollte, damit die neuen Regelungen eingehalten werden. Muster finden sich u. a. auf der Homepage der Gesellschaft für Datenschutz und Datensicherheit e. V.

Welche Informationspflichten habe ich?
Nach den Neuerungen haben Unternehmen nunmehr eine Reihe von neuen Informationspflichten zu erfüllen. So müssen zum Zeitpunkt der Erhebung der Daten u. a. mitgeteilt werden: Name und Kontaktdaten des Verantwortlichen, ggf. Kontaktdaten des Datenschutzbeauftragten, die Grundlage der Verarbeitung sowie deren Zweck, die Kategorien von Empfänger, Drittlandübermittlungen, etliche Rechte des Betroffenen, die Dauer der Speicherung der Daten etc. Dies stellt die Unternehmen allerdings vor bürokratische Hürden hinsichtlich der Umsetzung.