Maßnahmeplan "DS-GVO" für Unternehmen

Die DS-GVO, die ab dem 25. Mai 2018 unmittelbar in den Mitgliedstaaten der EU anwendbar sein wird, wird weitreichende Auswirkungen auf nahezu alle Unternehmen in Europa haben.
Viele Unternehmen sind aber noch nicht auf die DS-GVO und deren Auswirkungen auf die Unterneh­mensprozesse vorbereitet. Daher haben die unabhängigen Datenschutzbehörden einige Tipps zur Erstellung eines Maßnahmenplans für Unternehmen zusammengestellt.

Alle Entschei­dungsträger in einem Unternehmen sollten sich der Auswirkungen der DS-GOV bewusst sein und wissen, was dies für den alltäglichen Betrieb in ihrem Unternehmen bedeutet. In einem ersten Schritt ist daher von den betrieblichen Datenschutz­be­auftragten und/​oder den IT-Verantwortlichen die Geschäftsleitung zu informieren.
Alle Verfahren, mit denen personenbezogene Daten verarbeitet werden, sind dahingehend zu prüfen, ob es einen Anpassungsbedarf im Hinblick auf die DS-GVO gibt.

Bestandsaufnahme
Um ein genaues Verständnis davon zu bekommen, wie in einem Unternehmen mit personen­bezogenen Daten umgegangen wird, sollten die aktuell realisierten Rahmenbe­dingungen aller Datenver­ar­beitungen analysiert werden (Ist-Zustand). Dies betrifft unter anderem die derzeitigen Prozesse im Unternehmen, in denen personenbezogene Daten verarbeitet werden, die dazugehörigen Rechtsgrundlagen, die Dienstleis­tungs­be­ziehungen, die Dokumentation und sofern vorhanden Betriebs­ver­einbarungen.

Handlungsbedarf eruieren
Nunmehr ist der Soll-Zustand zu ermitteln und im Anschluss daran eine Lückenanalyse zwischen dem jetzigen Ist-Zustand und dem künftigen Soll-Zustand durchzuführen. Dabei sind unter anderem folgende Punkte vor dem Hintergrund der DS-GVO zu berücksichtigen:

  • Rechtsgrundlagen
    Es ist zu prüfen, ob das neue Recht für alle Prozesse eine Rechtsgrundlage bereitstellt.
  • Betroffe­nenrechte
    Den Betroffenen stehen umfangreiche Rechte zu, die der Verantwortliche zu beachten hat, wie zum Beispiel das Auskunftsrecht oder das Recht auf Berichtigung.
  • Datenschutz durch Technikgestaltung und durch datenschutz­freundliche Voreinstellungen
    Die DS-GVO enthält spezifische Rahmenbe­dingungen für die Art und Weise, wie die Anforderungen der DS-GVO schon bei der Prozessgestaltung und bei den Voreinstellungen umzusetzen sind.
  • Dienstleis­tungs­be­ziehungen
    Dabei sollten insbesondere die bestehenden Verträge zur Auftrags­ver­arbeitung überprüft werden.
  • Dokumenta­ti­ons­pflichten
    Die DS-GVO verpflichtet den Verantwortlichen zum Nachweis, dass personenbezogene Daten rechtmäßig verarbeitet werden. Zusätzlich sieht die DS-GVO an unterschiedlichen Stellen Dokumenta­ti­ons­pflichten vor.
  • Datenschutz-Folgenab­schätzung
    Die aus dem BDSG bekannte Vorabkontrolle wird durch die Datenschutz-Folgenab­schätzung abgelöst und erfordert eine umfangreiche Dokumentation. 
  • Meldepflichten
    Der Verantwortliche oder der Auftrags­verarbeiter muss die Kontaktdaten des Datenschutz­be­auftragten der zuständigen Aufsichtsbehörde melden. Ebenso ist die Verletzung des Schutzes personen­bezogener Daten zu melden.
  • Datensicherheit
    Unternehmen müssen ein angemessenes Schutzniveau in Bezug auf die Sicherheit der Verarbeitung gewährleisten und die dafür implementierten Sicherungs­maßnahmen einer regelmäßigen Überprüfung unterziehen.
  • Zertifizierung
    Schlussendlich besteht im Rahmen eines Zertifizie­rungs­verfahrens die Möglichkeit, den Nachweis zu erbringen, dass die Datenver­arbeitung im Einklang mit der DS-GVO erfolgt.

Umsetzung bis zum 25. Mai 2018
Bei der Umsetzung sind dann unter anderem folgende Punkte zu beachten:

  • Anpassung der betroffenen Prozesse und Strukturen, 
  • Festlegung der Rechtsgrundlagen und des Zwecks der Datenver­arbeitung sowie Dokumentation von Interessen­abwägungen,
  • Implementierung von Informati­ons­pflichten, Betroffe­nenrechten und Löschkonzepten,
  • Anpassung der Datenschutz­or­ganisation,
  • ggf. Bestellung eines Datenschutz­be­auftragten,
  • Reaktions­me­chanismen auf Datenpannen, 
  • Organisation von Meldepflichten, 
  • Anpassung der Dienstleis­tungs­be­ziehungen,
  • Aufbau der Dokumentation, 
  • Anpassung der IT-Sicherheit und
  • ggf. Anpassung der Betriebs­ver­einbarungen.

Quelle: Kurzpapiere der Datenschutz­konferenz