Neben den zahlreichen Chancen der fortschreitenden Digitalisierung ergeben sich auch Risiken für die dabei verarbeiteten personenbezogenen Daten. Um diesen gerecht zu werden, hat sich die EU-Kommission bereits seit Jahren mit der Entwicklung eines neuen EU-weit geltenden und weltweit wirkenden Datenschutzrechts befasst, um dann 2012 den ersten Entwurf dazu vorzulegen.
Die DSGVO wird am 25. Mai 2018 wirksam. Damit endet dann auch die zweijährige Übergangsfrist für Unternehmen und Behörden, ihre jeweilige Organisation auf das neue Datenschutzrecht umzustellen. Eine keinesfalls üppige Übergangszeit, insbesondere da es noch an Auslegungen des neuen Rechts fehlt.
Überblick wesentlicher Änderungen durch die DSGVO
Die wesentliche Neuerung ist die sogenannte Rechenschaftspflicht, die faktisch eine Art Beweislastumkehr im Datenschutzrecht verankert. Diese beinhaltet, dass jederzeit nachweisbar sein muss, dass personenbezogene Daten im Einklang mit den Vorgaben der DSGVO verarbeitet werden. Dazu sind umfassende Dokumentationspflichten zu erfüllen, und mindestens in komplexeren Organisationen ist die Erfüllung der Nachweispflicht nicht möglich, ohne ein Datenschutzmanagement einzurichten.
Zweite große Neuerung ist die erhebliche Ausweitung und Konkretisierung der Betroffenenrechte. Insbesondere die Informationspflichten wurden erweitert und stellen die Organisationen vor Herausforderungen.
Die Unternehmen sind unter Berücksichtigung eines risikobasierten Ansatzes zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen verpflichtet, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. Dazu gehört auch die Umsetzung von „Privacy by Design“ und „Privacy by Default“.
Die DSGVO führt den Datenschutzbeauftragten (DSB) zukünftig EU-weit ein. Allerdings ist er nur für bestimmte Unternehmen Pflicht. In Deutschland bleibt es bei der verpflichtenden Benennung ab einer Anzahl von zehn Personen, die personenbezogene Daten verarbeiten, sowie weiteren Voraussetzungen, die unabhängig von der Personenzahl sind.
Wichtiger Treiber des neuen Datenschutzrechts ist die Gestaltung der Bußgelder sowie die erhebliche Erweiterung der Anzahl der Bußgeldtatbestände. Diese können bis zu vier Prozent des Vorjahresumsatzes eines Unternehmens beziehungsweise einer Unternehmensgruppe betragen (oder 20 Millionen Euro, je nach Anwendungsfall) und erinnern damit an das Kartellrecht.
Da Auftragsverarbeiter zukünftig direkte Adressaten der DSGVO sind und eigenen Verpflichtungen unterliegen, sollten Unternehmen in der Rolle des Auftragsverarbeiters ebenfalls die Prüfung der diesbezüglichen Anforderungen und deren Umsetzung einplanen. Damit ist nur ein kleiner, aber wesentlicher Auszug der Neuerungen der DSGVO beschrieben. Spannend ist aber die Frage:
Wie sich Unternehmen vorbereiten sollten
Grundvoraussetzung ist ein Umstellungsprojekt, das aufgrund der knappen Zeit direkt durch die Geschäftsleitung gesponsert werden sollte. Der Projektleiter sollte dieser direkt unterstehen. Das Projektteam sollte mindestens aus dem CISO und fachkompetenten Ansprechpartnern aus den für die wesentlichen Datenverarbeitungen zuständigen Bereichen bestehen. Der Datenschutzbeauftragte hat im Projekt eine beratende und prüfende Rolle.
Das Projektteam sollte sich zunächst einen Überblick darüber verschaffen, wie groß die Lücke zwischen den neuen Anforderungen und dem Stand im Unternehmen ist (GAP-Analyse), und entsprechende Umsetzungsmaßnahmen priorisiert festlegen.
Umsetzungsmaßnahmen
- Datenschutzgrundsätze der DSGVO in das interne Regelwerk integrieren. Richtlinien und Prozesse definieren, die allen Mitarbeitern durch Schulungen bekannt sind.
- Dokumentation überprüfen und anpassen (Verzeichnis der Verarbeitungstätigkeiten). Dabei ist das Risiko (bezogen auf die betroffenen Personen) jeder Datenverarbeitung zu ermitteln und zu dokumentieren. Bei hohen Risiken ist eine Datenschutzfolgenabschätzung durchzuführen.
- Verträge mit Dienstleistern überprüfen und anpassen. Keine Auftragsverarbeitung ohne den entsprechenden Vertrag.
- Betroffenenrechte und Informationspflichten gewährleisten und entsprechende Prozesse installieren.
- Meldepflichten im Unternehmen installieren und Prozesse einrichten, die die jeweilige Meldung fristgerecht ermöglichen.
Für viele Unternehmen wird die Umstellung mit dem 25. Mai 2018 nicht abgeschlossen sein. Unternehmen sollten aber einen guten Überblick besitzen, was alles zu tun ist, und die Umsetzung der wichtigsten Maßnahmen eingeleitet haben.