Datenschutzgrundverordnung:
DSGVO: So sind Sie auf der sicheren Seite
Alles wird neu mit der europaweiten Neuregelung des Datenschutzes durch die Datenschutzgrundverordnung (DSGVO)? Nicht ganz: Rechtsanwalt Stefan Schicker bringt für W&V die 5 relevanten Dinge auf den Punkt.
Foto: SKW Schwarz
Stefan Schicker von SKW Schwarz Rechtsanwälte erklärt fünf Schritte, um die DSGVO umzusetzen.
Alles wird neu mit der europaweiten Neuregelung des Datenschutzes durch die Datenschutzgrundverordnung (DSGVO). Dabei bleiben gefühlt ca. 85 Prozent der deutschen Regelungen nun in der EU-Verordnung erhalten.
Dennoch müssen auch hier viele Anpassungen, Überarbeitungen und Ergänzungen vorgenommen werden. Dies ist in der Praxis vor allem mit viel Arbeit verbunden. Doch die Zeit läuft – Stichtag ist der 25. Mai 2018.
1. Nur Vorgänge mit personenbezogenen Daten sind betroffen
Wichtig ist vorab klar abzugrenzen: nur Vorgänge mit personenbezogenen Daten sind relevant. Dies ist immer dann der Fall, wenn sich aus den einzelnen Daten eine natürliche Person (nicht ein Unternehmen) bestimmen lässt. Andere Vorgänge (also z.B. reine Maschine-zu-Maschine Kommunikation) sind nicht betroffen.
2. Schalten Sie eine Datenschutzbeauftragten ein
Die Bearbeitung der Datenschutzthemen kosten viel Zeit und es ist eine ausreichende Fachkompetenz erforderlich. Als Datenschutzbeauftragter (DSB) kann sowohl ein Mitarbeiter bestellt werden, oder es kann ein externer DSB verpflichtet werden. Um jetzt Zeit zu sparen, kann es sich anbieten auf einen externen DSB zurückzugreifen.
3. Sie brauchen ein Verarbeitungs-Verzeichnis
Wichtig ist, zunächst alle Verarbeitungen personenbezogener Daten zusammenzustellen. Sprechen Sie daher mit den Verantwortlichen in allen Abteilungen und lassen Sie sich z.B. den wöchentlichen Ablauf erklären. Das Ergebnis sollte man in einer Tabelle zusammenstellen. Spalten sind z.B. Beschreibung der Verarbeitung, Verantwortlicher, verwendete Software, Betroffene, etc.
4. Regeln Sie Auftragsverarbeitungsverhältnisse und andere Dokumente
Wichtig ist weiterhin eine übersichtliche Zusammenstellung aller Auftragsverarbeitungsverhältnisse: Alle externen Zugriffe auf das IT System sind mittels Auftragsverarbeitungsverträgen zu regeln. Dies trifft zum Beispiel auf den Hoster der Website oder von E-Mail-Systemen ebenso zu wie gegebenenfalls auf den Steuerberater. Besondere Regelungen müssen getroffen werden, wenn die Übermittlung insbesondere das Nicht-EU Ausland erfolgt.
Weiterhin müssen viele Dokumente organisiert werden: Etwa Betroffenenrechte, Einwilligungserklärungen, Löschkonzept, technische und organisatorische Schutzmaßnahmen, Datenschutz-Folgenabschätzung, Umgang mit Datenschutzverletzungen etc. In der Praxis können hierfür Basisdokumente verwendet werden, die jedoch genau auf den jeweiligen Anwendungsfall zugeschnitten werden müssen – ein nicht zu unterschätzender zeitlicher Aufwand.
5. Schulen Sie Ihre Mitarbeiter
Schließlich ist es wichtig, die Mitarbeiter im Umgang mit personenbezogenen Daten zu schulen. Dabei soll bei den Mitarbeitern ein Grundverständnis geschaffen werden und darüber hinaus das Bewusstsein, dass man sich bei Fragen an einen Ansprechpartner wenden kann.
Die Umsetzung der DSGVO kostet Zeit und die Ressourcen müssen im Tagesablauf eingeplant werden - angesichts der knappen verbleibenden Zeit eine besondere Herausforderung. Wichtig ist es daher einen Umsetzungsplan zu entwerfen und zu verfolgen.
Eine ausführliche Anleitung gibt Rechtsanwalt Stefan Schicker im Rahmen des W&V Data Marketing Day am 17.04.2018 in München. Hier gibt's die Infos und Möglichkeiten zur Anmeldung.
Praxis-Check für Ihre Daten nötig? Hier geht's zum neuen W&V DSGVO-Report.
