Bei vielen Gelegenheiten erhalten Sie Informationen zu den anstehenden Anpassungsnotwendigkeiten hinsichtlich der EU-Datenschutzgrundverordnung (DSGVO). Auch in der Presse und in Verbandsmitteilungen wird das Thema immer präsenter.

Als externer Datenschutzbeauftragter in vielen, durchaus unterschiedlichen Unternehmen, arbeite ich seit geraumer Zeit daran, Projekte zur Umsetzung der Anforderungen der DSGVO zu installieren und zu begleiten.

Heute möchte ich Sie über mögliche Vorbereitungen und Umsetzungsplanungen für Ihr Unternehmen informieren.

Die Europäische Datenschutzgrundverordnung (DSGVO) fordert in Art. 5 Abs. 1 u. a., dass personenbezogene Daten unter Beachtung der Grundsätze von Treu und Glauben und nur für festgelegte, eindeutige und legitime Zwecke in einer für den Betroffenen nachvollziehbaren Weise verarbeitet werden. Der Umfang der Daten und deren personenbezogene Verarbeitung muss auf das erforderliche Maß eingeschränkt sein, die Integrität und die Vertraulichkeit der Daten muss gewährleitet sein. Für die Einhaltung dieser Grundsätze ist jedes Unternehmen selbst verantwortlich. Art. 5 Abs. 2 DSGVO verlangt darüber hinaus auch, dass die Einhaltung dieser Grundsätze nachgewiesen werden kann.

Neben dieser Verpflichtung, deren Nichtbeachtung gem. Art. 83 Abs. 5 DSGVO mit Bußgeldern bis zu 20 Mill. € bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes sanktioniert werden kann, enthält Art. 24 DSGVO noch konkretere Regelungen für technische und organisatorische Maßnahmen. Der Verantwortliche hat unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen (nicht das Risiko für das Unternehmen!) geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Neben der Sicherstellung der Umsetzung wird als weitere Forderung des Art. 24 Abs. 1 DSGVO auch der Nachweis der Wirksamkeit dieser Maßnahmen und Regelungen verlangt.

Für die Einführung und Umsetzung der Vorschriften der DSGVO empfehle ich folgenden Phasen:

  1. Erarbeitung und Konzeption der erforderlichen Regelungen und Maßnahmen zur Ausführung der Vorschriften der DSGVO
  2. Einführung der Regelungen und Maßnahmen im Unternehmen
  3. Kontrolle der Wirksamkeit und Funktionsfähigkeit der Maßnahmen und Bewertung des Erfüllungsgrads der Maßnahmenziele
  4. Erarbeitung von eventuell erforderlichen Korrekturen und Optimierungen der Maßnahmen zur Verbesserung der Zielerreichung.

 

Mit der Verabschiedung des Datenschutzanpassungsgesetzes (BDSG-neu) und dessen Verkündigung im Bundesgesetzblatt am 5. Juli 2017 sowie vielen Gesprächen und Diskussionen zu den Auslegungen in den Fachverbänden und nach ersten Äußerungen der Aufsichtsbehörden und der Datenschutzkonferenz der Länder, lagen nun auch alle Informationen vor, um die Arbeit an der Entwicklung einer eigenen Lösung zur Verwaltung von Datenschutzprozessen und zur Umsetzung der Dokumentationspflichten zum Abschluss zu bringen. Diese Lösung auf Grundlage von Access befindet sich nun in der finalen Testphase und ist auch schon verfügbar.
Sie finden diese unter www.datenschutz-tool.de

Die Umstellung für meine Kunden erfolgte schon im September 2017.

Ab diesem Zeitpunkt werden neue Verfahren und Datenschutzerklärungen auf Basis des neuen Rechts mithilfe des neuen Werkzeugs dokumentiert, soweit es dem bestehenden Recht nicht zuwiderläuft.

Nun ist es an der Zeit, wenn Sie noch nicht begonnen haben, die notwendigen Schritte für die Anpassung der Datenschutzprozesse an das neue Recht auch in Ihrem Unternehmen anzugehen.

Konkret bedeutet dies:

  • Die Einführung eines Datenschutzmanagements, um den Nachweisverpflichtungen nachzukommen. Hierzu sollten bestehende Datenschutzkonzepte teils erweitert und von der Übersicht der Technischen und Organisatorischen Maßnahmen abgekoppelt werden. Kern ist hierbei eine Datenschutzleitlinie, in welcher konkret die Verantwortlichkeiten als auch die Dokumentation von schriftlichen Richtlinien verbindlich festgelegt werden.

 

  • Die internen Datenschutzanweisungen und Richtlinien sollten angepasst und intern zentral veröffentlicht werdebn. Die vorhandenen Datenschutzanweisungen und Richtlinien sollten als Inhaltsverzeichnis/Übersicht bei Prüfungen zur Verfügung gestellt werden können, bspw. als Screenshot des Vorlagenordners (entsprechend der Angabe in der Datenschutzleitlinie).

 

  • Die Dokumentation der Sicherheit durch technische und organisatorische Maßnahmen ist auf die neuen Gewährleistungsziele auszurichten und zu dokumentieren.

 

  • Überführung des Verfahrensverzeichnisses in die neue Verarbeitungsübersicht nach Art. 30 DSGVO.

 

  • Datenschutzverträge sind anzupassen bzw. zu erweitern, wenn personenbezogene Daten im Auftrag verarbeitet werden oder es Kooperationsprojekte gibt.

 

  • Anpassung von Datenschutzerklärungen auf die neuen Informationspflichten und Überprüfung der vorhandenen Einwilligungserklärungen (insbesondere bei der Nutzung von E-Mailadressen). Einwilligungen sind zwingend zu dokumentieren und müssen nachgewiesen werden können.

 

  • Die Geschäftsführung sollte sich hinsichtlich Datenschutzfolgenabschätzung und Meldung von Datenschutzvorfällen informieren und Prozesse aufsetzen.

 

  • Durchführung der neu vorgeschriebenen Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde im Mai 2018.

 

Ziel sollte es sein, im 1. Quartal 2018 die Verfahren dokumentiert zu haben und ein Datenschutzmanagementsystem (schriftliche Leitlinie und schriftliche Richtlinien) in Kraft gesetzt zu haben, welches gelebt wird und nachgewiesen werden kann.

Ein (erneutes) Audit zur Dokumentation der Technischen und Organisatorischen Maßnahmen sollte vorbereitet und im 1. Quartal 2018 durchgeführt werden, um evtl. weitere erforderliche Maßnahmen festzulegen.

Zeitplan: 

Aufgabe Termin Verantwortlich / Ausführend
Auflistung der Verantwortlichen für die Verfahren mit personenbezogenen Daten (Verfahrensverantwortliche). September 2017 Geschäftsführung
Kontaktaufnahme mit den Verfahrensverantwortlichen zur Vervollständigung der Verfahrensdokumentationen durch diese. Oktober/(November) 2017 Datenschutzbeauftragter
Erstellung der Verfahrensdokumentationen aus den Rückmeldungen und Prüfung des Status des jeweiligen Verfahrens durch den Datenschutzbeauftragten. Anschließend Erstellung eines Maßnahmenplans hinsichtlich evtl. offener/kritischer Punkte in den Verfahrensdokumentationen. Datenschutzbeauftragter
Verfahrensverantwortliche
Festlegen und Umsetzen von Informationspflichten. Datenschutzbeauftragter
Fachverantwortliche
Anpassung und Inkraftsetzung der Datenschutzleitlinie und der Richtlinien. Januar 2018 Geschäftsführung
Datenschutzbericht zum Status der Umsetzung der DSGVO. Januar 2018 Datenschutzbeauftragter
Audit der Technischen und Organisatorischen Maßnahmen. Januar/(Februar) 2018 Datenschutzbeauftragter
Information der Geschäftsführung zur Durchführung der Datenschutzfolgenabschätzung und zu Informationspflichten. Besprechung des Audits und der noch notwendigen Maßnahmen bzw. offener Punkte. März 2018 Geschäftsführung

Datenschutzbeauftragter

Entspannt feststellen, dass das Datenschutzkonzept nachweisbar gelebt wird und sogar positive Synergien in den Prozessen erzeugt hat. Mai 2018 Alle
Aktuelle Entscheidungen der Aufsichtsbehörden und Gerichte zu den Auslegungen verfolgen und ggfls.. umsetzen lassen. Geschäftsführung

Datenschutzbeauftragter

 

Die Erfahrung zeigt, dass solche Projekte viele weiteren Fragen und Prozesse aufwerfen. Zeitlich sollte man sich, wenn man noch nicht begonnen hat, nun dich der Thematik stellen.
Aus meiner Erfahrung werden viele Punkte „die man immer schon mal machen wollte“ jetzt tatsächlich angegangen. Die Anforderungen der Datenschutzgrundverordnung bieten hier eine sehr gute Möglichkeit, sich diesen Aufgaben zu stellen und seine Datenverarbeitung um die notwendigen dokumentierten „Leitplanken“ (Leit- und Richtlinien) zu erweitern.

 

Viel Spaß bei der Umsetzung … und bei Fragen fragen Sie gerne.

Telefonisch unter +49 5232 6965558 oder per E-Mail thomas@werning.com