Neues Datenschutzrecht verlangt Unternehmen einiges ab

Ab dem 25. Mai werden mit der Datenschutz-Grundverordnung (DSGVO) die Karten beim Datenschutz neu gemischt. Manager müssen bis dahin dafür sorgen, dass die strengeren EU-Regeln in ihren Betrieben eingehalten werden. Sonst drohen empfindliche Bußgelder. Ihnen bleiben also nur noch wenige Monate Zeit, um ihre Unternehmen fit für das neue Datenrecht zu machen. „Das gilt auch dann, wenn sie bisher schon über eine Datenschutzorganisation verfügen“, erläutert Melanie Baltheiser, Anwältin bei CMS Hasche Sigle. „Bestehende Prozesse müssen durchleuchtet sowie umfassend dokumentiert und an neuralgischen Punkten neue Prozessabläufe geschaffen werden.“

Aus Defiziten der Vergangenheit lernen
Die Beratungspraxis zeigt, dass die DSGVO Anlass bietet, den bisherigen Umgang mit personenbezogenen Daten im Unternehmen rechtlich auf den Prüfstand zu stellen. In den allermeisten Fällen treten dabei Defizite zu Tage, wie z. B. dass Datenschutzerklärungen nicht aktualisiert, Einwilligungen für Newsletter von Kunden nicht vollständig eingeholt wurden, Daten nicht ausreichend verschlüsselt versendet werden oder die IT gegen Cyber-Angriffe nicht vollständig geschützt wäre. Wer bisher die finanziellen Kosten scheute, die DSGVO in seinem Unternehmen umzusetzen, sollte durch den deutlich verschärften Bußgeldrahmen in Höhe von 4% des Jahresumsatzes oder bis zu 20 Mio. Euro ausreichend motiviert sein.

Was Unternehmen jetzt tun müssen
Unternehmen, die bislang untätig waren, sollten schnellstmöglich folgende Schritte umsetzen: Die Geschäftsführung sollte eine Task Force bilden bestehend aus Datenschutzbeauftragten, IT, HR und Vertretern ausgewählter Unternehmensabteilungen, die die Umsetzung der DSGVO koordinieren und überwachen. Um den konkreten Handlungsbedarf bestimmen zu können, sollte dann eine Bestandsaufnahme der Prozesse vorgenommen werden. Hierfür kann es erforderlich sein, in jeder Unternehmensabteilung abzufragen, welche personenbezogenen Daten dort zu welchen Zwecken verarbeitet und ob externe Dienstleister eingesetzt werden.

Die DSGVO macht es erforderlich, Prozesse anzupassen oder neu zu schaffen. So müssen die Meldepflichten gegenüber Aufsichtsbehörden bei Datenschutzverstößen in internen Abläufen des Unternehmens neu abgebildet werden und es muss vorab festgelegt werden, welche Schritte bei Verstößen einzuhalten sind. Mit der DSGVO steigen zudem die Anforderungen an die Dokumentation. So ist das Verarbeitungsverzeichnis (früher: Verfahrensverzeichnis), das personenbezogene Daten enthält, zu prüfen und bisher fehlende Verarbeitungsprozesse wie z. B. das dauerhafte Speichern von Bewerberdaten, zu ergänzen. Schließlich sollten auch bestehende Verträge, die personenbezogene Daten verarbeiten, geprüft werden. 

„Es bleibt nur noch wenig Zeit, die Vorgaben der DSGVO umzusetzen“, warnt Baltheiser. „Auch in Hinblick auf die drohenden empfindlichen Bußgelder ist daher jedem Unternehmenslenker zu raten, alle nötigen Kapazitäten zu mobilisieren und die Wichtigkeit des DSGVO-Projekts gegenüber Mitarbeitern im Unternehmen klar zu kommunizieren.“

{{ name }} Chart
{{ name }} Aktie auf wallstreet:online

ARTIKEL DIESER AUSGABE