Zum Hauptinhalt springen

Kickoff zur EU-DSGVO - Was Sie jetzt wissen müssen!

 

data-governance
 

Die EU-Datenschutz-Grundverordnung (DSGVO) ist in den Unternehmen in aller Munde. Denn Stichtag ist der 25.05.2018! Dieser Blogbeitrag soll Ihnen Werkzeuge für Fach- und IT-Bereiche an die Hand geben, um am 25.05.2018 startklar zu sein.

Was ist die EU-DSGVO?

Nach Art. 1 der DSGVO handelt es sich dabei um:

  1. eine Verordnung mit „Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“ und
  2. zum Schutz der „Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“.
  3. „Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

Dabei ersetzt die EU-DSGVO nicht das deutsche Bundesdatenschutzgesetz (BDSG), sondern setzt vielmehr darauf auf. Bei der Schaffung der europäischen Verordnung war das BDSG die wesentliche Grundlage, die in einigen Punkten verschärft wurde. Diese Anforderungen gilt es nun zu erfüllen.

Was bedeutet die Einführung der EU-DSGVO für mein Unternehmen?

datenverwaltung
 

Die Einführung der EU-DSGVO hat natürlich Auswirkungen für Unternehmen, die mit personenbezogenen Daten arbeiten. Dabei gelten für alle Unternehmen dieselben Vorschriften und Rechte. So müssen beispielsweise Maßnahmen eingeführt werden, um personenbezogene Daten natürlicher Personen bei der Verarbeitung zu schützen und ihre Grundrechte und Grundfreiheiten zu wahren. Das bedeutet, dass Daten schon in allen Systemen und Prozessen, zum Beispiel in einem DWH, datenschutzkonform aufbereitet werden müssen. Personenbezogene Daten können beispielsweise bei der Speicherung und Verarbeitung von

  • Mitarbeiterdaten,
  • Kunden- und Lieferantendaten,
  • Daten von Gästen und Besuchern,
  • Kontakt- und Adressdaten oder
  • im Rahmen der Nutzung von Dienstleistungen

anfallen. Ist dies der Fall, sollten Sie sich die neue Grundverordnung definitiv zu Herzen nehmen!

Die EU-DSGVO ist dabei auch für Unternehmen verpflichtend, die ihren Unternehmenssitz nicht in der EU haben, aber dort Dienstleistungen anbieten. Auch wenn die angebotene Dienstleistung unentgeltlich erfolgt, muss die Verordnung eingehalten werden. Sollte die Verordnung ab dem 25.05.2018 nicht eingehalten werden, werden Strafen in Form von Geldbußen durchgesetzt. Das Gesetz sieht dann vor, Geldbußen in Höhe von 10 bis 20 Mio. Euro oder aber 2 bis 4 Prozent des weltweiten Unternehmensumsatzes zu verhängen.

Welche Vorschriften ändern sich durch die EU-DSGVO für mein Unternehmen?

Die neue Datenschutzverordnung enthält Vorschriften für Unternehmen, die sie gegenüber ihren Kunden erfüllen müssen. So haben Kunden zum Beispiel:

  • das Recht auf Auskünfte zu ihren personenbezogenen Daten
  • das Recht auf Löschung einzelner Daten bzw. deren Richtigstellung
  • das Recht auf Datenübertragung, wenn sie den Anbieter wechseln
  • das Recht auf die Löschung der gesamten personenbezogenen Datenerhebung

Sollten die Rechte der Betroffenen nicht erfüllt werden, drohen die bereits besagten Bußgelder.

Außerdem müssen Unternehmen von nun an penibel die Datenverarbeitung dokumentieren. Dazu muss ein sogenanntes Verarbeitungsverzeichnis geführt werden, in dem der Zweck der Datenverarbeitung festgehalten wird. Ebenfalls müssen die Verarbeitung, die Herkunft (Erhebung) und, falls dies zutrifft, die Weitergabe der Daten beschrieben werden. Bitte beachten Sie in den Verarbeitungsprozessen immer, dass der einzelne Betroffene einen Anspruch auf Widerruf hat und gegebenenfalls einzelne Daten wegfallen. Wer darf eigentlich auf welche Daten zugreifen und wurde sichergestellt, dass jeder Zugriff auf einer rechtlichen Grundlage erfolgt?

Wie kann ich die neuen Verordnungen in meinem Unternehmen umsetzen?

Zu diesem Zeitpunkt steckt die DSGVO in vielen Unternehmen noch in den Kinderschuhen. Doch die Zeit rennt und nach dem Stichtag gibt es keinen Spielraum, denn die Übergangsfrist ist damit bereits abgelaufen. Die ersten Schritte sollten mindestens Folgendes beinhalten:

  1. Einführung eines unternehmensweiten Projekts zur Identifikation der Verarbeitung personenbezogener Daten
  2. Dokumentation der Verarbeitungen und Zuordnung zu legalen Verarbeitungszwecken
  3. Juristische Beurteilung und Freigabe von bestehenden und neuen Verarbeitungen
  4. Einführung oder Überarbeitung des Berechtigungskonzepts (Wer darf was sehen?)
  5. Erweiterung der Point of Contacts (POCs), um Kundenansprüchen gerecht zu werden
  6. Überarbeitung bestehender Systeme und Prozesse hinsichtlich technischer Maßnahmen aufgrund von Privacy by Design

Ein Tipp von meiner Seite: Bilden Sie ein unternehmensweites Core-Team, das sich auf die Transformation spezialisiert. Es sollte aus einem

  • IT-/technischen Experten zum Verständnis der datenverarbeitenden Systeme und ihrer Schnittstellen,
  • einem BWLer, der Daten und Prozesse in einen wirtschaftlichen Kontext setzt, und
  • einem Juristen für die rechtlichen Anforderungen der EU-DSGVO

bestehen.

Fazit

Ein jedes Unternehmen, das mit personenbezogenen Daten arbeitet, egal in welcher Form, muss sich den neuen Richtlinien bis spätestens 25.05.2018 angepasst haben. Dazu gilt es alle Unternehmensanforderungen zu beachten, wie zum Beispiel die Einführung eines Verarbeitungsverzeichnisses, sodass Behörden jederzeit die Datenverarbeitung prüfen können. Setzen Sie sich am besten noch heute mit dem Thema auseinander, bevor es Sie einholt!