Strukturiertes Vorgehen beim Umsetzen der DSGVO
Kurz vor knapp
Im Mai 2018 tritt EU-weit eine umfassende Datenschutzreform in Kraft. Unternehmen sollten sich spätestens jetzt für die Datenschutz-Grundverordnung und das neue BDSG fit machen und den Ist- an den Sollzustand anpassen.
Die meisten Verantwortlichen wissen längst, dass am 26. Mai 2018 eine umfassende Reform des Datenschutzrechts ins Haus steht und Handlungsbedarf besteht. Dennoch macht sich jetzt, etwa sechs Monate vor dem Stichtag, Aktionismus breit, denn die Zeit wird für eine volle Compliance allmählich knapp. Manche Unternehmen haben sogar noch gar keine Vorbereitungen getroffen. Spätestens jetzt sollten sie sich mit den konkreten Herausforderungen für die eigene Organisation beschäftigen.
Seit ihrer Verabschiedung im Frühjahr 2016 schafft die Datenschutz-Grundverordnung (DSGVO) einen in allen EU-Mitgliedsstaaten einheitlichen Rechtsrahmen für die Verarbeitung personenbezogener Daten. Obwohl sie als Verordnung – anders als eine Richtlinie – ab ihrem Inkrafttreten direkt gilt, dürfen die EU-Mitgliedsstaaten in bestimmten, durch sogenannte Öffnungsklauseln geregelten Bereichen ergänzende oder abweichende Regelungen festlegen. Dies hat die Bundesrepublik Deutschland mit einer Neufassung des Bundesdatenschutzgesetzes getan, die ebenfalls am 26. Mai 2018 in Kraft tritt. Mit beiden Gesetzeswerken müssen sich die Verantwortlichen in Unternehmen auseinandersetzen, wenn sie die Einhaltung des Datenschutzrechts ab dem Stichtag gewährleisten wollen.
Zentrale Aufgabe neben der Klärung der internen Zuständigkeiten ist es, einen Überblick über alle Verarbeitungen von personenbezogenen Daten zu erhalten. Wer bisher das Datenschutzrecht ernst genommen und eingehalten hat, kann nun profitieren. Beim Erfassen der relevanten Vorgänge ist derjenige im Vorteil, der bereits auf ein nach „altem Datenschutzrecht“ vorgesehenes Verfahrensverzeichnis zurückgreifen kann.
Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen. Nach Art. 30 Abs. 1 DSGVO gilt: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“ Es besteht also eine strenge Dokumentationspflicht. Die obliegt nicht dem betrieblichen Datenschutzbeauftragten, sondern dem Unternehmen, also dem „Verantwortlichen“ – und damit der Geschäftsleitung selbst. Diese kann sich dabei aber eigener Mitarbeiter oder externer Dienstleister bedienen, die eine entsprechende fachliche Eignung und Zuverlässigkeit besitzen. Der Datenschutzbeauftragte hat eine beratende Funktion.
Ein vom Bitkom herausgegebener Leitfaden mit Beispielen für den Aufbau und die Ausgestaltung von Verarbeitungsverzeichnissen (siehe ix.de/ix1801034) unterteilt deren Erstellung in mehrere Phasen: Sensibilisierung, Information, Abfrage, Beratung, Konsolidierung, Umsetzung und Pflege. Einen besonderen Stellenwert nimmt überdies die „Datenschutz-Folgenabschätzung und Zulässigkeitsprüfung“ ein.