Erste Aufsichtsbehörden werden bereits aktiv.
Am 25. Mai 2018 müssen alle Unternehmen die grundlegenden Maßnahmen zur Umsetzung der EU-Datenschutzgrundverordnung (EU-DSGVO) umgesetzt haben, sonst drohen Bußgelder von bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes. Unternehmen sehen sich daher zunehmend mit einer unübersichtlichen Gesetzeslage und einer Vielzahl von Informations- und Dokumentationspflichten konfrontiert, die bislang häufig vernachlässigt wurden.
Wir haben unserem Datenschutzexperten Philipp Frenz sechs Fragen zur aktuellen Datenschutzthematik gestellt.
Herr Frenz, Sie beraten Unternehmen in allen Stufen der Umsetzung der EU- DSGVO. Reicht die Zeit, wenn ich jetzt noch nicht angefangen habe?
Natürlich drängt die Zeit bis zum Wirksamwerden der neuen Regelungen und so mancher Datenschutzbeauftragter kommt so langsam ins Schwitzen. Doch können auch Unternehmen, die erst jetzt mit der Umsetzung starten wollen noch die wichtigsten Hürden nehmen, wenn man die richtigen Schwerpunkte setzt. Allerdings sind diese Schwerpunkte von Unternehmen zu Unternehmen sehr unterschiedlich.
Was ist denn unter der neu eingeführten Rechenschaftspflicht zu verstehen?
Neu ist der Gedanke der Rechenschaftspflicht nicht. Nur wird er im Rahmen der EU- DSGVO eine größere Bedeutung erlangen. Ich vergleiche das immer mit einer Buchhaltung in Sachen Daten. Sie sollten sich die Frage stellen, ob Sie im Zweifel nachweisen können, dass Sie ein Recht an den vorhandenen Daten haben. Sei es auf Basis einer Einwilligung oder einer Rechtsgrundlage. Die Unternehmen müssen letztendlich zu jedem Datensatz eine entsprechende Dokumentation vorhalten.
Wie dokumentieren Unternehmen Ihre Datenschutzorganisation am besten?
Ausgehend von einer sorgfältigen Bestandsaufnahme sollten Unternehmen eine grundlegende Datenschutz-Richtlinie vorweisen können. Das Verfahrensverzeichnis oder auch Verarbeitungsübersicht genannt, ist das neue Allroundtalent bei der Dokumentation der eigenen Datenschutzorganisation. Hier lassen sich im Prinzip neben den gesetzlichen Mindestangaben alle relevanten Punkte, wie z.B. Dienstleister, Datenschutzfolgeabschätzung und interne Audits dokumentieren. Die Form ist hierbei gesetzlich nicht vorgeschrieben. Aber auch die Sensibilisierung der Mitarbeiter mitsamt Dokumentation ist nicht zu vernachlässigen.
Gibt es Erleichterungen für Kleinunternehmen?
Die ursprüngliche Intention des EU-Gesetz-gebers kleine Unternehmen zu entlasten, wurde leider nicht erreicht. Die Regelung zum Verfahrensverzeichnis gilt bei allen Verfahren mit personenbezogenen Daten, die ständig durchgeführt werden. Die vermeintliche Erleichterung aus Art. 30 Abs. 5 EU-DSGVO gilt nur für die gelegentliche Verarbeitung personenbezogener Daten, die aber in der Praxis kaum vorkommt. Auch der Datenschutzbeauftragte für Unternehmen, ob intern oder extern vergeben, bleibt. Unternehmen sind gehalten zu prüfen, ob Sie einen Datenschutzbeauftragten bestellen müssen. Ab zehn Mitarbeitern, die bspw. an einem Bildschirmarbeiterplatz mit E-Mails in Berührung kommen, hat das Unternehmen einen Datenschutzbeauftragten zu bestellen, der sowohl mit der nötigen Fachkunde, als auch mit einem besonderen Kündigungsschutz ausgestattet ist. Eine Leitungsfunktion sollte der Mitarbeiter darüber hinaus ebenso nicht wahrnehmen, da diese häufig zu einem Interessenkonflikt führt. Diese Voraussetzungen sorgen dafür, dass eine Vielzahl von Unternehmen externe Datenschutzbeauftragte einsetzen. Wir unterstützten interne Datenschutzbeauftragte und übernehmen branchenübergreifend auch die Position des externen Datenschutzbeauftragten.
Was passiert nach Ablauf der Frist am 25. Mai 2018?
Es ist zu erwarten, dass nach diesem Zeitpunkt die Aktivitäten der Aufsichtsbehörden deutlich steigen werden. Doch auch bis dahin haben die Aufsichtsbehörden Gelegenheit sich auf die neuen Vorgaben einzustellen. Es bleibt abzuwarten, welche Handreichungen in dieser Zeit noch veröffentlicht werden. In der ersten Zeit werden die Aufsichtsbehörden verstärkt darauf achten, dass die Unternehmen ein Projekt zur
Umsetzung angestoßen haben und erste Umsetzungserfolge sichtbar sind. Die Größe und das Budget müssen dabei in einem angemessenen Verhältnis zum Unternehmen stehen und dürfen kein Feigenblatt sein.
Was raten Sie Unternehmen jetzt zu tun?
Nehmen Sie den Datenschutz ernst! Ihre Kunden, Geschäftspartner, Auftraggeber und nicht zuletzt die Aufsichtsbehörden tun es nämlich auch. Das bedeutet aber nicht, dass der Datenschutz Sie in ihren Geschäften behindert. Die betroffenen Unternehmen sind gut beraten, die Zeit bis dahin zu nutzen um eine grundlegende Bestandsaufnahme und GAP-Analyse durchzuführen um Risiken für die Geschäftsprozesse zu erkennen. Dies ist die beste Gelegenheit das eigene Unternehmen einmal umfassend kennenzulernen und ganz nebenbei eine saubere Dokumentation zum Datenschutz zu erhalten. Themen wie IT-Sicherheit können und sollten hierbei selbstverständlich nicht unberücksichtigt bleiben.
