Stufenplan für die Umsetzung der DSGVO

dsgvo

Stufenplan für die Umsetzung der DSGVO ( GDPR )

Seit Mai 2018 gilt die Allgemeine Datenschutzverordnung der EU (DSGVO) für alle Länder der EU und - aufgrund des erweiterten territorialen Geltungsbereichs - weitgehend auch für Stellen außerhalb Europas. Die DFSGVO ( GDPR ) führt zu einer deutlichen Erhöhung der Datenschutz-Compliance-Pflichten sowie zu deutlich erhöhten Bußgeldern von bis zu 4% des weltweiten Jahresumsatzes der gesamten Unternehmensgruppe. Somit kann nun auch die Nichteinhaltung des Datenschutzes in kleineren und weniger wichtigen Niederlassungen einer Firmengruppe zu erheblichen Auswirkungen führen. Da die Vorbereitung auf die DSGVO ( GDPR ) eine Neuorganisation verschiedener interner Verfahren erfordert, ist es sehr empfehlenswert, mit den Vorbereitungen in sehr naher Zukunft zu beginnen.

Wir empfehlen die folgenden Schritte zur Vorbereitung auf die GDPR:

Schritt 1: Lückenanalyse Schritt 2: Risikoanalyse Schritt 3: Projektsteuerung und Ressourcen-/Budgetplanung Schritt 4: Implementierung einer Datenschutzstruktur Schritt 5: LokaleZusatzanforderungen 6. Umgang mit dem Brexit

Schritt 1: Gap-Analyse

Um zu beurteilen, welche Datenschutzaufgaben ein Unternehmen zu erfüllen hat, sollte eine Gap-Analyse zwischen dem aktuellen Stand der Einhaltung des Datenschutzes auf der einen Seite und denVerpflichtungen, die sich aus dem DSGVO ergeben, auf der anderen Seite durchgeführt werden. Die Einhaltung des DSGVO zu erreichen bedeutet nicht nur, dass neue gesetzliche Anforderungen erfüllt werden müssen. Im Zuge der Vorbereitung auf die DSGVO sollte auch eine mögliche frühere Nichteinhaltung der Anforderungen der EU-Datenschutzrichtlinie 95/46/EG behoben werden.

So sollten in einem ersten Schritt Informationen über die aktuelle Datenschutzpraxis im Unternehmen (z.B. (i) welche Stellen/Abteilungen welche Art von Daten für welche Zwecke verarbeiten, (ii) interne Zuständigkeiten, (iii) wie werden die Rechte der Betroffenen gewahrt, (iv) sind Datenschutzbeauftragte implementiert, (v) welche IT-Sicherheitsmaßnahmen sind vorhanden usw.) erhoben werden (die "Bestehende Datenschutzstruktur").

In einem zweiten Schritt müssen die sich aus der DSGVO ergebenden Anforderungen, die speziell für das Unternehmen gelten, bewertet werden.

Schritt 2: Risikoanalyse

Die Anstrengungen zur Umsetzung der DSGVO-Anforderungen werden hoch sein; nicht alle Anforderungen können vernünftigerweise auf einmal erfüllt werden. Das Unternehmen wird beurteilen müssen, welche Art von Datenverarbeitungsaktivitäten das größte Risiko für (i) die Geschäftstätigkeit des Unternehmens und/oder (ii) die Rechte der betroffenen Personen darstellen sowie (iii) welche Risiken am wahrscheinlichsten zu hohen Geldstrafen führen, und seine Ressourcen entsprechend arrangieren zu können. Der Aufwand für die Einhaltung des Datenschutzes sollte bei risikoreichen Verarbeitungsaktivitäten höher und bei weniger risikoreichen Verarbeitungsaktivitäten niedriger sein.

Schritt 3: Projektsteuerung und Ressourcen-/Budgetplanung

Der DSGVO-Implementierungsprozess erfordert die Zusammenarbeit der beteiligten europäischen Unternehmenseinheiten des Unternehmens sowie das Bewusstsein der "to do's" auf der Führungsebene des Unternehmens. Das Unternehmen sollte die Projektverantwortung an Schlüsselpersonen in den beteiligten EU-Niederlassungen des Unternehmens übertragen und einen "leitenden" Projektmanager benennen, der das Projekt leitet. Der leitende Projektmanager kann auch ein externer Berater sein.

Das Unternehmen sollte die erforderlichen Ressourcen zuweisen. Die Planung sollte insbesondere (i) interne Ressourcen, wie z.B. das für die Durchführung erforderliche interne Personal, (ii) Rechtskosten sowie (iii) IT-Kosten (z.B. für unterstützende Software; IT-Audits usw.) umfassen.

Schritt 4: Implementierung einer Datenschutzstruktur

Die DSGVO enthält eine Reihe von zusätzlichen Anforderungen, die in diesem Umfang unter der EU-Datenschutzrichtlinie nicht existierten, wie z.B.

Gestärkte Rechte der betroffenen Personen (z.B. in Bezug auf Information, Zugang und Berichtigung/Löschung; Recht auf Datenübertragbarkeit; Recht auf Einspruch gegen Datenverarbeitungsaktivitäten, "Recht, vergessen zu werden", Verpflichtung, Anträge auf Zugang und Löschung an Dritte weiterzuleiten; höhere Anforderungen an Zustimmungserklärungen usw.),

Verschärfte organisatorische Anforderungen (z.B. Pflicht zur Führung von Daten-verarbeitungsregistern, die die internen Datenverarbeitungstätigkeiten zusammenfassen; Notwendigkeit der Durchführung von Datenschutzfolgenabschätzungen und der Ernennung von Datenschutzbeauftragten in verschiedenen Fällen; Einhaltung der "privacy by design and by default"-Anforderungen, um sicherzustellen, dass Datenverarbeitungssysteme datenschutzfreundlich sind; Pflicht zur Verknüpfung personenbezogener Daten mit den Zwecken, für die sie erhoben wurden, sowie mit der Rechtsgrundlage für ihre Verarbeitung; Dokumentation der Datenströme; möglicherweise Entwurf von Löschkonzepten usw.),

Verschärfte Meldepflichten (z.B. mögliche Verpflichtung, die Datenschutzbehörden innerhalb von 72 Stunden über eine Datenverletzung sowie die betroffenen Personen zu informieren),

Verschärfte Anforderungen an die IT-/Cyber-Sicherheit,

Verschärfte vertragliche Anforderungen (es müssen strengere Datenverarbeitungsvereinbarungen mit externen Dienstleistern sowie möglicherweise innerhalb der Firmengruppe abgeschlossen werden).

4.1 Datenschutzmanagementsystem ( DSMS )

Die DSGVO sieht eine Reihe von Anforderungen vor, die ohne die Einführung eines umfassenden Datenschutzmanagementsystems nur schwer zu handhaben sind. Ein solches System sollte gruppenweit funktionieren, da selbst Datenschutzprobleme in kleineren Unternehmensstellen zu hohen Geldstrafen für die gesamte Unternehmensgruppe führen können.

a) Definierte Rollen und Verantwortlichkeiten in den beteiligten Unternehmenseinheiten Das Unternehmen sollte eine Struktur von Datenschutzverantwortlichen in allen seinen EU-Niederlassungen sowie einen verantwortlichen Hauptverantwortlichen in der Zentrale einrichten. Eine entsprechende Struktur sollte (i) die einfache Erteilung von datenschutzbezogenen Aufträgen und/oder Ratschlägen an die beteiligten Stellen ("Top-down-Ansatz") sowie (ii) die Kommunikation von datenschutzbezogenen Fragen an den Hauptverantwortlichen ("Bottom-up"-Kommunikation) ermöglichen.

b) Verfahren und Konzepte

Viele der DSGVO-Verpflichtungen können in der Praxis nur umgesetzt werden, wenn entsprechende Konzepte, Richtlinien und Standardarbeitsanweisungen (kumulativ "SOPs") implementiert werden, z.B. in Bezug auf die Rechte der betroffenen Personen, Meldepflichten bei Datenschutzverletzungen, Datenschutzfolgenabschätzungen usw. Daher sollten entsprechende SOPs erstellt werden, um sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden.

c) Die Mitarbeiter sollten über ihre Pflichten und Verantwortlichkeiten, die sich aus der DSGVO ergeben, geschult werden.

d) Das Unternehmen muss geeignete Maßnahmen ergreifen, um die Einhaltung der DSGVO-Anforderungen nachzuweisen. Diese Maßnahmen sind regelmäßig zu überprüfen und zu aktualisieren.

4.2 Datenverarbeitungsvereinbarungen

Aufgrund der hohen Anzahl der mit internen und externen Parteien abzuschließenden Vereinbarungen muss eine vernünftige Strategie zur Verwaltung von Datenverarbeitungsverträgen umgesetzt werden:

Der Einsatz von Datenverarbeitern (Stellen, die personenbezogene Daten im Auftrag des Unternehmens unter Einhaltung der Anweisungen des Unternehmens verarbeiten) wird nur dann zulässig sein, wenn mit den Datenverarbeitern gründliche Datenverarbeitungsverträge abgeschlossenwerden. Bestehende Verträge müssen daraufhin überprüft werden, ob sie den Anforderungen der DSGVO entsprechen und ob sie aktualisiert werden müssen; neue Verträge müssen den hohen Standards der DSGVO genügen.

In einigen Fällen können verschiedene Unternehmenseinheiten als gemeinsame Datenverantwortliche angesehen werden, wenn sie die Zwecke und Mittel der Datenverarbeitung gemeinsam festlegen. In solchen Fällen müssen in der Regel Datenverarbeitungsvereinbarungen zwischen den beteiligten Einheiten abgeschlossen werden.

Werden personenbezogene Daten aus Europa in ein Land außerhalb der Europäischen Union/Europäischer Wirtschaftsraum übermittelt, müssen häufig auch Datenverarbeitungsvereinbarungen abgeschlossen werden.

Schritt 5: Lokale Zusatzanforderungen

Zusätzlich zu den EU-weiten DSGVO-Anforderungen muss geprüft werden, ob zusätzliche nationale Anforderungen bestehen. Siehe hierzu z. B. Bundesdatenschutzgesetz ( BDSG )

In allen EU-Ländern können zusätzliche beschäftigungsbezogene Anforderungen hinsichtlich der Verarbeitung von HR-Daten bestehen (wie z.B. Anforderungen zur Einbeziehung von Betriebsräten in Deutschland und Frankreich oder eines Arbeitsamtes in Italien).

6: Umgang mit dem Brexit

Häufig haben internationale Konzerne ihren europäischen Hauptsitz im Vereinigten Königreich, das nicht mehr Teil der Europäischen Union ist. Dementsprechend gelten die Anforderungen der DSGVO möglicherweise nicht direkt für die Unternehmenssitze in Großbritannien, und Datentransfers von anderen Unternehmenssitzen in der Europäischen Union an den britischen Sitz können zu rechtlichenProblemen führen. Das Unternehmen wird beurteilen müssen, wie mit einem Brexit aus der Sicht desDatenschutzes umzugehen ist.

Es besteht eine gute Chance, dass das Vereinigte Königreich Datenschutzgesetze verabschieden wird,die der Europäischen Union sehr ähnlich sind, so dass die Auswirkungen des Brexit nicht zu schwerwiegend sein werden. In jedem Fall wird es wahrscheinlich sinnvoll sein, die strengen Anforderungen der DSGVO auch nach dem Brexit auch in Grossbritannien vollumfänglich anzuwenden, um die interne Bürokratie zu begrenzen und eine europaweite Datenschutzstruktur zu ermöglichen.

Anhang: Wichtigste Verpflichtungen des DSGVO

Durch die DSGVO werden eine Reihe neuer Anforderungen eingeführt. Auf sehr hohem Niveau sind dies die wichtigsten neuen Anforderungen:

1. Organisatorische Anforderungen

1.1 Datenverarbeitungsregister, Art. 30 In den meisten Fällen muss ein Register geführt werden, in dem die unter der Verantwortung des Unternehmens durchgeführten Verarbeitungen festgehalten werden. Dieses Register enthält im Allgemeinen insbesondere die folgenden Informationen

  • Name und Kontaktangaben der Firma und ihres Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten;
  • Die Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder weitergegeben werden sollen, einschließlich der Empfänger in Drittländern oder internationalenOrganisationen;
  • die Übermittlung personenbezogener Daten in ein Drittland und die Dokumentation geeigneter Schutzmaßnahmen;
  • Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien;
  • eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

1.2 Datenschutzfolgenabschätzung, Art. 35, 36 Wenn eine Datenverarbeitungstätigkeit wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen wird, muss das Unternehmen vor der Verarbeitung eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge vornehmen. Ergibt die Beurteilung, dass die Verarbeitung ohne die von der Gesellschaft getroffenen risikomindernden Maßnahmen zu einem hohen Risiko führen würden, so istdie Aufsichtsbehörde zu konsultieren.

1.3 Datenschutzbeauftragter, Art. 37-39 Ein unabhängiger, zuverlässiger und sachkundiger Datenschutzbeauftragter muss in der Regel dann eingesetzt werden, wenn die Kerntätigkeit des Unternehmens darin besteht

  • Verarbeitungsvorgänge, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Maßstab erfordern; oder
  • Verarbeitung in großem Umfang spezieller Datenkategorien (z.B. Gesundheit, Religion, Rasse, sexuelle Ausrichtung usw.) und personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten.

Eine Gruppe von Unternehmen kann einen einzigen Datenschutzbeauftragten bestellen, sofern dieser Datenschutzbeauftragte von jeder Einrichtung aus leicht erreichbar ist. Örtliche Gesetze können in zusätzlichen Fällen die Einsetzung von Datenschutzbeauftragten verlangen (was z.B. in Deutschland wahrscheinlich der Fall sein wird). So kann sich ein einziger globaler Datenschutzbeauftragter, der den Datenschutz EU-weit steuert, als hilfreich erweisen, um mit unterschiedlichen EU-weiten Regelungen fertig zu werden.

1.4 Durchführung technischer und organisatorischer Sicherheitsmaßnahmen, Art. 32 Zum Schutz der verarbeiteten personenbezogenen Daten sind angemessene und zumutbare technische und organisatorische Maßnahmen nach dem Stand der Technik zu treffen.

1.5 Meldungen über Datenverletzungen, Art. 33, 34 Bei Verletzungen von Personendaten mit Risiken für die Rechte und Freiheiten der betroffenen Personen ist die Aufsichtsbehörde in der Regel innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung zu informieren; bei hohen Risiken für die betroffenen Personen sind diese in der Regel auch über die Verletzung zu informieren.

1.6 Designierter Datenschutz, Art. 25 Unternehmen haben in der Regel geeignete technische und organisatorische Maßnahmen zu treffen

  • die darauf ausgerichtet sind, datenschutzrechtliche Grundsätze wie die Datenminimierung umzusetzen und die notwendigen Garantien in die Verarbeitung zu integrieren, um die Rechte der betroffenen Personen zu schützen (z.B. Pseudonymisierung).
  • Um sicherzustellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für jeden spezifischen Zweck der Verarbeitung notwendig sind.

1.7 Vertreter in der EU, Art. 27 Unternehmen, die dem GDPR unterstehen, aber keine Niederlassung in der EU haben, müssen einen EU-Vertreter für den Verkehr mit Behörden etc. ernennen.

2. Materielle Voraussetzungen der Datenverarbeitung

2.1 Die materiellen Anforderungen der Datenverarbeitung ändern sich nicht drastisch. Nach wie vor erfordert jede Verarbeitung personenbezogener Daten (die im Allgemeinen immer noch extensiv interpretiert wird und auch IP-Adressen und Gerätekennungen umfasst) entweder eine gültige Einwilligung des Betroffenen oder eine rechtliche Begründung.

2.2 Grenzüberschreitende Datentransfers in Länder außerhalb des Europäischen Wirtschaftsraumes bedürfen nach wie vor einer zusätzlichen Begründung (zusätzlich zu 2.1), z.B. der Verwendung eines Datenschutzschildes, von EU-Standardvertragsklauseln oder verbindlichen Unternehmensregeln (oder in begrenzten Fällen der Zustimmung).

3. Rechte der Betroffenen, Art. 12-23

Die Rechte der betroffenen Personen wurden gestärkt. Insbesondere haben die betroffenen Personen folgende Rechte:

3.1 Informationsrechte, Art. 12-14 Die betroffenen Personen, deren Daten verarbeitet werden, müssen transparent und viel umfassender als bisher informiert werden.

3.2 Auskunfts-, Löschungs-, Berichtigungs- und Einschränkungsrechte, Art. 16-19 Die betroffenen Personen haben in der Regel weitgehende Zugriffsrechte in Bezug auf ihre Daten; in einigen Fällen haben sie auch das Recht, ihre Daten löschen oder berichtigen zu lassen oder die Datenverarbeitungstätigkeiten einzuschränken.

3.3 Widerspruchsrecht, Art. 21-22 In einigen Fällen haben die betroffenen Personen das Recht, aus Gründen, die mit ihrer besonderen Situation zusammenhängen, gegen die Verarbeitung ihrer Daten Widerspruch einzulegen.

3.4 Datenübertragbarkeit, Art. 20 In begrenzten Fällen können betroffene Personen sogar das Recht haben, die sie betreffenden personenbezogenen Daten in einem strukturierten, allgemein üblichen und maschinenlesbaren Format zu erhalten, und sie haben das Recht, diese Daten an ein anderes Unternehmen zu übermitteln.

1 Die DSGVO gilt für alle Unternehmen, die Personendaten verarbeiten

> im Zusammenhang mit den Aktivitäten einer Niederlassung in der EU, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht;

> von betroffenen Personen, die sich in der EU befinden (unabhängig vom Sitz des Unternehmens), wenn die Verarbeitung im Zusammenhang mit der Verarbeitung steht:

- das Angebot von Waren/Dienstleistungen (selbst wenn es "kostenlos" ist) an solche betroffenen Personen in der EU; oder

- die Überwachung ihres Verhaltens, soweit ihr Verhalten innerhalb der EU stattfindet.

Dieser Leitfaden ist für kleine und große Unternehmen ebenfalls umsetzbar.

Bei Fragen rufen Sie uns an oder wenn Sie Unterstützung bei der Umsetzung der DSGVO benötigen –04532-2767803

Siehe hierzu auch unseren Blog-Beitrag - Stufenplan für die Umsetzung der DSGVO

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen