Das Datenschutzrecht wird künftig europaweit einheitlich geregelt. Bis zum 25. Mai 2018 sind die Anforderungen, die durch die EU-Datenschutz-Grundverordnung (EU-DSGVO) entstehen, zu analysieren und umzusetzen. Die DSGVO, die eine Harmonisierung der Vorschriften zum Datenschutz zwischen den EU-Mitgliedstaaten herbeiführen soll, stellt Unternehmen vor große Herausforderungen, da sie zu weitreichenden Änderungen gegenüber den aktuellen Vorschriften führt. Ein Verstoß gegen die neuen Regelungen kann zu empfindlichen Bußgeldern und zu erheblichen Reputationsschäden führen. Dabei ist zu beachten, dass die DSGVO ab dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedsstaaten gilt. Auch hat sie Vorrang gegenüber dem Bundesdatenschutzgesetz (BDSG).
Was bedeutet die DSGVO konkret für betroffene Unternehmen?
Die Umsetzung der DSGVO macht die Anpassung einer Vielzahl von Geschäftsprozessen erforderlich und generiert einen nicht unwesentlichen personellen und finanziellen Aufwand. Ein Beispiel ist die Schaffung eines effektiven Datenschutz-Management-Systems nach Art. 24 Abs. 1 DSGVO, das den Schutz der personenbezogenen Daten sicherstellen soll. Zentrale Aufgaben sind die Dokumentation (Beweislastregelung!) und die Zuweisung von Rollen und Verantwortlichkeiten innerhalb einer strukturellen und systematischen Vorgehensweise zur Wahrung der Belange des Datenschutzes und Einhaltung der DSGVO.
Was ist zu tun?
Der erste Schritt sollte immer die Feststellung des Status quo sein, um daraus den weiteren Handlungsbedarf ableiten zu können. Zum Beispiel:
- Ermittlung, in welchen Geschäftsprozessen und an welcher Stelle personenbezogene Daten erhoben und verarbeitet werden. Die Beurteilung sollte weit gefasst sein und eine vollständige Liste der betroffenen Geschäftsprozesse zum Ergebnis haben.
- Erfolgt die Datenerhebung aufgrund einer Einwilligung?
- Neben den Geschäftsprozessen sollten ebenfalls alle Systeme und Um-Systeme des Unternehmens untersucht und aufgelistet werden, die personenbezogene Daten speichern und verarbeiten.
- Außerdem sind auch alle durch das Unternehmen eingesetzten Dienstleister relevant (insbesondere Auftragsdatenverarbeitungen). Auch hier empfiehlt sich eine umfassende und vollständige Dokumentation.
Nach der erfolgten Ermittlung und Dokumentation untersucht der Datenschutzbeauftragte, ob in den ermittelten Prozessen, Systemen oder durch einen Dienstleister personenbezogene Daten erhoben, genutzt, übermittelt oder verarbeitet werden und Handlungs- bzw. Änderungsbedarf im Sinne der DSGVO besteht. Sind die ersten Schritte der Anforderungsanalyse getan, muss sichergestellt werden, dass die Rechte der Betroffenen gewahrt werden, ohne den Unternehmenserfolg zu gefährden. Hierbei ist eine jederzeit nachweisbare Rechtskonformität der IT in Bezug auf die Inhalte der DSGVO zu beachten.
Insbesondere die folgenden Anforderungen sollten berücksichtigt werden:
- Werden personenbezogene Daten erhoben, so sind dem Kunden die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung mitzuteilen (Art. 14 Abs. 1 lit. c DSGVO). Diese Zweckfestlegung und die Wahrung der Informationspflicht gegenüber dem Kunden muss zudem dokumentiert werden.
- Die oben genannten Grundsätze zur Festlegung des Zwecks gelten gleichermaßen für eine Zweckänderung. Hier ergeben sich die Anforderungen aus Art. 6 Abs. 4 DSGVO.
- Beruht die Verarbeitung auf einer Einwilligung, muss das Unternehmen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen (Art. 7 DSGVO).
Die aufgezeigten Veränderungen durch die DSGVO zeigen nur einen kleinen Ausschnitt der Änderungen gegenüber dem bisherigen Recht. Insgesamt sind die durch die DSGVO notwendigen Anpassungen so entscheidend, dass bereits frühzeitig mit der Analyse und Umsetzung begonnen werden sollte. Ansonsten drohen ernste Haftungs- und Reputationsrisiken.
Unsere Lösung: DSGVO-Abgleich & Umsetzungsplan
In einem dreiphasigen DSGVO-Abgleich & Umsetzungsplan
- erfassen wir in einer Statusanalyse systematisch bestehende Prozesse, Systeme und Informationsmaßnahmen, die Finanzdienstleister und ihre Dienstleistungspartner im Rahmen ihrer personenbezogenen Datenerhebung, -speicherung und -nutzung verwenden, und
- gleichen den ermittelten und dokumentierten Status quo mit den Anforderungen aus den Vorschriften der EU-Datenschutz-Grundverordnung ab und zeigen so Handlungs- und Änderungsbedarf auf.
- Den dokumentierten Handlungs- und Änderungsbedarf lassen wir in eine mit unseren Kunden abgestimmte Umsetzungsplanung einfließen, die die Ressourcen (Zeit, Kosten, Systeme), Projektteam (Verantwortlichkeiten, Aufgaben), Schulungen (Transfer in die tägliche Praxis) festlegt.
Unsere Expertise
Fundiertes juristisches Fachwissen, Prozess-Know-how und gezielte Fragestellungen, mit Hilfe derer sich der konkrete Handlungsbedarf ermitteln lässt, machen unseren DSGVO-Abgleich & Umsetzungsplan aus.
Ihr Ansprechpartner:
Rund um Fragen zum DSGVO-Abgleich & Umsetzungsplan steht Ihnen Torsten Schwendrat, Volljurist, zur Verfügung. Sie erreichen Herrn Torsten Schwendrat telefonisch unter: 02602 99983203 oder per Mail: