Sprache:

18. Mai 2018 - erstellt von Goertz_Redaktion
Das neue Datenschutzrecht – wichtige Änderungen für die Unternehmenspraxis

Ist Ihr Unternehmen vorbereitet?

Egal wie groß oder klein Ihr Unternehmen ist, bis 25. Mai 2018 sind die Vorgaben des neuen Datenschutzrechts umzusetzen! Ab dann ändern die europaweit geltende Datenschutzgrundverordnung (DSGVO) sowie das neue deutsche Bundesdatenschutzgesetz (BDSG-neu) viele altbekannte Vorgaben. Aber hält Ihr Unternehmen die wesentlichen Vorgaben bereits ein? Wo besteht noch dringend Handlungsbedarf? Ein kurzer Check mit Hilfe unserer Checkliste, kann Ihnen bei diesen Fragen Klarheit verschaffen.

Datenschutz als Chefsache

Geschäftsführungen, Datenschutzbeauftragte und andere für das Thema Datenschutz Zuständige sollten sich mit den Anforderungen der neuen gesetzlichen Anforderungen befasst haben. Sodann sind sämtliche Beschäftigte, die personenbezogene Daten verarbeiten, sind bezüglich des Themas Datenschutz zu sensibilisieren.

Datenschutzbeauftragter

Wenn Sie noch keinen Datenschutzbeauftragten haben, sollten Sie prüfen, ob Ihr Unternehmen der Pflicht unterliegt, einen Datenschutzbeauftragten zu ernennen. Die einschlägigen gesetzlichen Regelungen sind in Art. 37 Abs. 1 DSGVO und § 38 BDSG-neu enthalten. Soweit in Ihrem Unternehmen mehr als 10 Personen damit beschäftigt sind, personenbezogene Daten zu verarbeiten, besteht dringender Handlungsbedarf.

Verzeichnis von Verarbeitungstätigkeiten

Art.12-14 DSGVO 30 DSGVO fordert von Unternehmen, ein Verarbeitungsverzeichnis über alle Verarbei-tungstätigkeiten zu führen und darin zu dokumentieren, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird. Das Verzeichnis ist regelmäßig zu aktualisieren und kann als Ausgangspunkt für eine datenschutzkonforme Organisation Ihres Betriebs dienen.

Dokumentation

Die DSGVO enthält an verschiedenen Stellen Dokumentationspflichten. Neben der Regelung zum Verarbeitungsverzeichnis sind beispielsweise Datenschutzvorfälle (Art. 33 Abs. 5 DSGVO) oder Weisungen im Rahmen der Auftragsverarbeitung (Art. 28 Abs. 3 lit. A DSGVO) zu dokumentieren.

Einwilligung oder andere gesetzliche Rechtsgrundlagen für Datenverarbeitungsvorgänge

Für jede Verarbeitung personenbezogener Daten wird eine Rechtsgrundlage benötigt. Dies kann eine Einwilligung oder eine andere Rechtsgrundlage sein. Zentrale Regelungen hierzu enthalten Art. 6-11 DSGVO sowie § 26 BDSG-neu. Um die rechtskonforme Datenverarbeitung nachzuweisen, sollten die Rechtsgrundlagen dokumentiert werden (z.B. in einem erweiterten Verarbeitungsverzeichnis). Achtung! Auch bei der Nutzung Ihrer Unternehmenshomepage werden oftmals bereits personenbezogene Daten erhoben (Beispiel Kontaktformular, Newsletterabonnement,…). Auch dies bedarf einer Rechtsgrundlage!

Informationspflichten

Die Betroffenen sind bei Erhebung von personenbezogenen Daten über deren Verarbeitung. Zentrale Normen sind die Art. 12-14 DSGVO. Das bedeutet in der Unternehmenspraxis, dass Vertragspartner, Beschäftigte und die sogar Nutzer Ihrer Homepage über Ihre Datenverarbeitung aufgeklärt werden müssen.

Betroffenenrechte

Art. 15-22 DSGVO konstatiert die Rechte der von der Datenverarbeitung betroffenen Personen. Wie stellen Sie insbesondere die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit sicher?

Weitergabe von Daten an Dritte

Verarbeiten andere Unternehmen Ihre Daten? Auch hierfür bedarf es einer Rechtsgrundlage. Soweit eine Auftragsverarbeitung vorliegt (typischerweise bei Auslagerung der Lohnbuchhaltung oder externen Callcentern), sind Verträge gemäß Art. 26-28 DSGVO notwendig.

Arbeitnehmerdatenschutz

Beschäftigte, die personenbezogene Daten verarbeiten, sollten auf die Vertraulichkeit verpflichtet werden. Da Sie als Arbeitgeber die Daten Ihrer Mitarbeiter verarbeiten, sind diese als „Betroffene“ im Sinne der DSGVO über die Datenverarbeitungsvorgänge zu informieren. Brisantes Thema ist darüber hinaus die Veröffentlichung von Mitarbeiterdaten im Internet.

Datenschutz-Folgeabschätzung

Falls Ihr Unternehmen Verarbeitungen mit einem voraussichtlich hohen Risiko für die rechte und Freiheiten der Betroffenen durchführt, ist ein Prozess zur Datenschutzfolgeabschätzung (Art. 35 DSGVO) notwendig.

Meldepflichten

Datenschutzverstöße müssen künftig der zuständigen Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO). Die Einhaltung der Meldefrist von 72 Stunden macht einen Prozess zur schnellen Handlungsfähigkeit unumgänglich.

Sicherheit der Datenverarbeitung

Die DSGVO erwähnt in Art. 32 die klassischen Schutzziele der IT-Sicherheit. Erforderlich und mit dem Datenschutz verknüpft sind insbesondere das Ziel der Vertraulichkeit der Datenverarbeitung, die Integrität und die Verfügbarkeit von Systemen.

Görtz Rechtsanwälte steht Ihnen bei der Umsetzung der datenschutzrechtlichen Vorgaben gerne mit Rat und Tat zur Seite!

Kategorie(n): Tagged With: