9 Schritte zur Gewährleistung der DSGVO-Konformität

Was ist die DSGVO?

Seit Mitte der 90er Jahre, besah die Welt einen Anstieg des Datenaustauschs und der Verarbeitung personenbezogener Daten. Jedoch, hat die Regulierung in der Europäischen Union den zunehmenden Bedenken hinsichtlich der Einwilligung und des Missbrauchs personenbezogener Daten nicht ausreichend Rechnung getragen.

Schätzungen zeigen, dass die daraus resultierende (mangelnde) Einhaltung und die uneinheitliche Umsetzung der Richtlinie 95/46/EG Unternehmen jährlich rund 2,3 Mrd. € kostet. Die am 25 Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO), findet einheitliche Anwendung in allen EU-Mitgliedsstaaten und sieht im Wesentlichen vor, bestehende Lücken im Datenschutzgesetz zu schließen.

Die DSGVO bringt erhebliche Veränderungen mit sich, welche von Unternehmen ein kohärentes Konzept für die Einhaltung aller EU-Vorschriften abverlangen. Hauptnutznießer der neuen Verordnung sind Personen, deren Rechte auf Privatsphäre erheblich gestärkt werden und die diese Rechte direkt gegenüber Unternehmen ausüben können. 

Wer ist von der DSGVO betroffen?

Der räumliche Anwendungsbereich der DSGVO ist erheblich weitreichender als die der Richtlinie und gilt nicht nur für Unternehmen mit Sitz in der EU, sondern auch für

• Nicht-EU-Unternehmen, die personenbezogene Daten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an Privatpersonen innerhalb der EU verarbeiten, oder

• die Erfassung ihres Handels, soweit dieses innerhalb der EU stattfinden

Was macht die DSGVO?

Die DSGVO, die einen „Supercode“ der Praxis für Unternehmen darstellt, verpflichtet Unternehmen, die Daten sammeln und deren Risiken managen, zur Transparenz und Rechenschaft. Zu den wesentlichen Änderungen gehören:

• Verpflichtung zur Anwendung der Grundsätze des Datenschutzes durch Technik (data protection by design), sowie durch datenschutzfreundliche Voreinstellungen (data protection by default)
• Durchführung einer Datenschutz- Folgenabschätzung für eine risikoärmere Verarbeitung
• Rechtsstärkung der betroffenen Person durch das Recht auf Datenauskunft und das Recht auf Löschung der Daten
• Das Recht des Betroffenen, keiner Entscheidung (z.B. des Profilings), zur Bewertung von Ihr betreffenden persönlichen Aspekten, unterworfen zu sein
• Verpflichtung zur Meldung von Verletzungen des Schutzes personenbezogener Daten.

Der Verantwortliche benachrichtigt:

• die zuständige Aufsichtsbehörde unverzüglich und nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes
• die Personen und Datenverantwortlichen unverzüglich
• Datenübermittlung an Dritte. Unternehmen verpflichten sich zur Bewertung Dritter, darunter
• Datenverarbeiter (z.B IT-Dienstleister, Externe Lohn und Gehaltsabrechnung) sowie
• Datenverantwortliche (z.B Regulierungsbehörden, Gesundheitsdienstleister)
• Die DSGVO hält sowohl die für die Verarbeitung Verantwortlichen sowie die Datenverarbeiter für ihr eigenes Sicherheitsniveau verantwortlich und sieht zudem Einschränkungen bei der Unterauftragnehmer Beauftragung vor
• Ernennung eines Datenschutzbeauftragten (DSB), falls das Unternehmen mehr als 9 Arbeitnehmer beschäftigen, die an der automatisierten Datenverarbeitung arbeiten

Verstoß gegen den Datenschutz

Die Einhaltung der DSGVO, welche Unternehmen zwischen 1 und 10 Mio. € kostet, stellt nun ein großes Risiko für die Arbeitgeber dar, die nicht nur ein gründliches Verständnis der Verordnung entwickeln, sondern zudem die einschlägigen lokalen Gesetze oder Tarifverträge der Datenverarbeitung berücksichtigen müssen, dar.

Darüber hinaus dürfte die Überlagerung der Bedingungen durch die DSGVO eine Flut von Rechtsstreitigkeiten einzelner Betroffener und Aufsichtsbehörden auslösen, da die Möglichkeit besteht, sowohl materielle als auch immaterielle Schäden sicherzustellen. Geldbußen und Sanktionen bei Verstößen werden auf verschiedenen Ebenen verhängt: von KMUs bis zu börsennotierten Unternehmen. Die Höhe der Geldbuße hängt von einer Reihe von Faktoren ab, darunter

• Die Rechtsnatur
• Der Grad des Verschuldens
• Frühere Verstöße

Die Höchststrafe wird auf 4 % des weltweiten Gesamtjahresumsatzes bzw. 20 Mio. € (je nachdem, welcher Betrag höher ist) für wesentliche Verstöße erheblich erhöht. Zu diesen zählen 

• Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten, einschließlich der Bedingungen für die Einwilligung (Art. 5-7, 9)
• Rechte der betroffenen Personen, einschließlich des Rechts auf Vergessenwerden und des Rechts auf Datenübertragbarkeit (Art. 12-22)
• Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen (Artikel 44-49)
• Bestimmungen über die Nichteinhaltung der von der Aufsichtsbehörde erlassenen Anordnung zur Einschränkung der Datenverarbeitung oder über die Unterlassung des Zugangs zu allen personenbezogenen Daten (Art. 58 Abs. 1-2)
• Bestimmungen über besondere Verarbeitungssituationen, einschließlich der Verpflichtungen nach nationalem Recht in Bezug auf die Verarbeitung und die Meinungs- und Informationsfreiheit sowie die Verarbeitung und den Zugang der Öffentlichkeit zu amtlichen Dokumenten (Artikel 85-91).

Die Höchststrafe wird auf 2 % des gesamten jährlichen Gesamtumsatzes oder 10 Mio. EUR (je nachdem, welcher Betrag höher ist) für nicht geringfügige Verstöße erhöht. Diese sind u.a.

• Pflichten des Verantwortlichen und des Verarbeiters, einschließlich der Umsetzung des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen (Art. 8, 11, 25-39)
• Pflichten des Aufsichtsbehörde (Art. 41 Abs. 4)
• Pflichten der Zertifizierungsstelle (Art. 42-43)

Um hohe Bußgelder zu vermeiden, müssen sowohl die wirtschaftlichen Zielsetzungen als auch das Risikomanagement berücksichtigt werden. Aber wie wird man DSGVO-konform trotz aller Unsicherheiten? Um Sie der DSGVO-Konformität einen Schritt näher zu bringen, haben wir eine praxisnahe Checkliste mit den wichtigsten Gesichtspunkten für Ihr Unternehmen erstellt. 

Checkliste: 9 Schritte zur DSGVO-Konformität

1. Das Gesetz verstehen

Machen Sie sich mit der DSGVO und Ihren Pflichten über die Erhebung, Verarbeitung und Speicherung personenbezogener Daten vertraut.
Dazu, haben wir eine Schritt-für-Schritt-Anleitung erstellt, die Sie unter dem folgenden Link finden können:
https://academy.e-profound.com/p/dsgvo-schritt-fur-schritt

2. Einen “Governance Plan” formulieren

Stellen Sie sicher, dass die Entscheidungsträger über die Änderungen des Datenschutzrechts und die damit verbundenen Auswirkungen auf Ihr Unternehmen informiert werden. Erstellen Sie einen Plan mit einer Liste von Maßnahmen, die erforderlich sind, um die Einhaltung der Vorschriften zu erreichen, und eine Führungsstruktur, um in jeder Phase des Prozesses ein angemessenes Engagement mit den richtigen Personen sicherzustellen.

3. Auditdurchführung und/ oder Privacy Impact Assessment (PIA)

Führen Sie eine personenbezogene Datenprüfung durch, die die aktuellen Datenverarbeitungspraktiken abdeckt. Der Audit prüft auf

• Kategorien personenbezogener Daten
• Die Verwendung personenbezogener Daten
• An wen personenbezogene Daten weitergegeben werden
• Wo personenbezogene Daten gespeichert werden
• Jegliche grenzüberschreitende Übermittlung personenbezogener Daten außerhalb des EWR
• Etwaige Sicherheitsmaßnahmen für personenbezogene Daten

Risikoreiche Prozesse in Ihrem Unternehmen werden mit einem PIA überprüft. Solche Prozesse beziehen sich auf 

• Eine umfangreiche Verarbeitung vertraulicher personenbezogener Daten
• Profiling von Betroffenen und dessen Einfluss
• Umfangreiche und systematische Personenüberwachung

Zur PIA-Dokumentierung

• Erstellen Sie einen Standard-PIA-Prozess, der den Anforderungen der DSGVO entspricht
• Überlegen Sie, ob die bestehenden Verarbeitungsaktivitäten ausreichend risikobehaftet sind
  

4. Lücken analysieren

Die Ergebnisse des internen Datenaudits und/oder einer PIA helfen Ihnen, Lücken und Bereiche zu identifizieren, in denen Änderungen erforderlich sind. Eine Lücken-Analyse bringt sie nicht nur einen Schritt näher zur DSGVO-Konformität, sondern informiert sie zudem über die weiteren Schritte in ihrem Compliance Prozess.

5. Einen Datenschutzbeauftragten benennen

Die obligatorische Anforderung, einen DSB zu benennen, gilt für Unternehmen mit mehr als 9 Mitarbeitern, die an der automatisierten Datenverarbeitung arbeiten und bei denen die Kernaktivitäten der Datenverarbeitung aus speziellen Kategorien von Daten im Zusammenhang mit strafrechtlichen Verurteilungen bestehen. Im Hinblick auf die Zulassungsbedingungen eines DSB müssen zwei wesentliche Voraussetzungen erfüllt sein

• Unabhängigkeit: Um eine angemessene Beratung der Unternehmensleitung zu gewährleisten, agiert ein DSB völlig unabhängig bei der Erfüllung seiner Pflichten.
• Technische Expertise: Der Grad der erforderlichen technischen Expertise hängt von der Art der Organisation ab (z.B. wird in einem IT-Unternehmen davon ausgegangen, dass der erforderliche Grad der technischen Expertise eines DSB höher ist als im Gesundheitswesen).

6. Weitergabe von Daten an Dritte abstimmen

Die DSGVO sieht klare Anforderungen an die Organisationen vor, um sicherzustellen, dass ein angemessener vertraglicher Schutz mit Drittverarbeitern besteht. Ferner sieht die Verordnung Beschränkungen für die Bestellung von Unterauftragnehmern vor.

Um die Anforderungen der DSGVO zu erfüllen, müssen Sie sich an bestehende Datenverarbeiter wenden und die entsprechenden Verträge ändern. Führen Sie daher ein Projekt zur Priorisierung der verschiedenen Beziehungen durch und legen Sie klare Parameter für die Zusammenarbeit mit Dritten fest.

7. Bestehende Datenschutzhinweise und -richtlinien aktualisieren

Sie müssen sicherstellen, dass die bestehenden Datenschutzhinweise und -richtlinien Ihres Unternehmens aktualisiert werden. Zu diesem Zweck legt die DSGVO klare Anforderungen an die Informationen fest, die den Betroffenen bei der Verarbeitung ihrer personenbezogenen Daten zur Verfügung gestellt werden müssen. 

Die Verordnung erfordert:

• Einige spezifische Richtlinienanforderungen wie z.B. Sicherheitsrichtlinien
• Anforderungen an die Rechenschaftspflicht (als Unternehmen müssen Sie für die Einhaltung der Vorschriften verantwortlich sein, aber auch in der Lage sein, diese nachzuweisen.)
• Notwendige Instrumente zur Einhaltung der DSGVO

Neben allgemeinen Schutzmaßnahmen ist es empfehlenswert, spezifische Richtlinien für verschiedene Bereiche Ihrer Organisation (z.B. Marketing oder Personal) zu erstellen.

8. Mitarbeiter schulen

Stellen Sie sicher, dass die Mitarbeiter über ihre Pflichten und Verantwortlichkeiten bei der Verarbeitung von Daten im Namen Ihrer Organisation informiert werden (z.B. müssen sich Ihre Mitarbeiter zur Vertraulichkeit gemäß Art. 28(3(b)) verpflichten) und auf die mögliche Gefahr von Geldbußen und anderen Sanktionen im Rahmen der DSGVO hingewiesen werden.

9. Compliance-Systeme konzipieren und implementieren

Die DSGVO erfordert, dass Unternehmen Aufzeichnungen über die Verarbeitungstätigkeiten führen, in denen die Art der Daten, die sie verarbeiten und die Kategorien der Dritten, an die sie die Daten weitergeben (ob sie diese außerhalb Europas übermitteln) sowie die Sicherheitsmaßnahmen, die sie in Bezug auf diese Daten ergreifen, aufgeführt sind.

Priorisierung der jeweiligen Schritte

Bei der Entscheidung, welche Maßnahmenpläne auf dem Weg zur DSGVO- Konformität priorisiert werden sollen, kann eine Reihe von Faktoren berücksichtigt werden. Zu diesen gehören

• Die Höhe des Risikos einer möglichen Nichteinhaltung
• ob die einzelnen Maßnahmen geschäftskritisch sind
• Kosten und Dauer der Implementierung einzelner Punkte