Am 25. Mai 2018 wird die Europäische Datenschutz-Grundverordnung (DSGVO) nach der Übergangsphase von zwei Jahren wirksam. Die Verordnung wird weitreichende Auswirkungen für alle Unternehmen in Europa haben. Wegen der enormen Bußgelder für Datenschutzverstöße sollte sich jedes Unternehmen bereits im Vorfeld intensiv mit den Anforderungen der DSGVO auseinandersetzen. Zu ihrer Umsetzung ist ein detaillierter Maßnahmenplan nötig.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat seit Anfang August 2017 verschiedene sog. “Kurzpapiere” veröffentlicht. Diese dienen als erste Orientierung für die Anwendung der DSGVO im praktischen Vollzug. In Kurzpapier Nr. 8 gibt die DSK mit einem Maßnahmenplan erstmals wertvolle Hinweise dazu, wie Unternehmen im Einzelnen vorgehen sollten, um die Anforderungen der DSGVO zu erfüllen. Folgende Schritte werden von der DSK empfohlen:
1. Bestandsaufnahme (IST-Zustand ermitteln)
Sämtliche Datenverarbeitungsprozesse des Unternehmens sind detailliert zu analysieren. Dadurch entsteht ein genauer Überblick zum aktuellen Status der internen Datenverarbeitung.
2. Bedarfserfassung (SOLL-Zustand bestimmen)
Die Anforderungen der DSGVO sind für alle ermittelten Verarbeitungsprozesse zu prüfen. Im Anschluss ist eine “Lückenanalyse” durchzuführen. So kann der konkrete Anpassungsbedarf bei diesen Prozessen erkannt werden.
3. Anpassungsprozess (IST- in SOLL-Zustand überführen)
Im letzten Schritt sind die ermittelten “Lücken” in Bezug auf die Anforderungen der DSGVO durch Anpassung der Prozesse und der internen “Datenschutzpolitik” zu schließen.
Der Transformationsprozess muss bis zum 25. Mai 2018 abgeschlossen sein, um Haftungsrisiken zu vermeiden. Laut DSK sind bei der individuellen Umsetzung ihres Maßnahmenplans insbesondere folgende Einzelaspekte zu berücksichtigen:
- Anpassung der betroffenen Prozesse und Strukturen,
- Festlegung der Rechtsgrundlagen und Zwecke der Datenverarbeitung sowie (sofern erfolgt) Dokumentation von Interessenabwägungen
- Implementierung von Informationspflichten, Betroffenenrechten und Löschkonzepten,
- Anpassung der Datenschutzorganisation,
- Bestellung eines Datenschutzbeauftragten (sofern erforderlich),
- Reaktionsmechanismen auf Datenpannen,
- Organisation von Meldepflichten,
- Anpassung der Dienstleistungsbeziehungen,
- Aufbau der Dokumentation,
- Anpassung der IT-Sicherheit und
- Anpassung evtl. einschlägiger Betriebsvereinbarungen
Das Kurzpapier der DSK können hier abgerufen werden. Einen Überblick zu meinen Leistungen im Datenschutzrecht finden Sie hier.