5-Schritte-Plan

5-Schritte-Plan zur EU-DSGVO

Die Zeit wird knapp!

Unternehmen haben nur noch bis zum 25. Mai 2018 Zeit, die neuen datenschutzrechtlichen Anforderungen umzusetzen. Denn dann gilt die Verordnung unmittelbar in allen EU-Mitgliedsstaaten und löst die bisherigen nationalen Regelungen und EU-weiten Richtlinien ab. Dies bedeutet, dass die alten Regelungen (BDSG III) bis 24. Mai 2018 23.59h gelten und ab 25. Mai 2018 0.00h die neuen Regelungen. Sie haben bislang noch nicht wirklich etwas zur Vorbereitung getan? Dann dürfte die Zeit langsam knapp werden, denn die Maßnahmen, die Sie ergreifen sollten, sind umfangreicher und zeitintensiver, als Sie vielleicht glauben. Vor allem, wenn Sie Ihre Softwarelösungen anpassen müssen. Der 5-Schritte-Plan soll Ihnen dabei helfen.

Auch wenn wir uns wiederholen sollten: ob Sie einen Datenschutzbeauftragten benennen müssen (was wahrscheinlich ist) oder nicht – die neuen Vorschriften müssen Sie sowieso beachten, sonst kann es sehr teuer werden. Insbesondere die Nachweis- und Rechenschaftspflichten könnten zu einer Achillesferse werden. Wenn es zu einem Datenschutzverstoß kommt, müssen Sie das innerhalb von 72 Stunden der Aufsichtsbehörde mitteilen (vgl. Artikel 33 EU-DSGVO), es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Sie werden es so oder so nicht schaffen, bei einem Datenschutzverstoß in diesem Zeitraum noch fehlende Nachweise (Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Management-System, Datenschutzfolgeabschätzungen, TOMs usw.) aus dem Ärmel zu schütteln. Es lohnt sich also, diese Dinge im Vorfeld zu erledigen.

5-Schritte-Plan

Wir haben für Sie einen 5-Schritte-Plan aufgestellt, der Ihnen bei der Umstellung helfen soll:

Status-Quo-Analyse erstellen (Schritt 1 vom 5-Schritte-Plan)

Als erstes sollten Sie Ihre Prozesse im Unternehmen überprüfen, bei denen eine Verarbeitung von personenbezogenen Daten (pbD) stattfindet, sprich Sie sollten alle Prozesse untersuchen, die datenschutzrechtlich relevant sein könnten. Auf Basis dieser Status-Quo-Analyse kann identifiziert werden wo Ihre Prozesse von den Anforderungen der EU-DSGVO abweichen. Anschließend sollten Sie einen Projektplan für die verbleibende Zeit aufstellen, um die noch nicht erfüllten Auflagen der neuen Verordnung zu regeln.

Verzeichnis von Verarbeitungstätigkeiten aufbauen (Schritt 2 vom 5-Schritte-Plan)

Was bisher nach §§ 4g Abs. 2, 4e BDSG Verfahrensverzeichnis hieß, wird in der EU-DSGVO nun Verzeichnis von Verarbeitungstätigkeiten genannt und ist eine Dokumentation und eine Übersicht über alle Verfahren, bei denen pbD verarbeitet werden. Viele werden dieses Verzeichnis noch nicht kennen, da es bisher nur Unternehmen betraf, die mehr als 250 Beschäftigte hatten. Dies ist auch nach den neuen Regelungen so, nur gibt es einige Bestimmungen, die es Wert sind, etwas näher betrachtet zu werden. Im Artikel 30 Abs. 5 EU-DSGVO sind die Ausnahmen für die Erstellung und Führen eines solchen Verzeichnisses aufgelistet.

Die Pflicht ein Verzeichnis für Verarbeitungstätigkeiten zu führen gilt dann nicht, wenn der Verantwortliche oder Auftragsverarbeiter weniger als 250 Beschäftigte hat, es sei denn, die vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder die Verarbeitung betrifft keine besonders sensiblen Datenkategorien oder strafrechtlich relevanten Daten.

Der Knackpunkt für viele Versicherungsmakler dürften die besonders sensiblen Datenkategorien sein, da diese zum Beispiel auch Gesundheitsdaten umfassen. Spätesten bei der Begrifflichkeit „nicht nur gelegentlich“ dürfte sich die Pflicht zum Führen des Verzeichnisse für die meisten ergeben, da eine „gelegentliche Verarbeitung“ per Definition „nur ab und zu und nicht regelmäßig“ erfolgt. Dies dürfte in einem laufenden Geschäftsbetrieb bei der Verarbeitung von pbD unrealistisch sein. Sie meinen, das wird schon nicht so heiß gegessen? Artikel 83 Bas. 4 a EU-DSGVO besagt, dass der Verantwortliche (also Sie, nicht der DSB!) das Verarbeitungsverzeichnis jederzeit und vollständig für die Aufsichtsbehörden vorhalten muss, ansonsten droht ein Bußgeld. Auch diese Strafbewehrung durch Bußgeld ist neu und war im BDSG bisher nicht vorhanden, weshalb viele bisher noch kein Verzeichnis erstellt haben, obwohl es bereits Pflicht war.

Datenschutz-Management-System erstellen (Schritt 3 vom 5-Schritte-Plan)

Aus den Artikeln 5 und 24 EU-DSGVO leiten sich umfangreiche Nachweis- und Rechenschaftspflichten für Unternehmen ab. Unter anderem die Pflicht, ein Datenschutz-Management-System einzuführen! Das ist neu und gab es so im alten BDSG nicht. Künftig müssen Unternehmen nicht nur sicherstellen, dass datenschutzrechtliche Vorgaben eingehalten werden, sondern sie müssen dies auch nachweisen können. Dies betrifft übrigens auch den Bereich Datensicherheit, für den es eine Nachweispflicht, ob „geeignete technische und organisatorische Maßnahmen“ sog. TOMs eingesetzt werden, die dem Schutz der betroffenen Personen dienen, gibt.

Im Datenschutz-Management-System sollten sich also folgende Punkte wiederfinden:

  • Datenschutzorganisation und Verantwortlichkeit für Datenverarbeitungen
  • Einbindung des Datenschutzbeauftragten
  • Verzeichnis von Verarbeitungstätigkeiten
  • Datenschutz-Folgenabschätzung (vgl. Artikel 35 EU-DSGVO)
  • Vertragsmanagement (welche Dienstleister werden eingesetzt?)
  • Datenschutz-Schulung und Verpflichtung auf das Datengeheimnis
  • Prozess zur Wahrnehmung von Betroffenenrechten
  • Meldung von Datenschutzverstößen
  • Nachweis der Datensicherheit (Umsetzung der TOMs)

Das Vorhandensein eines Datenschutz-Management-Systems (DMS) kann sich in Fällen unbeabsichtigter Datenschutzverstöße bußgeldmindernd auswirken (Art. 83 Abs. 2 d EU-DSGVO). Problematisch wird es dann, wenn es zu einem Datenschutzverstoß kommt, und Sie kein DMS nachweisen können.

Prüfung der Zulässigkeit der Datenverarbeitung (Schritt 4 vom 5-Schritte-Plan)

Nach EU-DSGVO ist die Verarbeitung personenbezogener Daten verboten – mit Erlaubnisvorbehalt. Sie brauchen also immer eine Rechtsgrundlage, auf der die Verarbeitung erfolgt, sonst handeln Sie illegal. Sie sollten also alle Einwilligungen und die Rechtsgrundlagen überprüfen. Die gute Nachricht ist, dass die bisher erfolgten Einwilligungen Gültigkeit behalten (sofern sie den Bestimmungen der EU-DSGVO entsprechen). Einwilligungen zur Datenverarbeitung, die rechtskonform sind, ergeben sich aus Artikel 6 bis 11 EU-DSGVO.

Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten regelt Artikel 6 EU-DSGVO. Sie liegt vor, wenn

  • wenn eine Einwilligung der betroffenen Person vorliegt,
  • zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen,
  • zur Erfüllung einer rechtlichen Verpflichtung
  • zum Schutze lebenswichtiger Interessen,
  • zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt oder
  • aufgrund einer Interessenabwägung erforderlich ist.

Die Datenverarbeitung ist bereits dann rechtmäßig, wenn einer der genannten Tatbestände vorliegt. Für Minderjährige unter 16 Jahren sind Einwilligungen nur wirksam, wenn die Eltern (bzw. Personen mit elterlicher Verantwortung) erteilt oder dieser zugestimmt wird (vgl. Artikel 8 EU-DSGVO).

Wie die betroffene Person ihre Einwilligung zu erteilen hat ist in Artikel 7 EU-DSGVO geregelt:

  • Freie Entscheidung des Betroffenen
  • Ausführliche, erkennbare und bestimmte Information des Betroffenen
  • Schriftform der Einwilligungserklärung
  • Widerruflichkeit der Einwilligungserklärung

Informationspflichten beachten (Schritt 5 vom 5-Schritte-Plan)

Pflichten zur Information von betroffenen Personen gab es bisher bereits, nur werden diese Pflichten deutlich erweitert. Geregelt ist dies in den Artikeln 13 und 14 EU-DSGVO. Demnach sind den betroffenen Personen besonders folgende Informationen mitzuteilen (und zwar in präziser, transparenter, verständlicher und leicht zugänglicher Form!):

  • Identität des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszwecke und Rechtsgrundlagen
  • Berechtigtes Interesse
  • Empfänger
  • Übermittlung der Daten in Drittstaaten
  • Dauer der Speicherung
  • Betroffenenrechte
  • Widerrufbarkeit von Einwilligungen
  • Beschwerderecht bei der Aufsichtsbehörde
  • Verpflichtung zur Bereitstellung personenbezogener Daten
  • Automatisierte Entscheidungsfindung und Profiling

Aus Art. 14 DSGVO ergibt sich, dass nahezu dieselben Informationspflichten bestehen, wenn die Daten nicht beim Betroffenen selbst erhoben werden.

Diese Auflistung ist nicht abschließend, soll aber den Einstieg in die notwendigen Veränderungsprozesse erleichtern. Sollten Sie es nicht alleine schaffen, stehen wir Ihnen gerne zur Verfügung.

EU-DSGVO

Oliver Petersen

geprüfter betrieblicher & behördlicher Datenschutzbeauftragter
(Fachkundiger gem. Artikel 37 EU-DSGVO und §38 DSAnpUG-EG)

KONTAKT

Wenn es ganz eilig ist: 0171/5249911

Foto Free-Photos / pixabay
Posted in Consulting and tagged , .