Alles neu macht der Mai? – Was müssen Unternehmen ab dem 25. Mai 2018 im Datenschutz beachten?
Information des Deutschen Industrie- und Handelskammertags e. V. (DIHK)
Die EU-Datenschutz-Grundverordnung (DSGVO) ist zum 25. Mai 2016 in Kraft getreten. Sie regelt den Datenschutz in der Europäischen Union, so dass die Daten frei im Binnenmarkt verarbeitet werden können.
Bis zum Ende der Umsetzungsfrist am 25. Mai 2018 müssen Unternehmen ihre Prozesse an die neuen, höheren Anforderungen anpassen. Das betrifft insbesondere die Einführung bzw. Aktualisierung eines Datenschutzmanagements. Der Grundsatz der Verantwortlichkeit für das Unternehmen, das personenbezogene Daten verarbeitet, wird durch eine ausdrücklich geregelte Rechenschaftspflicht verdeutlicht, die sich auch in den Bußgeldern bis maximal 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes niederschlägt.
Was ist zu tun?
Zunächst sollte eine Bestandsaufnahme gemacht werden: Was ist an datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden? Sind sie mit der DSGVO kompatibel? Wurde z. B. bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerspruchsrecht hingewiesen? Falls nicht, müsste dies nachgeholt werden.
Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Techniken eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig.
Entsprechen Informationen über die Datenverarbeitung auf den Internetseiten den Informationsvorgaben der DSGVO? Der Transparenz wird große Bedeutung zugemessen. Insofern ist zu prüfen, wie umfangreich eine öffentliche Information über die wesentlichen Verarbeitungen personenbezogener Daten erfolgen kann, um den Betroffenenrechten auf Information dadurch Genüge zu tun.
Die Nachweispflicht verlangt, dass die notwendigen Dokumente und Prozesse zur Einhaltung der DSGVO nachweisbar vorhanden sind und eingehalten werden. Zudem gehört zu einem Datenschutzmanagement, dass es eindeutige Regeln gibt, wer welche Rolle in den Ablaufprozessen spielt: Gibt es einen Prozess zur Einholung, Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist? Wie und von wem werden Auskunftsersuchen beantwortet? Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt? Für die Beantwortung solcher Fragen bieten sich Richtlinien an, die auch im Rahmen eines Compliance-Managements erlassen werden können, oder eine Verknüpfung mit einem vorhandenen Qualitätsmanagement.
Die Auflistung der wesentlichen Neuerungen sowie das Merkblatt „Neue Anforderungen für Unternehmen durch die DSGVO“ der IHK Würzburg-Schweinfurt, inklusive einer Checkliste, anhand derer der jeweilige Bedarf zur Vornahme von notwendigen Anpassungen bei Prozessen und dem Umgang mit personenbezogenen Daten im eigenen Unternehmen schneller identifiziert werden kann, finden Sie unter www.thueringen40.de. Hier erhalten Sie auch Informationen zu entsprechenden Informationsveranstaltungen, beispielsweise am 08. November 2017 zwischen 17 und 19 Uhr in Gotha.
Ansprechpartnerin:
Geschäftsstelle des Thüringer Kompetenzzentrums Wirtschaft 4.0
Caroline Illhardt, Tel. 0361 554 675-41, illhardt@thueringen40.de