Die wichtigsten Punkte zur Startphase

VCI-Informationen zur Umsetzung der EU-Datenschutz-Grundverordnung

Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DS-GVO) in Deutschland unmittelbar. Ab diesem Stichtag müssen alle Unternehmen die Vorgaben des neuen Datenschutzrechts beachten. Der VCI hat die wichtigsten Maßnahmen zusammengefasst, die Unternehmen vor dem Wirksamwerden der DS-GVO ergreifen sollten. Eine Übersicht mit Links, die für die Umsetzung nützlich sind, ergänzt die Handreichung.

Der VCI hat in einer Handreichung die wichtigsten Maßnahmen zusammengefasst, die Unternehmen vor dem Wirksamwerden der EU-Datenschutz-Grundverordnung (DS-GVO) ergreifen sollten. - Foto: © IckeT - Fotolia.com
Der VCI hat in einer Handreichung die wichtigsten Maßnahmen zusammengefasst, die Unternehmen vor dem Wirksamwerden der EU-Datenschutz-Grundverordnung (DS-GVO) ergreifen sollten. - Foto: © IckeT - Fotolia.com

Einführung

Am 25. Mai 2018 entfaltet die EU-Datenschutz-Grundverordnung (DS-GVO) ihre unmittelbare Geltung in Deutschland. Ab diesem Stichtag müssen alle Unternehmen die Vorgaben des neuen Datenschutzrechts beachten.

Unternehmen riskieren drastische Bußgelder von bis zu vier Prozent des Vorjahresumsatzes oder bis 20 Millionen Euro, wenn sie die neuen Datenschutz-Regeln nicht einhalten. Darüber hinaus stehen sogenannte „Abmahnvereine“ in den Startlöchern, die vor allem die Datenschutzhinweise von Unternehmen auf Fehler durchforsten, um sie sodann kostenpflichtig abzumahnen.

Unternehmen sollten die verbleibende Zeit daher intensiv nutzen, um die Vorgaben der DS-GVO umzusetzen. Zu den Herausforderungen zählen dabei insbesondere die erheblich gesteigerten Dokumentations- und Rechenschaftspflichten. Die Grundprinzipien für eine rechtmäßige Datenverarbeitung (Erlaubnistatbestand, Erforderlichkeit, Zweckbindung) bleiben dagegen im Wesentlichen unverändert.

In der vorliegenden Handreichung hat der VCI die wichtigsten Maßnahmen zusammengefasst, die Unternehmen vor dem Wirksamwerden der DS-GVO ergreifen sollten. Eine Übersicht am Ende enthält eine Sammlung von Links, die für die Umsetzung hilfreich sind.

Bild:
Bild: © MK-Photo/stock.adobe.com

Die wichtigsten Punkte für die Umsetzung

Datenschutzhinweise

Die DS-GVO sieht zahlreiche neue Informationspflichten gegenüber Betroffenen vor. Die Datenschutzhinweise sind daher insbesondere um folgende Angaben zu ergänzen:

  • Genaue Angabe der Rechtsgrundlage für die Datenverarbeitung;
  • Angabe zur Dauer der Datenspeicherung;
  • Nennung des für die Datenerhebung Verantwortlichen mit
  • Namen und Kontaktdaten;
  • Name und Kontaktdaten des Datenschutzbeauftragten (falls benannt), der zudem nach Art. 37 Abs. 7 DS-GVO der Aufsicht zu melden ist;
  • Hinweis auf das Beschwerderecht von Betroffenen bei der zuständigen Aufsichtsbehörde;
  • Information zum Datentransfer in Drittländer (sofern beabsichtigt) und die entsprechende Rechtsgrundlage.

Die erforderlichen Informationen müssen in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form vermittelt werden. Die wesentlichen Regelungen zu Datenschutzhinweisen finden sich in Art. 12, 13, 14 DS-GVO.

Dokumentations-/Nachweispflichten

Die DS-GVO sieht neue Nachweispflichten vor. Unternehmen müssen daher folgende Informationen erstellen und bereithalten:

  • Verarbeitungsverzeichnis
    Sämtliche Datenverarbeitungstätigkeiten sind zukünftig in einem Verzeichnis zu erfassen.
    Die erforderlichen Angaben (z.B. Zweck der Datenverarbeitung, Kategorien der Betroffenen, Datenarten) ergeben sich aus Art. 30 Abs. 1 a – g DS-GVO.
    Das Verzeichnis kann schriftlich oder elektronisch geführt werden und ist den Aufsichtsbehörden auf Nachfrage vorzulegen. Nur unter den engen Voraussetzungen des Art. 30 Abs. 5 DS-GVO können Unternehmen mit weniger als 250 Mitarbeitern von der Pflicht zur Erstellung von Verarbeitungsverzeichnissen befreit sein.
  • Prozessbeschreibungen
    Die DS-GVO verlangt, dass geeignete Maßnahmen zur Sicherzustellung und zum Nachweis der Einhaltung der datenschutzrechtlichen Pflichten ergriffen werden (Art. 5 Abs. 2, 24 Abs. 1 DS-GVO).
    Unternehmen sollten daher den Prozess jedes Datenverarbeitungsvorgangs in seinen einzelnen Schritten beschreiben und die diesbezüglichen Maßnahmen zur Sicherstellung der Datenschutz-Compliance dokumentieren.

Löschmechanismen

Die DS-GVO stellt die Pflicht zur Löschung stärker in den Vordergrund als bisher. Es besteht ein ausdrückliches Betroffenenrecht auf Löschung/„Vergessenwerden“, Art. 17 DS-GVO. Danach sind personenbezogene Daten insbesondere dann zu löschen, wenn sie zur Zweckerreichung nicht mehr erforderlich sind oder der Betroffene seine Einwilligung widerrufen hat. Zudem sind konkrete Löschfristen oder Kriterien für die Speicherdauer festzulegen. Unternehmen sollten daher ein unternehmensweites Löschkonzept erstellen sowie die Datenschutzhinweise daran anpassen (vergleiche oben).

Folgenabschätzung

Soweit die Verarbeitung personenbezogener Daten aufgrund ihrer Art, ihres Umfangs, der Umstände oder des Zwecks der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen. Obligatorisch ist nach Art. 35 DS-GVO die Folgenabschätzung unter anderem bei der Verarbeitung besonderer Datenkategorien (zum Beispiel Gesundheitsdaten). Die Folgenabschätzung ist vor Beginn der Datenverarbeitung durchzuführen und bei wesentlicher Änderung der Datenverarbeitung oder der Risikolage zu wiederholen.

Verträge über die Auftragsverarbeitung

Sollen personenbezogene Daten durch einen Dienstleister verarbeitet werden, ist vor Auftragsvergabe eine Prüfung der Geeignetheit des Auftragsverarbeiters durchzuführen und nach Art. 28 DS-GVO ein Auftragsverarbeitungsvertrag abzuschließen. Bei der Beurteilung sind insbesondere die vom Auftragsverarbeiter nach Art. 32 DS-GVO getroffenen technisch-organisatorischen Maßnahmen zu bewerten. Hierbei können z.B. auch Zertifizierungen nach Art. 42 DS-GVO berücksichtigt werden. Bezüglich der Vertragsinhalte können sich Unternehmen an einem Muster orientieren (siehe unten).

Meldepflichten

Im Fall von Datenschutzverstößen besteht die Pflicht einer Meldung an die Aufsichtsbehörde und ggf. auch an die Betroffenen. Die Meldung muss unverzüglich, möglichst aber innerhalb von 72 Stunden erfolgen (Art. 33 DS-GVO). Die Meldepflicht kann ausnahmsweise entfallen, wenn keine Risiken für die Rechte der Betroffenen drohen (Art. 37 Abs. 7 DS-GVO).

Auskunftspflicht

Nach Art. 15 Abs. 1 DS-GVO stehen den Betroffenen umfangreiche Auskunftsansprüche über Art, Umfang und Verwendung der über sie gespeicherten Daten zu. Auskunftsertei- lungen müssen gemäß Art. 12 Abs. 3 DS-GVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Nur in begründeten Ausnahmefällen darf die Frist überschritten werden; die betroffene Person ist darüber zu informieren (Art. 12 Abs. 3 Satz 3 DS-GVO). Unternehmen sollten daher geeignete organisatorische Maßnahmen treffen, um der Auskunftspflicht fristgerecht nachkommen zu können.

Bild: © Sir_Oliver/stock.adobe.com

Umsetzungshilfen

Unternehmen können sich anhand einer Vielzahl von Informationen und Leitlinien zur Umsetzung der DS-GVO über die neue Rechtslage informieren.

So bietet das Bayerische Landesamt für Datenschutzaufsicht einen Online-Test an, mit dem sie prüfen können, wie gut sie auf die DS-GVO vorbereitet sind. Speziell an kleine und mittlere Unternehmen richtet sich der niedersächsische Landesdatenschutzbeauftragte mit einem Fragenkatalog zur Identifizierung von Umsetzungsbedarf.

Unternehmen können zudem auf Kurzpapiere zurückgreifen, die von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) erarbeitetet wurden.

Darüber hinaus hat die sogenannte Art. 29-Datenschutzgruppe auf EU-Ebene zahlreiche Leitlinien zu Auslegungsfragen der DS-GVO verabschiedet.

Muster für Auftragsverarbeitungsverträge stellt das Bayerische Landesamt für Datenschutzaufsicht sowie die Gesellschaft für Datenschutz und Datensicherheit e. V. zur Verfügung.

Der VCI hatte bereits 2017 einen Workshop zur Umsetzung der DS-GVO für seine Mitglieder veranstaltet. Links zu den Präsentationen des Workshops und zu allen anderen erwähnten Dokumenten finden Sie nachfolgend.

Service-Links zur Datenschutz-Grundverordnung


Sämtliche Informationen wurden mit großer Sorgfalt zusammengestellt. Eine Gewähr für die Aktualität, Richtigkeit und Vollständigkeit der Informationen wird gleichwohl nicht übernommen. Die Informationen sind allgemeiner Natur und ersetzen keine individuelle Rechtsberatung. Der Verband der Chemischen Industrie e.V. (VCI) haftet nicht für Schäden durch die Nutzung der zur Verfügung gestellten Informationen. Dies gilt nicht, wenn sie vom VCI vorsätzlich oder grob fahrlässig verursacht wurden.

Das VCI-Infoblatt zur EU-DS-GVO -
Das VCI-Infoblatt zur EU-DS-GVO - © Cover-Foto: IckeT - Fotolia.com
Hinweis:
Die obenstehende Handreichung des VCI ist auch in Form eines Infoblattes in Flyer-Form als PDF-Datei abrufbar. PDF 398 Kb


















Workshop für die Mitgliedsunternehmen des VCI

Am 4. Mai 2018 veranstaltet der VCI für seine Mitglieder einen Workshop zur Umsetzung der EU-Datenschutz-Grundverordnung in Frankfurt am Main - Näheres über den hier unterlegten Link (Login erforderlich); Anmeldung bitte bis spätestens 20. April 2018.

Für Fragen und Anregungen nehmen Sie gerne Kontakt mit uns auf.

Ansprechpartner

RA Marcel Kouskoutis

E-Mail: kouskoutis@vci.de