Artikelserie „Compliance im Mittelstand" – Teil 22
EU-Datenschutz-Grundverordnung bis Mai umsetzen
Am 25. Mai 2018 entfaltet die EU-Datenschutz-Grundverordnung (DS-GVO) ihre unmittelbare Geltung in Deutschland. Alle Unternehmen müssen ab diesem Stichtag die Vorgaben des neuen Datenschutzrechts umgesetzt haben.

Unternehmen, die die neuen Datenschutz-Regeln nicht beachten, drohen drastische Bußgelder von bis zu vier Prozent des Vorjahresumsatzes durch die zuständigen Aufsichtsbehörden. Außerdem stehen sogenannte „Abmahnvereine“ in den Startlöchern. Sie werden vor allem die Datenschutzhinweise der Firmen auf Fehler durchforsten, um diese sodann kostenpflichtig abzumahnen.
Unternehmen sollten die verbleibende Zeit also intensiv nutzen, um die Vorgaben der DS-GVO umzusetzen. Um Handlungsbedarf zu identifizieren, bieten einige Landesdatenschutzbehörden Hilfestellung an. So stellt der Landesdatenschutzbeauftragte in NRW auf seiner Webseite einen Online-Test zur Verfügung, mit dem Unternehmen prüfen können, wie gut sie schon vorbereitet sind. Speziell an kleine und mittlere Unternehmen richtet sich der niedersächsische Landesdatenschutzbeauftragte mit einem Fragenkatalog.
Bei der inhaltlichen Umsetzung der Vorgaben der DS‑GVO können Unternehmen auch auf Kurzpapiere zurückgreifen, die von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) erarbeitetet wurden. Die sogenannte Artikel-29-Datenschutzgruppe hat zahlreiche Leitlinien zu Auslegungsfragen der DS-GVO verabschiedet. Für Auftragsdatenverarbeitungsverträge können Unternehmen seit Kurzem auf ein vom bayerischen Landesamt für Datenschutzaufsicht zur Verfügung gestelltes amtliches Muster zurückgreifen. Der VCI hatte 2017 einen Workshop zur Umsetzung der DS-GVO für seine Mitglieder veranstaltet. Links zu den Präsentationen des Workshops und alle anderen Dokumente finden Sie nachfolgend:
- Zum Online-Test des Landesdatenschutzbeauftragten in NRW
- Zum Fragenkatalog speziell für KMU des Landesdatenschutzbeauftragten in Niedersachsen
- Zu den Kurzpapieren der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK)
- Zu den Leitlinien der Artikel-29-DS-GVO-Arbeitsgruppe auf der Website der EU-Kommission (englischsprachig; einzelne Leitlinien i.d.R. auch auf Deutsch verfügbar)
- Zum PDF-Muster für Auftragsdatenverarbeitungsverträge des bayerischen Landesamts für Datenschutzaufsicht
- Dokumentation des VCI-Workshops zur EU-DS-GVO vom 11. Mai 2017 mit allen Vorträgen (Log-in erforderlich)
Dieser Artikel ist im chemie report 01+02/2017 erschienen.