EU Datenschutzgrundverordnung

Viele Menschen haben noch nicht einmal die Abkürzung EU DSGVO gehört. Und was sich dahinter verbirgt, wissen außer ausgewiesenen Datenschutzbeauftragten und sonstigen Experten vermutlich noch weniger. Aber bedeutet das auch, dass Sie und Ihre Organisation nicht von den Auswirkungen betroffen sind? d.velop bringt Licht ins Dunkel – und stellt sechs wichtige Fragen, die Sie sich auch stellen sollten, um fit für die neue EU Datenschutz-Grundverordnung zu werden.

Und damit ist auch die erste Frage direkt beantwortet: EU DSGVO ist die Kurzform für die neue europaweit geltende Datenschutz-Grundverordnung, die bereits am 24. Mai 2016 in Kraft getreten ist. Nach einer Übergangszeit sind alle darin enthaltenen Vorgaben verpflichtend für alle Mitgliedsstaaten der Europäischen Union, und zwar ab 25.05.2018.

Da ist doch noch massig Zeit

Wirklich? Ist nicht vielmehr die Frage, wie lange Zeit ein Unternehmen benötigt, um wirklich fit für die neuen Anforderungen zu werden, bevor sie für alle gelten? Ohne Wenn und Aber? Die DSGVO hat durchaus ihr Gutes, soll sie doch den bisher löchrigen datenschutzrechtlichen Teppich Europas flicken. Damit gehen jedoch auch massiv verschärfte und neue Pflichten für das Management/Geschäftsführung, IT-Verantwortliche und Datenschutzbeauftragte zur Wahrung des Schutzes personenbezogener Daten einher. Das betrifft vor allem diese Bereiche

  • Technische und organisatorische Sicherheitsmaßnahmen (TOM)
  • Dokumentationsanforderungen beim Einsatz von IT-Systemen (Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgeabschätzung, etc.)
  • Rechenschaftspflichten hinsichtlich der Einhaltung und Dokumentation der getroffenen Maßnahmen
  • Anzeigepflichten gegenüber den zuständigen Aufsichtsbehörden
  • Technischer Datenschutz (datenschutzfreundliche Voreinstellungen, Datenportabilität, Zertifizierungen, Code of Conduct, Data Protection by Design und by Default etc.)
  • Strenge Anforderungen an die Gestaltung von Einwilligungen und an die Zweckbindung bei der Verarbeitung personenbezogener Daten
  • Informationspflichten und Betroffenenrechte (z.B. Auskunft, Recht auf Vergessen werden)
  • Neue Regelungen zum internationalen Datenaustausch, internationale Anwendbarkeit der EU DSGVO und das „One-Stop-Shop“-Prinzip

Klingt aufwändig, und das ist es auch, da es gleich mehrere Organisationseinheiten eines Unternehmens in die Pflicht nimmt und sich vielfältig auf die eigenen Prozesse auswirkt – und bei Nichteinhalten die Aufsichtsbehörden einen ordentlich in die Mangel nehmen. Bußgelder in Höhe von bis zu 4 % des weltweiten Konzernjahresumsatzes (oder 20 Mio. Euro!) sind da nur die Spitze des Eisbergs.

Niemand soll durch diese Zahlen abgeschreckt werden – aber vielleicht möchten Sie einmal darüber nachdenken, ob und wie Sie sich für die Anforderungen der neuen EU DSGVO optimal aufstellen, um auf der sicheren Seite zu sein und sich um das kümmern zu können, was wirklich zählt: Ihr Geschäft. Also stellen Sie sich doch zunächst einmal folgende sechs Fragen, um herauszufinden, wie bereit Sie aktuell für die DSGVO sind.

      • 1. Wissen Sie genau, wo und in welchen Prozessen und Systemen Sie personenbezogene Daten gespeichert haben?
      • 2. Führen Sie für Ihre IT-Systeme – gleich ob on premise oder in der Cloud – ein Verzeichnis aller Verarbeitungstätigkeiten?
      • 3. Besteht bei der Verarbeitung personenbezogener Daten in Ihren IT-Systemen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen und wären Sie diesbezüglich in der Lage, dies zu ermitteln, zu dokumentieren und der für Sie zuständigen Aufsichtsbehörde anzuzeigen?
      • 4. Haben Sie für Ihre IT-Systeme ein dem Stand der Technik entsprechendes Datenschutzmanagement implementiert, um die Sicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten und zu dokumentieren?
      • 5. Sind Sie in der Lage die Verletzung des Schutzes personenbezogener Daten zu erkennen und der für Sie zuständigen Aufsichtsbehörde innerhalb von 72 Stunden in aufbereiteter Form zu melden?
      • 6. Sind Sie in der Lage, Betroffenen (Verbrauchern, Kunden, Arbeitnehmern, Versicherte, Patienten etc.) innerhalb von einem Monat mitzuteilen, welche personenbezogenen Daten über diese in Ihren IT-Systemen gespeichert sind, um diese Daten dann an die Betroffenen herauszugeben und zu löschen?

Wenn Sie alle diese Fragen mit „Ja“ beantwortet haben, sind Sie bereits auf einem hervorragenden Weg. Wenn nicht … nun ja … es ist ja noch massig Zeit…

Auf der eigens eingerichteten Website www.d-velop.de/Datenschutzgrundverordnung finden Sie in nächster Zeit weitere Informationen zur EU DSGVO, dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU), den regulatorischen Anforderungen speziell für Ihre Branche, Beispiele für EU DSGVO-Umsetzungsplanungen und vieles mehr, sodass Sie stets auf dem Laufenden bleiben. Schauen Sie doch einmal rein.

Oder kommen Sie gerne bei Fragen zu den Fragen persönlich mit uns ins Gespräch: DSGVO@d-velop.de

 

 

Christian Völkel

Christian Völkel

Head of Legal, d.velop AG

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.