Neues EU-Datenschutzrecht: Compliance Check

Am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) der EU wirksam werden, die erhöhte Nachweis- und Kontrollpflichten beinhaltet. Um die Einhaltung des neuen Rechts sicher zu stellen, müssen die Organisationen umfangreiche Kontrollmechanismen etablieren. Das Prinzip der Nachweisbarkeit verlangt von den Organisationen, die Compliance belegen zu können. Ein Verstoß kann zu erheblichen Bußgeldern von bis zu EUR 20 Millionen oder 4 % des jährlichen Umsatzes führen. Wir empfehlen, sich frühzeitig vorzubereiten, um eine Compliance bis Mai 2018 sicher zu stellen.

Information

Zunächst sollten Sie sich umfassend über die neuen Regelungen informieren und Ihre Datenverarbeitung prüfen lassen.

Eruierung der Datenprozesse

Danach sind die Bereiche ausfindig zu machen, in denen Datenprozesse stattfinden: Typischerweise sind dies vor allem HR und CRM (inkl Marketing).

Analyse der Prozesse

Jeder Prozess muss im Einzelnen dahingehend analysiert werden, ob die Datenschutz-prinzipien eingehalten werden. Zusätzlich müssen die Unternehmen die Rechtsgrundlage jedes Datenprozesses bestimmen. Soweit der Prozess auf einer Einwilligung beruht, ist zu prüfen, ob den Betroffenen nachweislich die erforderlichen Informationen gegeben wurden.

Analyse der internen Prozesse

Ferner müssen die internen Prozesse sowie die IT-Systeme überprüft werden. Es sind die organisatorischen und technischen Maßnahmen zur Datenschutzsicherung zu definieren und Verantwortlichkeiten zu bestimmen. Die Aufsichtsbehörden erwarten, dass Datenschutzberichte bis in die obersten Managementebenen eskaliert werden. Hinsichtlich der erforderlichen technischen Maßnahmen ist ein IT-Experte zu Rate zu ziehen.

Richtlinien und Erklärungen

Sobald die internen Prozesse geprüft wurden, müssen die entsprechenden organisatorischen und technischen Maßnahmen in internen Richtlinien umgesetzt werden. Unternehmen sollten insbesondere über eine Datenschutzrichtlinie zur Verarbeitung von Arbeitnehmerdaten sowie zu Kundendaten verfügen. Ebenfalls sollten Handlungsanweisungen zum Vorgehen bei Datenschutzverstößen und Datenübertragungen existieren. Ferner ist auch Ihre Datenschutzerklärung zu aktualisieren bzw zu erstellen, in denen Sie Personen, die mit Ihnen in Kontakt treten, über die Nutzung Ihrer personenbezogenen Daten informieren.

Dokumentation

Für bestimmte Datenverarbeitungsprozesse bestehen Dokumentationspflichten. Wir empfehlen Ihnen generell, jegliche Datenprozesse zu dokumentieren, um Ihrer Nachweisbarkeitspflicht zu genügen.

Datenschutzbeauftragter

Bestimmte Arten von Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu bestellen. Sie müssen prüfen, ob dies auch für Ihr Unternehmen zutrifft.

Sensibilisierung und Schulung

Mitarbeiter mit Zugang zu personenbezogenen Daten müssen über die neuen Anforderungen informiert werden.

Überwachung und Sicherheit sind kontinuierliche Prozesse, die Sie fortlaufend während des gesamten Datenverarbeitungsprozesses zu beachten haben.

Die vorliegende Zusammenfassung gibt einen generellen Überblick über ein Datenschutz-audit. Ob diese für Ihr Unternehmen unter Ihrer Rechtsprechung zutrifft, bedarf der konkreten Analyse.

Für die Unterstützung bei der Durchführung eines solchen Verfahrens, stehen die KollegInnen der jeweiligen Standorte jederzeit gerne zur Verfügung.

Weitere Artikel zum Themenschwerpunkt „Datenschutzgrundverordnung 2018“