EU-Datenschutzgrundverordnung - Was ist zu tun?

Am 25. Mai 2018 trat die Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie hat die bisherige EU-Richtlinie und die nationalen Vorschriften der Mitgliedstaaten in weiten Teilen abgelöst und ersetzt und gilt europaweit unmittelbar und verbindlich in allen Mitgliedstaaten.

Die DSGVO sieht an einigen Stellen Öffnungsklauseln vor, die den Mitgliedstaaten gestatten, abweichende Regelungen zu treffen. Dies ist in Deutschland beispielsweise mit der Neufassung des Bundesdatenschutzgesetzes (BDSG) geschehen, das seit 30.06.2017 in Kraft ist.

Unternehmen müssen ihre internen Datenverarbeitungsprozesse überprüfen und an die neue Rechtslage anpassen. Dazu gehört insbesondere:

01) Datenschutzerklärung aktualisieren

- Internetseite / Onlineshop anpassen

02) Prüfen, ob Datenschutzbeauftragter benannt werden muss

- Soweit in der Regel mindestens 10 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten befasst sind oder besonders sensible Daten verarbeitet werden.

03) Rechtsgrundlage für Datenerhebung prüfen

- Gibt es eine Vertragsbeziehung/Vertragsanbahnung?
- Gibt es ein berechtigtes Interesse Ihrerseits und kein überwiegendes entgegenstehendes           Interesse des Betroffenen?
- Einwilligungserklärungen überprüfen und ggf. anpassen (umfassende Information, freiwillige Erteilung).

04) Verarbeitungsverzeichnis erstellen

- Umfasst alle Vorgänge der Datenverarbeitung in Ihrem Unternehmen mit den einzelnen Verarbeitungsschritten, Muster finden Sie hier.

05) Datenschutz-Folgenabschätzung durchführen

- Risikobewertung bestimmter Datenverarbeitungsvorgänge

06) Nachweise führen

- Dokumentieren Sie, dass und wie Sie die Anforderungen der DS-GVO umsetzen.

07) Informationsrechte betroffener Personen beachten

- Zum Zeitpunkt der Datenerhebung z. B. über Zweck und Rechtsgrundlage der Datenerhebung informieren.
- Unternehmensintern festlegen, wer die Beantwortung von Auskunftsansprüchen übernimmt und wie sie erfolgen.

08) Nutzerrechte im Blick haben

- transparente Information und Kommunikation, Recht auf Berichtigung und Löschung von Daten beachten

09) Dienstleisterverträge abschließen bzw. kontrollieren

- Mit Auftragsdatenverarbeitern (z. B. Hosting-Anbieter, externe Lohnbuchhaltung) müssen Verträge abgeschlossen bzw. bestehende Verträge an das neue Recht angepasst werden.

10) Datenpannen melden

- Innerhalb von 72 Stunden an die Aufsichtsbehörde (www.datenschutz-mv.de)

Weitergehende Informationen und Arbeitshilfen für die praktische Umsetzung der DSGVO in Ihrem Unternehmen erhalten Sie auf der Internetseite des Landesdatenschutzbeauftragten Mecklenburg-Vorpommern, des Landesdatenschutzbeauftragten Bayern und beim Bundesdatenschutzbeauftragten:

www.datenschutz-mv.de/datenschutz/DS-GVO

www.lda.bayern.de/de/kleine-unternehmen.html

www.bfdi.bund.de