Ab 25.05.2018 in Kraft: das neue Datenschutzrecht

„Na, und?“, mögen viele denken. Doch Vorsicht: Bei Verstößen drohen empfindliche Strafen bis 20.000,00 € oder gar bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres!

Ist Ihr Datenschutzmanagement auf dem neuesten Stand? Machen Sie den LW.P-Check und lesen Sie unsere Tipps und Handlungsempfehlungen!

In 100 Tagen, am 25.05.2018, tritt das neue Datenschutzrecht in Kraft. Spätestens ab diesem Datum müssen Unternehmen die EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) zwingend beachten. Ansonsten drohen hohe Schadenersatzforderungen, wenn die strengen Anforderungen des Datenschutzrechts nicht, nicht richtig oder nicht vollständig umgesetzt werden. Doch was müssen Sie beachten?

1. Sind Sie verpflichtet?

Die neuen datenschutzrechtlichen Vorgaben gelten für jedes Unternehmen, das Daten automatisiert verarbeitet, also zunächst für alle Firmen mit Kundendatenbanken, Personaldatensystemen oder sonstigen IT-Strukturen. Nahezu jedes Unternehmen verarbeitet personenbezogene Daten, etwa für Zwecke der Werbung, der Kundenpflege, zur Durchführung von Verträgen oder von Beschäftigungsverhältnissen.

2. Kennen Sie Ihre Prozesse?

Um den neuen Anforderungen gerecht zu werden, ist es wichtig, die internen Abläufe zur Verarbeitung personenbezogener Daten zu überprüfen, um zu erkennen, welche Daten zu welchem Zweck und auf welcher Rechtsgrundlage gespeichert werden (z. B. Einwilligung, Vertragserfüllung, Cloud-Umgebung).

Diese Verarbeitungsabläufe sollten von den Unternehmen möglichst genau dokumentiert werden. In diesem Zusammenhang stellen sich für Ihr Unternehmen folgende Fragen:

  1. Besteht für die Personendaten bereits ein nach neuem Recht erforderliches Verarbeitungsverzeichnis?
  2. Wurden bestehende Verträge ausgewertet, insbesondere Verträge zwischen Verantwortlichen und Auftragsverarbeitern?
  3. Stimmen die allgemeinen Rahmenbedingungen?
  4. Welche IT- und sonstigen organisatorischen Maßnahmen zum Schutz personenbezogener Daten sind vorhanden?
  5. Wurde ein Datenschutzbeauftragter benannt?

Wichtig ist in diesem Zusammenhang, dass auch die Führungsebene an solchen Überprüfungen beteiligt ist und regelmäßig in die Prozesse zur Datenverarbeitung eingebunden wird. Bei einem etwaigen Verstoß gegen Vorgaben des neuen Datenschutzrechts sind nämlich die Unternehmen in der Pflicht, zu beweisen, dass sie alles richtig gemacht haben – dieser Nachweis kann in der Praxis mitunter schwierig werden!

3. Informieren Sie ausreichend?

Was bisher galt, gilt ab Mai 2018 besonders!

Auch nach dem neuen Datenschutzrecht sind Betroffene bereits bei der Erhebung personenbezogener Daten zu informieren über

  • den Verantwortlichen,
  • einen etwaigen Datenschutzbeauftragten,
  • den Zweck der Erhebung und Verarbeitung der Daten,
  • die Rechtsgrundlage bzw. die berechtigten Interessen,
  • das Löschkonzept, Auskunfts-, Widerrufs- und Beschwerderecht,
  • die Notwendigkeit für die zu erbringende Leistung und eine gegebenenfalls beabsichtigte Zweckänderung der Nutzung bzw. Verarbeitung.

Dass eine Information erfolgt ist, und welchen Inhalt diese Information hat, sollte ebenfalls dokumentiert werden. Besondere Anforderungen an die Information und die Einwilligung der Betroffenen werden gestellt, wenn personenbezogene Daten von Kindern oder Gesundheitsdaten verarbeitet werden.

4. Müssen Sie einen Datenschutz-beauftragten benennen?

Nach der DSGVO haben Unternehmen einen Datenschutzbeauftragten zu benennen, wenn

  • ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder
  • die Kerntätigkeit von der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
  • Nach dem neuen BDSG besteht eine Bestellpflicht bei einer Mindestanzahl von zehn Beschäftigten. Als Datenschutzbeauftragter kommen sowohl ein interner Mitarbeiter als auch ein externer Dienstleister in Betracht. Der Datenschutzbeauftragte wird neben seiner persönlichen Eignung auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.

Wir empfehlen:

  • Bereiten Sie sich auf die neuen Regeln vor und passen Sie Ihre internen Prozesse an.
  • Notieren Sie sich den 25.05.2018.
  • Betrachten Sie die DSGVO nicht als Belastung, sondern als Chance, die Datenverarbeitung in Ordnung zu bringen.
  • Bestellen Sie einen Datenschutzbeauftragten und weisen Sie die Zuständigkeiten für Prozesse der Datenverarbeitung klar zu. Dies erleichtert die Umsetzung immens.
  • Überprüfen Sie Ihre Vertragsgrundlagen und IT-Systeme.
  • Überprüfen Sie im Beschäftigtenverhältnis insbesondere die Informationspflichten gegenüber Ihren Beschäftigten und – sofern vorhanden – die elektronische Lohnabrechnung auf Einhaltung der Vorschriften zum Datenschutz.
  • Stellen Sie eine umfassende Dokumentation sicher.
  • Seien Sie vorbereitet auf eine Prüfung durch den Landesdatenschutzbeauftragten und den Bundesdatenschutzbeauftragten.

Wir stehen Ihnen in allen Punkten hilfreich zur Seite. Sprechen Sie uns an!

Leena Diestelhorst, Rechtsanwältin