Stichtag 25. Mai 2018: In einem Jahr tritt die neue DSGVO in Kraft

Gerade noch ein Jahr bleibt Unternehmern, sich auf die neue Datenschutz-Grundverordnung (DSGVO) vorzubereiten, die am 25. Mai 2018 in allen EU-Staaten in Kraft tritt. Und dennoch geben mehr als 80 % der betroffenen Sicherheitsexperten an, bislang keine oder nur wenige Details zur DSGVO zu kennen. Umso wichtiger ist es, sich jetzt mit den zentralen Inhalten zu befassen und die nötigen Schritte einzuleiten, denn eine gesetzliche Übergangsfrist wird es nicht geben. Abschreckend sind indes die Folgen einer Nichteinhaltung: Betroffenen Unternehmen drohen sehr hohe Bußgelder von bis zu 20 Millionen Euro bzw. 4 % des gesamten Jahresumsatzes.

Datenschutz-Grundverordnung: Was ist das eigentlich?

Die neue DSGVO reglementiert die Verarbeitung personenbezogener Daten. Sie gilt für alle in einem Mitgliedstaat der EU niedergelassenen Unternehmen oder Auftragsverarbeiter, unabhängig davon, wo die Datenverarbeitung stattfindet. Daher sind auch Cloud-Anwendungen außerhalb der EU von der neuen Datenschutz-Grundverordnung betroffen. Einige nationale Regelungen wie beispielsweise das Bundesdatenschutzgesetz (BDSG) oder das Telemediengesetz (TMG) werden nach Inkrafttreten der Verordnung nicht mehr voll anwendbar sein.

Bitte klicken Sie auf die Grafik, um sie zu vergrößern.

Verbot von Datenverarbeitung: die wichtigste Regelung

Die neue DSGVO besagt, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist. Dieses Verbot darf nur dann gebrochen werden, wenn eine explizite Erlaubnis der betroffenen Person vorliegt. In diesem Fall spricht man vom sogenannten Erlaubnistatbestand. Will ein Unternehmen bzw. ein entsprechender Auftragsverarbeiter wie beispielsweise ein Cloud-Anbieter personenbezogene Daten verarbeiten, so benötigt er eine Einwilligung des Betroffenen (z.B. per Double-Opt-In) oder den Beweis dafür, dass berechtigtes Interesse an der Nutzung vorliegt – eine spezielle „Online-Marketing-Klausel“ definiert hierbei die genaue Rechtslage. Die DSGVO gestattet eine Verarbeitung von Daten auch, wenn diese zur Erfüllung des Vertrages erforderlich ist.

Um die Voraussetzungen eines Erlaubnistatbestands zu erfüllen, müssen folgende Datenschutzprinzipien immer eingehalten werden:

Der Countdown läuft! Folgende Maßnahmen müssen Sie jetzt ergreifen

1. Listen Sie alle Prozesse auf, bei denen in Ihrem Unternehmen personenbezogene Daten erhoben und verarbeitet werden. Anhand dieser Auflistung können Sie den Handlungsbedarf ableiten bzw. Erlaubnistatbestände und Einwilligungsprozesse überprüfen (= Compliance Check).
2. Überarbeiten Sie sämtliche Rechtstexte wie beispielsweise Einwilligungstexte, Datenschutzinformationen oder Ihre Allgemeinen Geschäftsbedingungen und stellen Sie sicher, dass diese alle relevanten Informationen zur Rechtsgrundlage enthalten.
3. Stellen Sie sicher, dass Sie Ihrer Dokumentationspflicht mit Datenschutzfolgeabschätzung nachkommen. Leiten Sie technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzes ein. Dazu zählen die Bestellung eines Datenschutzbeauftragten oder die Verpflichtung aller Mitarbeiter zu Verschwiegenheit.
4. Stellen Sie sich auf die Meldepflichten bei Datenpannen ein. Liegt beispielswiese ein technischer Fehler vor, der den Verlust von Daten etc. zur Folge hat, muss die Aufsichtsbehörde binnen 72 Stunden informiert werden. Betroffene Personen müssen unverzüglich über den Sachverhalt aufgeklärt werden.
5. Sorgen Sie dafür, dass Anfragen zügig bearbeitet werden. Betroffene Personen haben das Recht zur Löschung und Berichtigung ihrer Daten bzw. können sich jederzeit eine Auskunft einholen. Gemäß der neuen Datenschutz-Grundverordnung muss dies innerhalb eines Monats geschehen. Um eingehende Anträge rechtzeitig zu erkennen, bietet sich die Einrichtung eines Online-Formulars an.

Bestens gewappnet für die neue DSGVO

Zögern Sie nicht länger und ergreifen Sie jetzt die notwendigen Maßnahmen, um sich auf die neue Rechtslage einzustellen. Eine Analyse durch einen Juristen hilft Ihnen dabei, Ihre aktuellen Standards mit der DSGVO abzugleichen und nötige Maßnahmen zu definieren. Dabei sollten Sie besonders auf Ihre Kooperationen im Bereich Cloud und Hosting achten: Liegt der Serverstandort Ihres Anbieters in Deutschland oder der EU? Ist der Anbieter technisch und organisatorisch auf die bevorstehenden Veränderungen vorbereitet? Verfügt er über entsprechende Verhaltenskodizes und datenschutzrechtliche Zertifikate?

Auf den ersten Blick stellt die neue Datenschutz-Grundverordnung für einige Unternehmer mit Sicherheit eine Herausforderung dar. Mit den richtigen Partnern an Ihrer Seite werden Sie die Änderungen aber in Handumdrehen meistern.