Kontakt
Support
Pohl Consulting Team GmbH
Mengeringhäuser Str. 15
34454 Bad Arolsen

+49 5691 8900 501
info@pct.eu

Zum Kontaktformular

DSGVO: Countdown bis 20. Mai 2018

DSGVO: Countdown bis 25. Mai 2018

Seit zwei Jahren in Kraft, läuft die Schonfrist am 25. Mai 2018 ab. Bis dahin müssen alle Unternehmen technisch und organisatorisch Sorge dafür tragen, dass die in der DSGVO formulierten verschärften Anforderungen an Schutz und unwiederbringlicher Löschung von Daten sowie der Meldepflicht bei Verstößen umgesetzt werden.

Die Aufsichtsbehörden erhalten hierbei deutlich mehr Befugnisse und einen erheblich höheren Sanktionsrahmen (bislang Bußgelder bis EUR 300.000,-, ab Mai 2018 Bußgelder bis EUR 20 Mio. bzw. sogar bis zu 4% des weltweiten Konzernumsatzes).

Zudem dreht sich die Beweislast: Nach Art. 5 der neuen DSGVO unterliegt jedes Unternehmen fortan einer „Rechenschaftspflicht“, es muss daher die Einhaltung des Datenschutzes aktiv durch Vorlage von Dokumenten beweisen, während die Behörde sich zurücklehnen kann. Es ist daher zu erwarten, dass sich die Aufsichtsbehörden ab 2018 deutlich aktiver aufstellen und häufiger hohe Bußgelder festsetzen werden. Genau das macht den Unterschied aus.

Unternehmen müssen fortan ein Datenschutz-Management-System aufsetzen. Alle heute vorhandenen Dokumente, IT-Richtlinien, Prozessbeschreibungen, Merkblätter, IT-Dienstleisterverträge, Mitarbeitervereinbarungen mit IT-Bezug, Einwilligungserklärungen, Datenschutzerklärungen etc. müssen überarbeitet bzw. neu erstellt werden, soweit noch nicht vorhanden. Infolge der neuen Rechenschaftspflicht müssen diese Dokumente im Falle eines spontanen Datenschutz-Audits der Aufsichtsbehörde jederzeit vorgelegt werden können.

Bei großen, mittelständischen Unternehmen verursacht dies regelmäßig einen Zeitaufwand von 10 bis 15 Monaten, zumal die einzelnen Fachabteilungen einbezogen werden müssen. Da die Dokumente jedoch schon im Mai 2018 vorliegen müssen, ist Eile geboten.

Inhaltlich sollten Unternehmen insbesondere darauf achten, dass

  • ein vollständiges Verfahrensverzeichnis (zukünftig „Verarbeitungsverzeichnis“) unter Benennung aller IT-Systeme und Datenstandorte sowie ein Datenschutzkonzept vorliegt,
  • ein – bestenfalls schriftlicher – Vertrag nach den Anforderungen des neuen Art. 28 DSGVO mit jedem IT-Dienstleister geschlossen wird, der entweder personenbezogene Daten aus dem Unternehmen zur (theoretischen) Einsicht erhält (z.B. Cloudprovider) oder aber Zugriff auf die Systeme des Unternehmens hat (z.B. Wartungszugriff),
  • ein Datenschutzbeauftragter bestellt wird, wenn mindestens 10 Mitarbeiter im Unternehmen personenbezogenen Daten verarbeiten, also z.B. mit Microsoft Outlook arbeiten,
  • ein Verfahren zur Meldung von Datenschutzverstößen an die Behörden installiert wird, das technisch eine Meldung innerhalb von 72 Stunden nach Kenntnis gewährleistet,
  • jede neue Softwareinstallation fortan vor Inbetriebnahme vom Datenschutzbeauftragten daraufhin überprüft wird, ob Risiken für die Betroffenen bestehen (Datenschutz-Folgenabschätzung),
  • alle Datenschutzerklärungen (besonders online) überarbeitet werden, da sich die Informationspflichten erheblich verschärft haben (Art. 13 DSGVO)
  • ein IT-Sicherheitskonzept in überarbeiteter Form vorliegt, das die neuen Vorgaben wie Belastbarkeit der Systeme, Datenübertragbarkeit, Privacy by Design, Privacy by Default, Recht auf Vergessen oder Pseudonymisierung/Verschlüsselung beschreibt und Handlungsvorgaben beinhaltet.

Zurück