Für EU-Länder gelten ab dem 25. Mai 2018 die neuen Datenschutzstandards auf Basis der EU-DSGVO (EU-Datenschutz-Grundverordnung). Nicht auf alle aber auf viele Unternehmen werden hierdurch Anpassungsarbeiten in größerem Umfang zukommen. Neben der Anpassung von Datenschutz-Prozessen sollten sich Unternehmen auf einen steigenden Dokumentationsaufwand einstellen.
Die bisher geltenden Regelungen des Bundesdatenschutzgesetzes (BDSG) werden weitgehend durch die europäische Verordnung ersetzt. Im Mai 2018 werden die Regeln für Unternehmen verbindlich. EU-Datenschutzbehörden können nach dem Stichtag bei nicht ausreichender Umsetzung der Vorgaben Sanktionen verhängen.
Welche Änderungen kommen mit der neuen Verordnung?
Neben der EU-weiten Vereinheitlichung der Datenschutzrichtlinien steht die Stärkung von Nutzerrechten im Fokus der neuen EU-DSGVO. So müssen Unternehmen, die personenbezogene Daten verarbeiten, in Zukunft mehr Aufwand betreiben, um den veränderten Anforderungen gerecht zu werden.
Aus Verfahrensverzeichnis wird Verzeichnis von Verarbeitungstätigkeiten
Die Regelungen zum Verfahrensverzeichnis (§ 4g Abs. 2 BDSG) werden zukünftig im Art. 30 DSGVO geregelt. In diesem wird das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten vorgeschrieben. Weiterhin müssen die wesentlichen Informationen der Datenverarbeitung zusammengefasst werden. Die Änderung besteht darin, dass die dokumentierten Verfahren nur noch den Aufsichtsbehörden auf Antrag zur Verfügung gestellt werden müssen. Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten wird zukünftig auch Auftragsverarbeiter treffen.
Aus Vorabkontrolle wird Folgenabschätzung
Auch die bisherige Vorabkontrolle (§ 4d Abs. 5 BDSG) wird ersetzt und zukünftig durch die Datenschutz-Folgenabschätzung Art. 35 DSGVO geregelt. Im Gegensatz zur Vorabkontrolle ist der Anwendungsbereich, der eine Folgenabschätzung notwendig macht, vergrößert worden. So muss die zuständige Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, erstellen und veröffentlichen. Darüber hinaus müssen zur inhaltlichen Dokumentation der Folgenabschätzung Mindestvorgaben erfüllt werden.
Melde- und Dokumentationspflicht
Mit der neuen Verordnung wird darüber hinaus die Meldepflicht bei Datenpannen ausgedehnt. Jede Verletzung des Schutzes personenbezogener Daten muss ohne unangemessene Verzögerung binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Die Meldepflicht nach Art 33 und 34 DSGVO greift unabhängig von den betroffenen Daten sowie der Art der Verletzung, wenn ein Risiko für die Rechte und Freiheiten des Betroffenen besteht. Unabhängig von der Meldepflicht sind Unternehmen dazu verpflichtet alle möglichen Verletzungen des Schutzes personenbezogener Daten – unter Berücksichtigung aller Fakten, deren Auswirkungen sowie der ergriffenen Maßnahmen – zu dokumentieren. Bleibt diese aus, muss der Datenschutzbeauftragter (DSB) eine schriftliche Argumentation – warum von einer Meldung abgesehen wurde – abgeben. Ebenso müssen auch betroffene Personen zukünftig zusätzlich neben der Aufsichtsbehörde nur informiert werden, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten besteht.
Weitere Anpassungen
Nach Inkrafttreten der neuen Verordnung haben Nutzer jederzeit Anspruch auf Auskunft, welche Daten ein Unternehmen über sie gespeichert hat, wie auch schon zuvor gemäß BDSG §34. Die Informationen müssen jetzt ohne Verzögerung und „in präzisier, transparenter, verständlicher sowie leicht zugänglicher Form“ (Art.12 DSGVO) an den Nutzer übermittelt werden.
Zusätzlich soll ein „dem Risiko angemessenes Schutzniveau“ (Art. 32 DSGVO) dadurch gewährleistet werden, dass „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ im Unternehmen etabliert wird.
Bei Nichteinhaltung der Verordnung können auf die Unternehmen erhebliche Strafzahlungen zukommen. Die Bußgelder können bis 20 Millionen Euro bzw. bis zu vier Prozent des weltweiten Unternehmensumsatzes betragen (Art. 83 u. 84 DSGVO).
Dies sind nur einige, grob zusammengefasste, Herausforderungen, denen sich Unternehmen stellen müssen.
Einsatz von IT-Systemen
Die Umstellung vom BDSG auf die neue EU-DSGVO bedeutet nicht nur eine Veränderung der datenschutzbezogenen Arbeitsabläufe, sondern auch die Erfüllung zusätzlicher Anforderungen in den Bereichen Transparenz und Dokumentation.
Lothar Symanofsky, Datenschutz-Berater bei der otris software AG, stellt fest: „Unsere langjährigen Erfahrungen zeigen, dass besonders größere Unternehmen die zahlreichen und zugleich umfangreichen Anpassung der unternehmensweiten Datenschutzprozesse nicht ohne den Einsatz spezieller Softwarelösungen umsetzen können.“
Weitere Informationen zum Thema EU-Datenschutzgrundverordnung finden Sie unter www.otris.de.
Lothar Symanowsky ist Key Account Manager bei der otris software AG und Ansprechpartner für den Bereich Datenschutzmanagement sowie die Datenschutzsoftware otris privacy. Gerne können Sie Herrn Symanowsky per eMail (privacy@otris.de) sowie telefonisch unter +49 (231) 9580 69 50 kontaktieren.