Ein halbes Jahr noch bis zur DS-GVO – Was Unternehmen jetzt tun sollten

16. April 2020

Am 25.05.2018 wird die Datenschutz-Grundverordnung (DS-GVO) in Kraft treten und in allen EU-Mitgliedstaaten unmittelbar gelten. Jeder, der in seinem Unternehmen mit Kunden- oder Beschäftigtendaten in Berührung kommt und diese verarbeitet oder durch Dritte verarbeiten lässt, wird sich mit den neuen Anforderungen der DS-GVO beschäftigen müssen. Wir stellen Ihnen fünf Maßnahmen als Shortcuts auf unserer Data-Roadmap vor, die Ihnen helfen können, ein gewisses Mindestmaß der neuen DS-GVO-Anforderungen bei sich im Unternehmen umzusetzen.

Was die DS-GVO allgemein bedeutet

Mit Inkrafttreten der DS-GVO werden aktuell noch geltende Datenschutzgesetze unwirksam und dürfen nicht mehr angewendet werden. Der deutsche Gesetzgeber hat bereits reagiert und ein neues Bundesdatenschutzgesetz – BDSG (neu) – verabschiedet, das zusammen mit der DS-GVO in Kraft treten wird. Jedoch wird das BDSG-neu nur in den Bereichen gelten, in denen die DS-GVO den Mitgliedstaaten einen Spielraum für die eigenstaatliche Umsetzung belässt. Ansonsten müssen die Regelungen der DS-GVO in allen Mitgliedstaaten (hoffentlich) einheitlich angewendet werden, da die Verordnung unmittelbar in jedem Mitgliedstaat gleichermaßen gilt.

Wir stellen in unserer anwaltlichen Beratungspraxis und Referententätigkeit (zuletzt auf dem Barcatta IT-Businessday am 16.11.2017) fest, dass das Thema DS-GVO und deren Anforderungen gerade bei kleinen und mittelständischen Unternehmen noch nicht so recht angekommen ist bzw. eine gewisse Unsicherheit und ggf. auch Planlosigkeit verbreitet zu sein scheint, das große Thema DS-GVO anzugehen. Dabei ändert sich künftig – zusammenfassend betrachtet – gar nicht so viel, was nicht auch schon nach aktuell geltendem Datenschutzrecht zu beachten ist. Die Angst vor dem großen „DS-GVO-Bären“, der einen erwischen und fressen wird, ist also nur teilweise begründet. Voraussetzung ist natürlich, dass Sie in Ihrem Unternehmen ein gewisses Datenschutzniveau geschaffen haben.

Richtig ist aber auch, dass die DS-GVO teils drakonische Strafen bei Datenschutzverstößen vorsieht, was nach noch geltendem Recht nicht der Fall ist. Zum Beispiel können gegen ein Unternehmen Bußgelder in Höhe von bis zu 20 Mio. € oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Insofern sollte man durchaus nicht zu denjenigen gehören, die sich ausruhen und im Zelt liegen bleiben, wo sie der DS-GVO-Bär auf jeden Fall erwischen wird. Es ist an der Zeit, loszulaufen und sich einen Vorsprung zu verschaffen.

Was Unternehmen tun sollten – wesentliche Shortcuts für Ihre Data-Roadmap

Bezüglich der einzuleitenden Maßnahmen gibt es veschiedene Sichtweisen und entsprechende Beratungspakete am Markt, die mit unterschiedlich langen Checklisten, Beratungstagen und oft sehr hohen Kosten verbunden sind. Wir als Anwälte müssen Ihnen selbstverständlich dazu raten, sämtliche Anforderungen der DS-GVO zu beachten, die erwähnten langen Checklisten durchzuarbeiten und abzuhaken und deren Anforderungen in Ihrem Unternehmen umzusetzen. Das hört sich alles sehr zeitaufwändig und kostspielig an, ist es im Ergebnis aber vielleicht gar nicht. Denn Sie oder Ihr Datenschutzbeauftragter (sofern vorhanden) können viele Punkte bei der Umsetzung der DS-GVO-Anforderungen selbst erledigen.

Einige Shortcuts möchten wir Ihnen an dieser Stelle gerne mitgeben:

Formalitäten: Welche Prozesse haben wir?

Beginnen Sie damit, die eigenen Prozesse zum Umgang mit personenbezogenen Daten zu erfassen, zu analysieren und zu dokumentieren, wenn Sie dies nicht ohnehin schon tun. Welche Datenverarbeitungsprozesse finden in Ihrem Unternehmen überhaupt statt und welche Vorkehrungen haben Sie bezüglich Datenschutz und Datensicherheit getroffen? Hierzu braucht es nicht unbedingt ein mehrtägiges Datenschutz-Audit, wohl aber ein sauber und vollständig geführtes Verzeichnis sämtlicher Verarbeitungstätigkeiten in Ihrem Unternehmen, bei denen mit personenbezogenen Daten umgegangen wird.

Standardmaßnahmen ausschöpfen

Schöpfen Sie Standardmaßnahmen aus:

  1. Renovieren Sie Ihre Datenschutzerklärungen, vor allem auf für jedernann zugänglichen Webseiten.
  2. Nutzen Sie die Möglichkeiten der Anonymisierung und Pseudonymisierung, wo es möglich ist und Sie auf einen Umgang mit personenbezogenen Daten verzichten können. 
  3. Überprüfen Sie Ihre Auftragsverhältnisse und sichern sie diese auch im Hinblick auf den Datenschutz ab: In welchen Bereichen greifen Sie für die Verarbeitung personenbezogener Daten auf Dritte zurück oder wo lässt sich zumindest technisch ein Zugriff auf bei Ihnen gespeicherte personenbezogene Daten durch diese Dritte nicht ausschließen?
  4. Holen Sie sich Einwilligungen, um einzelnen Verarbeitungstätigkeiten durch eine Erklärung des Betroffenen abzusichern.
  5. Schaffen Sie auch im Bereich der technischen Datensicherheit ein entsprechendes Schutzniveau in Ihrem Unternehmen.

Weitere Analysen und Maßnahmen outsourcen

Sie werden feststellen, dass Sie beim Ausschöpfen der Standardmaßnahmen ggf. im Zusammenwirken mit Ihrem Datenschutzbeauftragen selbst schon recht weit kommen werden. Jedoch wird sich wahrscheinlich ein zumindest punktueller Bedarf an Beratung ergeben. Hierbei können wir Sie gerne unterstützen.