Machen Sie Ihr Unternehmen fit für die EU-Datenschutz-Grundverordnung.

Selten wurde über eine Verordnung der Europäischen Union im Vorfeld so kontrovers diskutiert wie an der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (sog. EU-Datenschutz-Grundverordnung „DSGVO“). Im Frühjahr 2016 wurde die DSGVO schließlich erlassen, ab dem 25. Mai 2018 wird sie in allen EU-Mitgliedstaaten unmittelbar gelten.

Unternehmen bleiben somit nur noch wenige Monate, um die Anforderungen der DSGVO umzusetzen. Diesen Zeitraum gilt es zu nutzen, denn Verstöße gegen die DSGVO können Unternehmen Bußgelder in Höhe von bis zu EUR 20 Mio. oder bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahr einbringen.

Wie gehen Unternehmen am besten vor, um die „Herausforderung DSGVO“ schnell, effizient und vor allem rechtzeitig zu meistern?

Der Einstieg in diesen Prozess gelingt Ihrem Unternehmen durch die Beantwortung von vier Leitfragen:

1. Wer ist für das Thema DSGVO in Ihrem Unternehmen verantwortlich?

Die erfolgreiche Umsetzung der DSGVO setzt – wie jedes andere Projekt auch – ein geeignetes Projektteam voraus. Dazu sollten Mitarbeiter berufen werden, die sich mit der konkreten Ausgestaltung der Datenverarbeitungsprozesse in Ihrem Unternehmen auskennen. Typischerweise sind diese Mitarbeiter in den Unternehmensbereichen IT, Recht & Compliance und Marketing angesiedelt. Da die DSGVO in Art. 38 Abs. 1 vorsieht, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird, sollte auch Ihr Datenschutzbeauftragter in das Projektteam berufen werden.

Ein Angehöriger der Geschäftsleitung muss dagegen nicht zwingend Mitglied des Teams werden. Das Projektteam sollte aber regelmäßig zum Projektstand an die Geschäftsleitung berichten, damit diese ihrer gesetzlichen Pflicht zur sorgfältigen Unternehmensleitung nachkommen kann.

Mitglied im Projektteam sollte auch ein Mitarbeiter aus dem Bereich Finanzwesen / Controlling sein. Denn die durch die DSGVO veranlassten Umsetzungsmaßnahmen müssen in Ihrem Unternehmen auch entsprechend budgetiert werden.

Was the Expert für Sie tun kann:

Wir unterstützen Sie gerne bei der Zusammenstellung des Projektteams und führen einen Kick-off-Workshop durch, um Aufgabenstellung und Projektziele zu erläutern. Auf Wunsch begleiten wir Ihr Team auch über die gesamte Dauer mit regelmäßigen Workshops zum Projektverlauf.

2. Welche Maßnahmen sind zur Umsetzung der Vorgaben der DSGVO in Ihrem Unternehmen zu ergreifen?

Das hängt davon ab, wie die datenschutzrelevanten Prozesse bislang in Ihrem Unternehmen ausgestaltet sind. Ausgangspunkt ist also die Gegenüberstellung des Status Quo und der Vorgaben der DSGVO.

Die Vorgaben sind umfangreich, betreffen aber nicht jedes Unternehmen in gleichem Maße. Folgende Regelungen können aber bei Unternehmen zu Handlungsbedarf führen:

  • Informationspflichten bei der Datenerhebung (Art. 13, 14 DSVO)

  • Löschung, „Recht auf Vergessenwerden“ (Art. 17 DSGVO),

  • Privacy by design and by default“ (Art. 25 DSGVO),

  • Vereinbarungen gemeinsam für die Datenverarbeitung Verantwortlicher (Art. 26 DSGVO),

  • Auftragsdatenverarbeitung (Art. 28, 29 DSGVO),

  • Dokumentation aller Datenverarbeitungen eines Unternehmens in einem Verarbeitungsverzeichnis (Art. 30 DSGVO),

  • technische und organisatorische Maßnahmen für die Sicherheit der Datenverarbeitung (Art. 32 DSGVO),

  • Meldepflichten bei Datenlecks u.ä. (Art. 33 DSGVO),

  • Datenschutz-Folgen-Abschätzung (Art. 35 DSGVO) sowie

  • Übermittlung von Daten in Drittstaaten (Art. 44 ff. DSGVO).

Was the Expert für Sie tun kann:

Wir analysieren gemeinsam mit den Experten Ihres Unternehmens die datenschutzrechtlich relevanten Prozesse. Ausgehend von dieser Prozessanalyse entwickeln wir einen Plan, der die nach der DSGVO zu ergreifenden Maßnahmen enthält, Verantwortlichkeiten für deren Umsetzung auflistet und priorisiert. Gerne führen wir auch ein Datenschutz-Audit durch – sobald der Maßnahmenplan umgesetzt wurde –, um etwaige Verstöße gegen die DSGVO vor dem Stichtag 25. Mai 2018 aufzudecken.

3. Was ist im Hinblick auf den Betriebsrat im Zusammenhang mit der DSGVO zu beachten?

Aufgabe des Betriebsrates ist es u.a., über die Einhaltung der gesetzlichen Vorschriften zum Schutz der Arbeitnehmerinnen und Arbeitnehmer zu wachen. Im Bereich des Datenschutzrechts zählt auch die DSGVO zu diesen Schutzvorschriften.

Ihr Unternehmen sollte daher bestehende Betriebsvereinbarungen daraufhin untersuchen, ob sich durch die DSGVO Änderungsbedarf ergibt, und hierüber mit dem Betriebsrat zeitnah sprechen.

Was the Expert für Sie tun kann:

Unsere auf das Arbeits- und Datenschutzrecht spezialisierten Rechtsanwälte überprüfen die in Ihrem Unternehmen bestehenden Betriebsvereinbarungen, ermitteln einen durch die DSGVO verursachten Änderungsbedarf und machen Vorschläge zur Umsetzung der Änderungen.

Zusätzlich begleiten wir auch Gespräche zwischen Betriebsrat, Geschäftsführung oder Vorstand zu diesen Themen.

4. Wie stellt Ihr Unternehmen sicher, kontinuierlich den Anforderungen des DSGVO zu entsprechen?

Vordringliches Ziel ist es zunächst, am 25. Mai 2018 den Anforderungen der DSGVO zu entsprechen. Aber auch nach diesem Stichtag darf Ihr Unternehmen die DSGVO nicht aus dem Blick verlieren. Ihr Unternehmen muss vielmehr Maßnahmen ergreifen, die sicherstellen, dass es dauerhaft diesen Anforderungen genügt.

Neben Schulungen / Weiterbildung Ihrer Mitarbeiter zur Sensibilisierung für datenschutzrechtliche Vorgänge muss Ihr Unternehmen vor allem

  • Einwilligungen in die Verarbeitung personenbezogener Daten ordnungsgemäß einholen und dokumentieren (Art. 7 DSGVO),

  • Betroffenenrechte wie Ansprüche auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Verarbeitungseinschränkung (Art. 18 DSGVO) und Datenübertragung (Art. 20 DSGVO) sowie Widerspruchsrechte (Art. 21 DSGVO) wahren und die im Unternehmen implementierten Prozesse zum Datenschutz dokumentieren (Art. 24 DSGVO).

Was the Expert für Sie tun kann:

Wir unterstützen Ihr Unternehmen bei der Einrichtung eines Einwilligungs- und Beschwerdemanagements, das den Anforderungen der DSGVO genügt.

Wir führen für Sie maßgeschneiderte Mitarbeiterschulungen durch und sorgen so dafür, dass Ihre Mitarbeiter in puncto Datenschutz auf dem neuesten Stand sind und bleiben.

Schließlich übernehmen wir auf Wunsch auch die Erstellung der fortlaufenden Dokumentation Ihrer Datenschutz-Prozesse.