Noch 2 Monate bis zur DSGVO: Das ist jetzt zu tun

Bußgelder bei Verstößen auch gegen die Dienstleister

Wichtig ist für alle Beteiligten auch zu wissen, dass nicht nur das Unternehmen selbst, sondern nach neuem Recht auch der Auftragsverarbeiter für die Einhaltung datenschutzrechtlicher Vorschriften haftet. Während sich früher IT-Dienstleister als Auftragsverarbeiter (früher Auftragsdatenverarbeiter genannt) noch zurücklehnten, weil die Haftung den Auftraggeber traf, so können nun dieselben Bußgelder bei Datenschutzverstößen auch gegen die Auftragsverarbeiter verhängt werden. Jeder Dienstleister, erst recht jeder Hoster, ist also gut beraten, sich um den Datenschutz seiner Kunden zu kümmern.

Was ist in der verbleibenden Zeit noch möglich?

Zunächst bedarf es einer dezidierten Risikoanalyse mit einer Bestandsaufnahme von Prozessen und Verfahren. Jedes Unternehmen hat zu untersuchen, welche Daten über welche Systeme verarbeitet werden. Gemeint ist hier tatsächlich die Verarbeitung auf Datenfeldebene, da sich hier bereits die Frage der Notwendigkeit für den relevanten Zweck ergibt. Unter den Schlagwörtern Privacy by Design und Privacy by Default ist nämlich gemeint, dass der Verantwortliche den Datenschutz durch datenschutzfreundliche Voreinstellungen sicherzustellen hat, dass nur die personenbezogenen Daten verarbeitet werden, die für den konkreten Zweck ­erforderlich sind.
Bei Online Shops stellt sich vor diesem Hintergrund die Frage, welche Datenfelder tatsächlich für einen Bestellvorgang gerechtfertigt sind. Kennt man den Umfang der personenbezogenen Daten und Datenfelder, ist zu untersuchen, auf welchen Systemen mit welcher IT-Architektur diese verarbeitet werden, vor allem durch wen - und wer darauf Zugriff hat.
Ebenfalls erforderlich ist die Schaffung eines Datenschutzmanagementsystems, das umfangreiche Anforderungen an die Dokumentation und Implementierung von Regeln, Prozessen und Maßnahmen enthält. Ohne alle zu nennen, gehört hier das Verzeichnis von Verarbeitungstätigkeiten und das IT Sicherheitsmanagement genauso dazu wie ein Berechtigungs-, ein Löschungs- oder auch ein Meldekonzept bei Datenschutzverstößen. Weitgehend unbeachtet ist bislang der als Ergänzung zur DSGVO neu aufgenommene § 77 BDSG, wonach der Verantwortliche eine Möglichkeit schaffen muss, dass ihm vertrauliche Meldungen über Datenschutzverstöße zugeleitet werden müssen, also eine Whistleblower-Vorschrift.

Dokumentation und Rechenschaftspflicht

Setzt man sich also mit den Grundanforderungen an Dokumentationspflichten mit den genannten Aspekten auch des ­Datenschutzrisikomanagements auseinander, sollte eine Task Force zusammen­gestellt werden, die sich als Projektteam nunmehr konzentriert mit der Umsetzung der DSGVO beschäftigt.
Hier bedarf es neben der Festlegung von Projektzielen und der Bestandsaufnahme auch einer Gap-Analyse, das heißt eines strukturierten Abgleichs des Ist-Zustands mit dem Soll-Zustand. Dieses Projektteam muss den Datenschutzbeauftragten einbinden, gegebenenfalls auch den Betriebsrat; etwaige Betriebsvereinbarungen sind anzupassen.
Sobald die Handelnden und deren Verantwortlichkeiten definiert und über die Gap-Analyse der Anpassungsbedarf ermittelt wurde, geht es in die Planung neuer Prozesse und Strukturen, zumindest aber an die Ad-hoc-Anpassung der Einzelprozesse.

Die EU-Datenschutz-Grundverordnung (DSGVO) ist kein Gesetz, sie ist eine Verordnung. Deshalb muss sie auch nicht in nationale Gesetze gegossen werden, sie tritt einfach in Kraft, und zwar am Freitag, den 25. Mai 2018. Diese 9 Facts solltet ihr über die DSGVO wissen.




Das könnte Sie auch interessieren