Die DSGVO ist nun seit etwas mehr als 2 Monaten rechtskräftig und sorgt nach wie vor für Ärger, besonders in den KMU. Im folgenden Artikel gibt’s nochmal eine kleine Auffrischung der wichtigsten Punkte, die es für Unternehmen zu beachten gilt.

Seit dem 25. Mai 2018 gilt in ganz Europa die Datenschutz-Grundverordnung (DSGVO). Die neue Regelung zum personenbezogenen Datenschutz soll erstmalig einen einheitlichen Standard für Datenschutz in ganz Europa etablieren und soll bestenfalls gleichzeitig eine Wettbewerbsverzerrung, aufgrund unterschiedlicher Strenge der Richtlinien in den einzelnen EU-Ländern, von jetzt an verhindern. Die neue DSGVO hat aber auch für eine Menge Panik in zahlreichen Unternehmen und Behörden in ganz Europa gesorgt. Eine datenschutzkonforme Implementierung der neuen DSGVO-Regeln ist nämlich nicht nur zeitaufwendig, sondern oftmals extrem kompliziert.

Regelkonforme Implementierung der DSGVO

Das Thema DSGVO ist nicht mit einer einmaligen Anpassung erledigt, sondern ist ein andauernder Prozess. Wie bereits angekündigt, erhielten zahlreiche Webseitenbetreiber die ersten wettbewerbsrechtlichen Abmahnungen, manche sogar nur 1 Tag nach dem Inkrafttreten, am 26. Mai 2018. Grund hierfür sind oftmals die nicht vorhandenen oder unzureichenden Datenschutzerklärungen und deren Umsetzung.

Umsetzung der DSGVO für Unternehmen und Behörden

Selbst Unternehmen und Behörden, die die DSGVO bereits korrekt umgesetzt haben, müssen gemäß Art. 30 DSGVO das Verzeichnis über die Verarbeitungstätigkeiten auf dem neuesten Stand halten. Dieser Artikel der Verordnung besagt, dass bei weiterer personenbezogener Datenverarbeitung oder bei weiterer hinzukommender Verarbeitungstätigkeit im Laufe der Zeit das Verzeichnis zu aktualisieren sei. Dieses Verzeichnis soll als Anlage eine Auflistung von technisch-organisatorischen Maßnahmen (TOMs) enthalten. Sobald es Änderungen bezüglich der TOMs gibt, vor allem Änderungen im Bereich IT Security & Netzwerksicherheit, muss dies ebenfalls schriftlich festgehalten werden. Diese Maßnahmen dienen dem Schutz personenbezogener Daten.

Fälle der Datenschutz-Folgenabschätzung

Gemäß Art. 35 DSGVO, der die Datenschutz-Folgenabschätzung enthält, trifft diese in folgenden Fällen zu:

  1. Bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
  2. bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO oder
  3. bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Erforderliche Prüfung der Datenschutz-Folgenabschätzung

Sofern eine neue Verarbeitungstätigkeit von Daten erfolgt, muss eine Prüfung der Datenschutz-Folgenabschätzung stattfinden. Falls diese notwendig ist, muss diese umgesetzt und dokumentiert werden. Es gibt entsprechende Listen, die von den Landesdatenschutzbehörden veröffentlicht wurden. Diese Listen zeigen auf, wann eine Datenschutz-Folgenabschätzung notwendigerweise zu erfolgen hat.

Einhaltung der DSGVO bei hinzukommenden Dienstleistern

Eine Vereinbarung zur Auftragsverarbeitung wird bei neuen Dienstleistern, die Sie als Unternehmen konsultieren, zwingend erforderlich. Falls ein Dienstleister mehr Verarbeitungstätigkeiten durchführt, als anfangs festgelegt, sind diese Vereinbarungen unbedingt und möglichst zeitnah zu aktualisieren.

Zukünftige Entwicklung der Regelungen innerhalb der DSGVO

Viele Auflagen, der seit dem 25. Mai 2018 in ganz Europa geltenden DSGVO, sind umstritten und werden es noch lange bleiben. Einige Punkte werden solange in einer rechtlichen Grauzone schweben, bis die ersten Gerichtsverfahren Präzedenzfälle geschaffen haben, an denen man sich orientieren kann. Bis dahin bleibt die DSGVO leider ein riesen Klotz am Bein der KMU, die sowieso schon mit der Digitialisierung zu kämpfen haben. Deshalb empfehlen wir: lieber auf Nummer sicher gehen und den einen Schritt extra machen, um auf der sicheren Seite zu sein.