DSGVO: Es gibt noch viel zu tun
© Leitner & Hirth Rechtsanwälte
Michael Hirth Seit 2014 selbstständiger Rechtsanwalt mit Schwerpunkt Datenschutzrecht; Partner der Leitner Hirth Rechtsanwälte GmbH seit Mai 2015.
DOSSIERS Redaktion 15.12.2017

DSGVO: Es gibt noch viel zu tun

Die Datenschutzgrundverordnung muss in weniger als 200 Tagen umgesetzt sein. Die Zeit drängt!

Gastkommentar ••• Von Michael Hirth

GRAZ. Ab 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) unmittelbar in allen Mitgliedsstaaten der Europäischen Union anzuwenden; bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst sein. Die Datenschutzgrundverordnung sollte nicht auf die leichte Schulter genommen werden, da Geld­bußen bis zu 20 Mio. € drohen.

Zuerst Bestandsaufnahme

Zunächst ist es wichtig, dass der Impuls von der Geschäftsleitung ausgeht, da die erforderlichen Ressourcen für die Umsetzung der DSGVO bereitzustellen sind und klar sein muss, dass die DSGVO Auswirkungen für den täglichen Betrieb im Unternehmen hat. Im Rahmen einer Bestandsaufnahme sind alle Verfahren, mit denen personenbezogene Daten verarbeitet werden, dahingehend zu überprüfen, ob Anpassungsbedarf im Hinblick auf die DSGVO besteht. Dies betrifft insbesondere die rechtlichen, technischen und organisatorischen Bereiche im Unternehmen. Um einen Überblick davon zu bekommen, wie der Umgang mit personenbezogenen Daten im Unternehmen erfolgt, sind die aktuell realisierten Prozesse zu analysieren.

Ist-Zustand vs. DSGVO-Muss

Der erhobene Ist-Zustand muss mit den Vorgaben der DSGVO verglichen werden. Erfahrungsgemäß betrifft dies insbesondere Dienstleistungsbeziehungen wie beispielsweise Verträge mit Auftragsdatenverarbeitern, die Dokumentation der Verarbeitungstätigkeiten sowie allenfalls vorhandene Betriebsvereinbarungen.

Wesentlich verstärkt wurden die Dokumentationspflichten. War bisher in vielen Fällen eine Meldung an die Datenschutzbehörde erforderlich, so ist nunmehr der Verantwortliche verpflichtet, nachzuweisen, dass personenbezogene Daten rechtmäßig verarbeitet werden. Er hat daher ein Verzeichnis aller Verfahren zu führen, in denen personenbezogene Daten verarbeitet werden. Wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Betroffenen hat, ist eine Datenschutzfolgeabschätzung vorzunehmen. Es sind die Risiken für die Betroffenen zu beurteilen und geeignete Abhilfemaßnahmen zu treffen.

Betroffenenrechte beachten

Werden die Daten beim Betroffenen erhoben, so ist er bei Datenerhebung umfassend über die verarbeitende Stelle, den Zweck der Verarbeitung, die Speicherdauer, etc. zu informieren.

Durch die DSGVO werden die Betroffenenrechte wie beispielsweise das Recht auf Auskunft, das Recht auf Berichtigung und das Recht auf Löschung gestärkt. Mit dem neu geschaffenen Recht auf Datenübertragbarkeit soll dem Betroffenen der Wechsel des Anbieters erleichtert werden. Es sind daher Prozesse zu entwickeln, die sicherstellen, dass diese Rechte gewährleistet werden können.
Die von der DSGVO neu geschaffene Verpflichtung zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen fordert, dass Technik so gestaltet wird, dass nur die für den konkreten Zweck erforderlichen Daten verarbeitet werden. Die DSGVO fordert auch, dass ein angemessenes Schutzniveau in Bezug auf die Sicherheit der Verarbeitung zu gewährleisten ist. Es sind daher Maßnahmen zur Datensicherheit zu implementieren und regelmäßig zu überprüfen.

BEWERTEN SIE DIESEN ARTIKEL

TEILEN SIE DIESEN ARTIKEL