Die EU-Datenschutzgrundverordnung kommt – was ist nun zu tun?

Franziska Ladiges - 19. April 2017 - IT

Ab dem 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (EU-DSGVO) gelten und die Verarbeitung personenbezogener Daten einheitlich für alle EU-Mitgliedsstaaten regeln. Sie bringt erhebliche Veränderungen im Vergleich zur bisherigen Rechtslage. Es wird keine Übergangsfrist geben. Dies bedeutet, dass Unternehmen ab dem 01. April 2017 nur noch 419 Tage bleiben, um den neuen Anforderungen der EU-DSGVO gerecht zu werden. Die Zeit wird somit knapp und Unternehmen sollten umgehend beginnen, erste Schritte zur Umsetzung zu ergreifen. In dieser Serie von Beiträgen werden die neuen Anforderungen praxisgerecht vorgestellt.

Im vorliegenden ersten Beitrag der Serie wird kurz ein mögliches Projektvorgehen vorgestellt, damit die verbleibende Zeit zur Umsetzung der Anforderungen der EU-DSGVO effektiv genutzt werden kann.

Aufgrund der erheblichen Haftungsrisiken für Unternehmen unter der EU-DSGVO sollte die Projektplanung ernst genommen werden. Eine gute Planung erleichtert die zukünftige Einhaltung der Anforderungen der EU-DSGVO erheblich. Aus diesem Grunde sollte ein „Projektteam“ die Umsetzung der EU-DSGVO in Ihrem Unternehmen koordinieren und begleiten. Wichtig ist, dass allein die Unternehmensleitung verantwortlich für die Einhaltung der datenschutzrechtlichen Vorschriften ist. Sie kann sich selbstverständlich Hilfe holen, muss das gesamte Projekt jedoch eng überwachen.

Wir haben je nach Größe des Unternehmens mit einem drei- bzw. zweistufigen Projektaufbau bislang gute Erfahrungen gemacht. In dem ersten Schritt erfolgt die Sammlung sämtlicher datenschutzrechtlich relevanter Dokumente, Prozesse oder IT-Systeme (Erhebung, Nutzung oder Speicherung von personenbezogenen Daten). Dieser Schritt ist für den Verlauf des gesamten folgenden Projekts und die angestrebte Rechtskonformität mit der der EU-DSGVO essentiell. Hier benötigt das Projektteam intensive Unterstützung durch sämtliche betroffene Abteilungen im Unternehmen, insbesondere durch Personalabteilung, Kundenmanagement sowie IT, um eine möglichst komplette Erhebung zu gewährleisten. Die als relevant identifizierten Dokumente, Prozesse und IT-Systeme sollten systematisiert abgelegt werden, z. B. nach Zuordnung zu den Artikeln der EU-DSGVO.

In einem zweiten Schritt werden die gesammelten Dokumente, Prozesse und IT-Systeme rechtlich bewertet. Im Rahmen einer sog. GAP-Analyse erfolgt ein Soll-Ist-Vergleich, um ggf. erforderlichen Anpassungsbedarf herauszuarbeiten. In diesem Schritt muss der Datenschutzbeauftragte das Projektteam mit fachlichem Input unterstützen. Bei Bedarf ist externe Hilfe hinzuzuziehen, um die unternehmensbezogenen Anforderungen der EU-DSGVO zu definieren und den möglichen Anpassungsbedarf hinreichend zu konkretisieren. Dabei ist darauf zu achten, dass bei diesem Schritt auch die neuen – bislang nicht bekannten – Anforderungen der EU-DSGVO mit aufgenommen werden, damit diese später berücksichtigt werden können. Im besten Fall endet dieser Schritt mit einem umfassenden Pflichtenheft, in welchem die kommenden Aufgaben beschrieben, bewertet und priorisiert werden. Bei kleineren Unternehmen können Schritt 1 und 2 auch zusammengefasst werden.

Im Schritt 3 erfolgt schließlich die konkrete Umsetzung des identifizierten Anpassungsbedarfs. Dieser Schritt sollte zugleich genutzt werden, um ein funktionierendes Datenschutzmanagementsystem gem. Art. 24 EU-DSGVO zu installieren bzw. das vorhandene System anzupassen. Im Rahmen der Projektplanung ist ausreichend Zeit für diesen Schritt einzuplanen. Die betroffenen Abteilungen im Unternehmen sind zur Mitarbeit anzuhalten. Ziel ist es, zum 25. Mai 2018 den Anforderungen der EU-DSGVO zu genügen, um hohe Bußgelder und Haftungsrisiken zu vermeiden.

In den nachfolgenden Beiträgen werden wir die einzelnen Anforderungen der EU-DSGVO, z. B. Grundsätze, Einwilligung, Informationspflichten, Auftragsverarbeitung detaillierter darstellen.


Über die Autorin: 

Franziska Ladiges berät IT-Dienstleister sowie IT-Anwender in den Bereichen der Vertragsgestaltung und Konfliktbewältigung. Weitere Schwerpunkte ihrer Tätigkeit sind das Internet-Recht und das Datenschutzrecht. Hier berät Franziska Ladiges bei der rechtswirksamen Gestaltung des Internetauftritts, bei der Umsetzung des Verbraucherschutzes und Maßnahmen zur Sicherstellung einer wirksamen Datenschutz-Compliance. Daneben betreut sie Mandanten in allen Fragen des Prozessrechts und vertritt diese in gerichtlichen Auseinandersetzungen.

Frau Ladiges steht Ihnen für Fragen gerne persönlich zur Verfügung unter: Tel.: +49 69 63 00 01-0, E-Mail: f.ladiges@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2018 (18)
Juni (5) Mai (2) April (8) März (1) Februar (1) Januar (1)
2017 (20)
Dezember (2) November (1) Oktober (1) September (1) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)