Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können. Indem Sie diese Website nutzen, erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Bitte lesen Sie unseren DATENSCHUTZERKLÄRUNG. Dort erfahren Sie mehr über die von uns verwendeten Cookies und wie Sie diese löschen oder blockieren können.
Weitere Veröffentlichungen:

Stichtag 25. Mai 2018: Machen Sie Ihr Unternehmen fit für die EU-Datenschutz-Grundverordnung

05. Oktober 2016

Selten wurde über eine Verordnung der Europäischen Union so viel im Vorfeld diskutiert: An der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (sog. EU-Datenschutz-Grundverordnung „DSGVO“) schieden sich die Geister. Im Frühjahr 2016 wurde die DSGVO schließlich erlassen, sie wird ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar gelten.

Unternehmen bleiben somit noch ca. 20 Monate, um die Anforderungen der DSGVO umzusetzen. Nachdem einzelne Verstöße gegen die DSGVO für Unternehmen zu Bußgeldern in Höhe von bis zu EUR 20 Mio. oder bis zu 4% des weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr führen können, gilt es diesen Zeitraum gut zu nutzen.

Aber wie gehen Unternehmen am besten vor, um die „Herausforderung DSGVO“ effizient und vor alle, rechtzeitig zu meistern? Der Einstieg in diesen Prozess gelingt Ihrem Unternehmen anhand folgender vier Leitfragen:

Wer ist für das Thema DSGVO in Ihrem Unternehmen verantwortlich?

Die erfolgreiche Umsetzung der DSGVO in Ihrem Unternehmen setzt – wie jedes andere Projekt auch – das richtige Projektteam voraus. In das Projektteam sollten diejenigen Mitarbeiter berufen werden, die sich mit der konkreten Ausgestaltung der Datenverarbeitungsprozesse in Ihrem Unternehmen auskennen. Typischerweise sind diese Mitarbeiter in den Unternehmensbereichen IT, Recht & Compliance und Marketing angesiedelt. Nachdem die DSGVO in Art. 38 Abs. 1 vorsieht, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen eingebunden wird, sollte auch Ihr Datenschutzbeauftragter in das Projektteam berufen werden.

Es ist hingegen nicht zwingend erforderlich, dass ein Angehöriger der Geschäftsleitung Mitglied des Projektteams wird. Das Projektteam sollte aber regelmäßig zum Projektstand an die Geschäftsleitung berichten, damit diese ihrer gesetzlichen Pflicht zur sorgfältigen Unternehmensleitung nachkommen kann.

Mitglied im Projektteam sollte auch ein Mitarbeiter aus dem Bereich Finanzwesen/Controlling sein. Denn die durch die DSGVO veranlassten Umsetzungsmaßnahmen müssen in Ihrem Unternehmen auch entsprechend budgetiert werden.

Was BDO Legal für Sie tun kann: Wir unterstützen Sie gerne bei der Zusammenstellung des Projektteams und führen einen Kick-off-Workshop für Ihr Projektteam durch, um Aufgabenstellung und Projektziele zu erläutern. Auf Wunsch begleiten wir Ihr Projektteam auch über die gesamte Projektphase mit regelmäßigen Workshops zum Projektverlauf.

Welche Maßnahmen sind zur Umsetzung der Vorgaben der DSGVO in Ihrem Unternehmen zu ergreifen?

Welche Maßnahmen Ihr Unternehmen ergreifen muss, um den Anforderungen der DSGVO zu genügen, hängt davon ab, wie die datenschutzrelevanten Prozesse bislang in Ihrem Unternehmen ausgestaltet sind. Ausgangspunkt ist also die Gegenüberstellung des Status Quo und der Vorgaben der DSGVO.

Die Vorgaben der DSGVO sind umfangreich, betreffen aber nicht jedes Unternehmen in gleichem Maße. Insbesondere folgende Regelungen können aber bei Unternehmen zu Handlungsbedarf führen:

  • Informationspflichten bei der Datenerhebung (Art. 13, 14 DSVO),
  • Löschung, „Recht auf Vergessenwerden“ (Art. 17 DSGVO),
  •  „Privacy by design and by default“ (Art. 25 DSGVO),
  • Vereinbarungen gemeinsam für die Datenverarbeitung Verantwortlicher (Art. 26 DSGVO),
  • Auftragsdatenverarbeitung (Art. 28, 29 DSGVO),
  • Dokumentation aller Datenverarbeitungen eines Unternehmens in einem Verarbeitungsverzeichnis (Art. 30 DSGVO),
  • technische und organisatorische Maßnahmen für die Sicherheit der Datenverarbeitung (Art. 32 DSGVO),
  • Meldepflichten bei Datenlecks u.ä. (Art. 33 DSGVO),
  • Datenschutz-Folgenabschätzung (Art. 35 DSGVO) sowie
  • Übermittlung von Daten in Drittstaaten (Art. 44 ff. DSGVO).

Was BDO Legal für Sie tun kann: Wir analysieren gemeinsam mit den Experten Ihres Unternehmens die datenschutzrechtlich relevanten Prozesse. Ausgehend von dieser Prozessanalyse entwickeln wir einen Maßnahmenplan, der die nach der DSGVO zu ergreifenden Maßnahmen enthält, Verantwortlichkeiten für deren Umsetzung enthält und priorisiert. Gerne führen wir auch ein Datenschutz-Audit durch, sobald der Maßnahmenplan umgesetzt wurde, um noch etwaige Verstöße gegen die DSGVO vor dem Stichtag 25. Mai 2018 aufzudecken.

Was ist im Hinblick auf den Betriebsrat im Zusammenhang mit der DSGVO zu beachten?

Aufgabe des Betriebsrates ist es u.a., über die Einhaltung der gesetzlichen Vorschriften zum Schutz der Arbeitnehmerinnen und Arbeitnehmer zu wachen. Im Bereich des Datenschutzrechtes zählt auch die DSGVO zu diesen Schutzvorschriften.

Ihr Unternehmen sollte daher bestehende Betriebsvereinbarungen daraufhin untersuchen, ob sich durch die DSGVO Änderungsbedarf ergibt, und hierzu mit dem Betriebsrat zeitnah sprechen.

Was BDO Legal für Sie tun kann: Unsere auf das Arbeits- und Datenschutzrecht spezialisierten Rechtsanwälte überprüfen gerne die in Ihrem Unternehmen bestehende Betriebsvereinbarungen auf einen durch die DSGVO verursachten Änderungsbedarf und machen Vorschläge zur Umsetzung der Änderungen. Wir begleiten auch gerne Ihre Gespräche mit dem Betriebsrat zu diesen Themen.

Wie stellt Ihr Unternehmen sicher, kontinuierlich den Anforderungen des DSGVO zu entsprechen?   

Ziel ist es zunächst, am 25. Mai 2018 den Anforderungen der DSGVO zu entsprechen. Aber auch nach diesem Stichtag darf Ihr Unternehmen die DSGVO nicht aus dem Blick verlieren. Ihr Unternehmen muss vielmehr Maßnahmen ergreifen, die sicherstellen, dass Ihr Unternehmen dauerhaft den Anforderungen der DSGVO genügt – auch wenn diese sich einmal ändern.

Neben Schulungen Ihrer Mitarbeiter zur Sensibilisierung für datenschutzrechtliche Vorgänge muss Ihr Unternehmen vor allem

  • Einwilligungen in die Verarbeitung personenbezogener Daten ordnungsgemäß einholen und dokumentieren (Art. 7 DSGVO),
  • Betroffenenrechte wie Ansprüche auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Verarbeitungseinschränkung (Art. 18 DSGVO) und Datenübertragung (Art. 20 DSGVO) sowie Widerspruchsrechte (Art. 21 DSGVO) wahren und
  • die im Unternehmen implementierten Prozesse zum Datenschutz dokumentieren (Art. 24 DSGVO).

Was BDO Legal für Sie tun kann: Gerne unterstützen wir Ihr Unternehmen bei der Einrichtung eines Einwilligungs- und Beschwerdemanagements, das den Anforderungen der DSGVO genügt. Wir führen für Sie maßgeschneiderte Mitarbeiterschulungen durch und sorgen so dafür, dass Ihre Mitarbeiter datenschutzrechtlich auf dem neuesten Stand bleiben. Schließlich übernehmen wir auf Wunsch auch die Erstellung der fortlaufenden Dokumentation Ihrer Datenschutz-Prozesse.