[IITR – 31.10.17] Unternehmen sehen sich in der Vorbereitung auf die EU-Datenschutzgrundverordnung zahlreichen Herausforderungen gegenüber. Der folgende Beitrag gibt Handlungsempfehlungen, welche Themen im Focus stehen sollten.
Eine gute Orientierung in Vorbereitung auf ein mögliches Audit unter der EU-Datenschutzgrundverordnung gibt der fiktive Audit-Bogen der bayerischen Datenschutzaufsichtsbehörde.
Es ist damit zu rechnen, dass die Aufsichtsbehörden nach dem 25.5.2018 damit beginnen werden, bei Unternehmen stichprobenartig die allgemeine Datenschutz-Organisation zu überprüfen. Besonders folgende Unternehmen dürften sich auf dem aufsichtsrechtlichen Radar befinden:
- Unternehmen verarbeitet besonders schützenswerte Daten (z.B. Gesundheitsdaten)
- Das Geschäftsmodell des Unternehmens basiert auf der Auswertung personenbeziehbarer Daten
- Es bestand in der Vergangenheit bereits Kontakt mit der Datenschutz-Aufsichsbehörde
- Unternehmen steht stellvertretend für eine bestimmte Branche oder genießt besondere Sichtbarkeit (z.B. Börsennotierung, Branchenführerschaft)
In Vorbereitung auf die EU-Datenschutzgrundverordnung ist besonders darauf zu achten, die Schwerpunkte richtig zu setzen. Es ist damit zu rechnen, dass die erste Prüfwelle (aufgrund von zahlreichen derzeit noch offenen Fragen zur genauen Rechtsauslegung) weniger Detailfragen aufgreifen und anstelle dessen vielmehr die allgemeinen Vorbereitungshandlungen in den verschiedenen datenschutzrechtlichen Feldern abfragen wird.
Hier stehen folgende Themen im Focus:
- Verfahrensregister erstellen/aktualisieren (Artikel 30 EU-DSGVO): Die europäische Datenschutz-Grundverordnung verlangt von Unternehmen im Ergebnis eine umfassende Dokumentation der zentralen Verarbeitungsvorgänge. Daneben sind diese regelmäßig zu aktualisieren. Die Aufsichtsbehörden werden hier noch ein entsprechendes Muster zur Verfügung stellen.
- IT-Sicherheit und Stand der Technik (Artikel 32 EU-DSGVO): Unternehmen sind aus verschärften haftungsrechtlichen Erwägungen heraus stärker gefordert, ausreichende Investitionen für eine dem Stand der Technik entsprechende IT-Systemumgebung zur Verfügung zu stellen und sich im Zweifel in Richtung von ISO 27001/27002 („Informationssicherheits-Managementsysteme“) zu orientieren.
- Datenschutzkonforme Bindung von Dritt-Dienstleistern (Artikel 28 EU-DSGVO): bei der Auslagerung von Datenverarbeitungsvorgängen an Dritt-Dienstleister müssen entsprechende Datenschutzverträge abgeschlossen werden; die Aufsichtsbehörden werden hier in Kürze ein entsprechendes Muster zur Verfügung stellen. Die haftungsrechtlichen Vorgaben ändern sich der Gestalt, dass künftig Auftraggeber und Auftragnehmer ein gemeinsames Haftungsinteresse haben, dass entsprechende Vereinbarungen vorliegen.
Daneben werden häufiger noch folgende Themen genannt:
- Wahrnehmung Betroffenenrechte simulieren (Artikel 13 ff. EU-DSGVO): Die Betroffenenrechte werden durch die europäische Datenschutz-Grundverordnung erweitert. Neben dem neu implementierten Recht auf Datenportabilität werden die Informationspflichten erweitert.
- Meldepflicht im Datenverlustfall analysieren und ggfs. interne Prozesse anpassen (Artikel 33 EU-DSGVO): Die bereits vorhandenen Meldepflichten werden durch die europäische Datenschutz-Grundverordnung nochmals erweitert. Der in dem Zusammenhang relevante Begriff des „Risikos“ für Betroffene soll noch dieses Jahr von den Aufsichtsbehörden präzisiert werden.
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer DatenschutzbeauftragterTelefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.