04.06.2018 10:45

Die DSGVO: Eine Meisterleistung für jeden Datenschützer

 

Seit dem 25.Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) geltendes Recht in allen Mitgliedstaaten der EU und soll das Datenschutzrecht innerhalb Europas stärker vereinheitlichen, als zuvor. Aber was ist das eigentlich genau und was bedeutet es für uns? Wir haben dazu mit unserer Datenschutzbeauftragten Isabel Tolzmann gesprochen, die AMCON schon seit Wochen fit macht für die DSGVO.

 

Seit Freitag ist die DSGVO in aller Munde. Wie lange beschäftigt dich dieses Thema jetzt schon?

Es stimmt, fast jeder spricht inzwischen von der Datenschutzgrundverordnung. Doch wer sich als Unternehmen erst seit Freitag darüber Gedanken macht, ist definitiv zu spät dran. ;-) Die DSGVO wurde im April 2016 durch das EU-Parlament beschlossen und trat am 25.05.2016 in Kraft. Anzuwenden ist sie seit dem 25.05.2018 nach einer zweijährigen Übergangsfrist. Ziel ist es, ein verbessertes einheitliches Datenschutzniveau in der EU zu schaffen. Bisher galten in den Mitgliedsstaaten verschiedene Datenschutzgesetze und damit unterschiedliche Standards. Dennoch gibt es die sogenannten Öffnungsklauseln, die den nationalen Gesetzgebern die Möglichkeit geben, die DSGVO durch eigene Gesetzgebung zu konkretisieren, zu ergänzen oder zu modifizieren. So wird es in einigen Bereichen weiterhin unterschiedliche nationale Regelungen geben. Der deutsche Gesetzgeber hat die Öffnungsklauseln im neunen Bundesdatenschutzgesetz umgesetzt.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Mit der DSGVO beschäftige ich mich bereits seit der Bestellung zur Datenschutzbeauftragten bei AMCON. Nach der schriftlichen Bestellung im Jahr 2016 habe ich ein mehrtägiges Seminar zu den Grundlagen des Datenschutzes besucht und mich durch eine anschließende Prüfung zur Datenschutzbeauftragten zertifizieren lassen. Damals ging es im Wesentlichen um das nun nicht mehr gültige alte Bundesdatenschutzgesetz (BDSG). Während des Seminars sagten uns die Referenten schon mehrfach, dass wir uns einen der ungünstigsten Zeitpunkte ausgesucht hätten, um in den Datenschutz einzusteigen. Während wir gerade das alte BDSG umzusetzen lernen, müssen wir uns gleichzeitig schon mit der neuen DSGVO beschäftigen.

Gesagt getan. Seitdem habe ich mich inhaltlich mit der DSGVO auseinandergesetzt und u.a. einen Fahrplan zur Umsetzung der Verordnung entwickelt, den ich kontinuierlich abgearbeitet habe. Auch bilde ich mich regelmäßig durch Seminare, Fachtagungen und entsprechender Fachliteratur fort. Der mehr als 1.600 Seiten-schwere Kommentar zur DSGVO und zum neuen BDSG hat einen Dauerplatz auf meinem Schreibtisch ergattert.

 

Was bedeutet die DSGVO für AMCON und welche Auswirkungen hat sie für unsere Kunden?

Die DSGVO gilt grundsätzlich für alle Unternehmen, die personenbezogene Daten ganz oder teilweise automatisch verarbeiten. Die Verordnung macht dabei keinen Unterschied zwischen der Branche, der Unternehmensgröße, der Gesellschaftsform, oder den Umsatzzahlen. Betroffen sind somit z.B. auch Vereine und Arztpraxen. Behörden kommen um die DSGVO ebenfalls nicht drum herum. Dabei betrifft die DSGVO auch Unternehmen, die ihren Sitz außerhalb der EU haben, wenn sie Daten von EU-Bürgern verarbeiten.

Die DSGVO stellt Unternehmen auf Grund ihrer Komplexität und ihres Umfangs vor neue Herausforderungen. Einzelne Vorschriften wurden verschärft und neue Regelungen fanden Einzug ins Gesetz. Neu sind die umfangreichen Rechenschafts- und Informationspflichten. Kurz gesagt, sind Unternehmen verpflichtet, die Einhaltung der DSGVO nachweisen zu können. Das bedeutet viel Dokumentationsaufwand. Die neuen Informationspflichten gehen weit über die aus dem BDSG bekannten hinaus. Somit müssen Unternehmen bei der Datenerhebung die Betroffenen informieren, unabhängig davon, ob die Daten beim Betroffenen selbst oder bei Dritten erhoben wurden. Da kann schon viel zusammen kommen, schließlich werden viele verschiedene Daten wie z.B. Kunden-, Lieferanten-, Mitarbeiter- und Bewerberdaten verarbeitet und das nicht nur von einer Person.

Die Rechte der Betroffenen wurden im Rahmen der DSGVO erweitert. Betroffene haben z.B. ein Auskunftsrecht, ein Widerspruchsrecht und ein Berechtigungsrecht bezüglich ihrer Daten. Zu diesen Betroffenenrechten kommen noch weitere Rechte wie das Recht auf Vergessenwerden oder das Recht auf Datenportabilität hinzu. Beim Recht auf Datenportabilität kann die betroffene Person eine vollständige Herausgabe oder Übertragung seiner Daten an ein drittes Unternehmen verlangen. Bei all diesen Rechten müssen entsprechende Prozesse definiert werden, um die Rechte gewährleisten zu können.

 

Welche wesentlichen Änderungen haben wir vorgenommen, um der DSGVO Rechnung zu tragen?

Die DSGVO strebt ein neues Datenschutzrecht an, weist aber durchaus Ähnlichkeit mit den bisherigen Regelungen auf. Trotz dieser Ähnlichkeiten mussten wir unseren Datenschutz neu aufsetzen. In diesem Bereich haben wir somit einiges getan. Begonnen haben wir mit einer Datenschutz-Bestandsaufnahme. Das kann man sich wie eine Inventur vorstellen. Mit Hilfe der Bestandsaufnahme konnten wir den Ist-Zustand feststellen und einen Maßnahmenplan zur Umsetzung der DSGVO erarbeiten. Während der anschließenden Umsetzungsphase haben, um jetzt nur mal ein paar Beispiele zu nennen, wir das Bewusstsein für den Datenschutz im Unternehmen gestärkt, unsere Verfahren und Dokumentation geprüft und datenschutzrelevante Prozesse neu etabliert, um z.B. die Wahrnehmung der Betroffenenrechte zu gewährleisten. Auch haben wir ein Datenschutzmanagementsystem eingeführt und unser Vertragsmanagement an die neuen Regelungen angepasst. Doch die Umsetzung allein reicht nicht. Wichtig ist es, den Datenschutz im laufenden Betrieb aufrechtzuerhalten und zu überwachen, um so einen kontinuierlichen Verbesserungsprozess zu erhalten. Dabei sind die Dokumente weiter zu führen und zu pflegen, die Kollegen in datenschutzrelevanten Fragen zu unterstützen und zu schulen usw.

Wer nun aber denkt, dass mit der Umsetzung der DSGVO und der fortlaufenden Kontrolle alles erledigt sei, täuscht sich. Der ein oder andere hat bestimmt schon von der E-Privacy-Verordnung gehört. Sie befindet sich aktuell im Gesetzgebungsverfahren und soll die gesamte elektronische Kommunikation regulieren. Es bleibt also weiter spannend.