EU-Datenschutzgrundverordnung: Roadmap für Unternehmen bis 2018

Die neue EU-Datenschutzgrundverordnung (DSGVO) verspricht vor allem eins: einheitliche Datenschutz-Standards für alle in der EU tätigen Unternehmen. Um für die neuen Regelungen gewappnet zu sein, sollten Unternehmen jetzt schon damit beginnen, ihr Datenschutzmanagement auf den Prüfstand zu stellen. Denn spätestens im Mai 2018 müssen die neuen Prozesse aufgesetzt und gelernt sein.


So schnell wie möglich: Bestandsaufnahme

Die Dokumentation der Prozesse und Verträge mit Datenschutzrelevanz gehört schon heute zum Pflichtprogramm, wird aber in vielen Unternehmen noch vernachlässigt. Nach der Verabschiedung der DSGVO besteht ein akuter Anlass, alle Prozesse zu evaluieren.

Wichtig sind vor allem ein gepflegtes Verfahrensverzeichnis und ein Überblick über die Vereinbarungen zur Auftragsdatenverarbeitung. Ebenso müssen Unternehmen ihre Datenschutzerklärungen und Einwilligungen sauber dokumentieren. 

Bis Mitte 2017: Änderungsbedarf durch die DSGVO identifizieren

Ein Leitgedanke der Grundverordnung liegt im Konzept der „Accountability“: Es ist nicht genug, allein das materielle Datenschutzrecht einzuhalten. Zusätzlich sind die Unternehmen verpflichtet, ihre Prozesse grundsätzlich transparent und nachvollziehbar zu gestalten.

Dies betrifft unter anderem Einwilligungserklärungen.  So können Einwilligungen (nun endlich) ausdrücklich auch elektronisch erteilt werden.  Dies muss jedoch in jedem Fall in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen. Diese Kombination verlangt besonders sorgfältige Arbeit. Bisherige Texte sollten zeitnah darauf überprüft werden, ob sie den neuen Ansprüchen genügen.

Bis zum 25. Mai 2018: Neue Vorgaben bewerten und umsetzen

Neben Anpassungen des bestehenden Rechtsrahmens bringt die DSGVO auch eine Reihe von Konzepten und Verpflichtungen mit sich, die (zumindest in Deutschland) bisher so nicht gesetzlich verankert sind.

Ein wichtiger neuer Ansatz ist die Datenschutz-Folgenabschätzung (auch Privacy Impact Assessment, PIA). Entfernt verwandt mit dem bekannten Konzept der Vorabkontrolle stellt die Folgenabschätzung sicher, dass bei der Einführung von neuen Verarbeitungsprozessen bzw. neuen Technologien die Risiken für Rechte und Freiheiten der Betroffenen formalisiert geprüft werden. 

Obwohl das Jahr 2018 noch in weiter Ferne zu liegen scheint, sollten Unternehmen zügig damit beginnen, sich auf die DSGVO einzustellen. Wichtig ist dabei vor allem eine solide Basis: Ohne ein funktionierendes Datenschutzmanagement nach geltendem Recht wird es schwierig, Prozesse rechtzeitig anzupassen und künftig rechtskonformen Datenschutz zu betreiben.

Aktuelle Termine