Die EU-Datenschutzgrundverordnung kommt

Was ist nun zu tun?

Ab dem 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (EU-DSGVO) gelten und die Verarbeitung personenbezogener Daten einheitlich für alle EU-Mitgliedsstaaten regeln.

Ab dem 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (EU-DSGVO) gelten und die Verarbeitung personenbezogener Daten einheitlich für alle EU-Mitgliedsstaaten regeln. Sie bringt erhebliche Veränderungen im Vergleich zur bisherigen Rechtslage. Es wird keine Übergangsfrist geben. Die Zeit den neuen Anforderungen der EU-DSGVO gerecht zu werden wird somit knapp und Unternehmen sollten umgehend beginnen, erste Schritte zur Umsetzung zu ergreifen. In dieser Serie von Beiträgen der SKW Scharz werden die neuen Anforderungen praxisgerecht vorgestellt.

Im vorliegenden ersten Beitrag der Serie wird kurz ein mögliches Projektvorgehen vorgestellt, damit die verbleibende Zeit zur Umsetzung der Anforderungen der EU-DSGVO effektiv genutzt werden kann.

Projektplan zur Umsetzung der Anforderungen der EU-DSGVO

Aufgrund der erheblichen Haftungsrisiken für Unternehmen unter der EU-DSGVO sollte die Projektplanung ernst genommen werden. Eine gute Planung erleichtert die zukünftige Einhaltung der Anforderungen der EU-DSGVO erheblich. Aus diesem Grunde sollte ein „Projektteam“ die Umsetzung der EU-DSGVO in ihrem Unternehmen koordinieren und begleiten. Wichtig ist, dass allein die Unternehmensleitung verantwortlich für die Einhaltung der datenschutzrechtlichen Vorschriften ist. Sie kann sich selbstverständlich Hilfe holen, muss das gesamte Projekt jedoch eng überwachen.

Wir haben je nach Größe des Unternehmens mit einem drei- bzw. zweistufigen Projektaufbau bislang gute Erfahrungen gemacht. In dem ersten Schritt erfolgt die Sammlung sämtlicher datenschutzrechtlich relevanter Dokumente, Prozesse oder IT-Systeme (Erhebung, Nutzung oder Speicherung von personenbezogenen Daten). Dieser Schritt ist für den Verlauf des gesamten folgenden Projekts und die angestrebte Rechtskonformität mit der der EU-DSGVO essentiell. Hier benötigt das Projektteam intensive Unterstützung durch sämtliche betroffene Abteilungen im Unternehmen, insbesondere durch Personalabteilung, Kundenmanagement sowie IT, um eine möglichst komplette Erhebung zu gewährleisten. Die als relevant identifizierten Dokumente, Prozesse und IT-Systeme sollten systematisiert abgelegt werden, z.B. nach Zuordnung zu den Artikeln der EU-DSGVO.

In einem zweiten Schritt werden die gesammelten Dokumente, Prozesse und IT-Systeme rechtlich bewertet. Im Rahmen einer sog. GAP-Analyse erfolgt ein Soll-Ist-Vergleich, um ggf. erforderlichen Anpassungsbedarf herauszuarbeiten. In diesem Schritt muss der der Datenschutzbeauftragte das Projektteam mit fachlichem Input unterstützen. Bei Bedarf ist externe Hilfe hinzuzuziehen, um die unternehmensbezogenen Anforderungen der EU-DSGVO zu definieren und den möglichen Anpassungsbedarf hinreichend zu konkretisieren. Dabei ist darauf zu achten, dass bei diesem Schritt auch die neuen – bislang nicht bekannten – Anforderungen der EU-DSGVO mit aufgenommen werden, damit diese später berücksichtigt werden können. Im besten Fall endet dieser Schritt mit einem umfassenden Pflichtenheft, in welchem die kommenden Aufgaben beschrieben, bewertet und priorisiert werden. Bei kleineren Unternehmen können Schritt 1 und 2 auch zusammengefasst werden.

Im Schritt 3 erfolgt schließlich die konkrete Umsetzung des identifizierten Anpassungsbedarfs. Dieser Schritt sollte zugleich genutzt werden, ein funktionierendes Datenschutzmanagementsystem gem. Art. 24 EU-DSGVO zu installieren bzw. das vorhandene System anzupassen. Im Rahmen der Projektplanung ist ausreichend Zeit für diesen Schritt einzuplanen. Die betroffenen Abteilungen im Unternehmen sind zur Mitarbeit anzuhalten. Ziel ist es, zum 25. Mai 2018 den Anforderungen der EU-DSGVO zu genügen, um hohe Bußgelder und Haftungsrisiken zu vermeiden.

In den nachfolgenden Beiträgen werden wir die einzelnen Anforderungen der EU-DSGVO, z.B. Grundsätze, Einwilligung, Informationspflichten, Auftragsverarbeitung detaillierter darstellen.

Franziska Ladiges, SKW Schwarz Rechtsanwälte , Frankfurt.