Am 24.5.2016 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Wirksamkeit entfaltet sie allerdings erst ab dem 25.5.2018. Trotzdem schwebt sie schon jetzt wie eine bedrohliche Wolke über Unternehmen, die ihren Sitz in der Union haben (wie bisher: Niederlassungsprinzip) oder solchen, die in der Union Waren oder Dienstleistungen anbieten oder das Verhalten betroffener Personen in der Union beobachten (neu: Marktortprinzip). Die Zeit bis zum Mai 2018 ist auch in der Tat nicht mehr lang will man alle notwendigen Anpassungen und Änderungen nach der DSGVO im Unternehmen implementieren.
Die scheinbare Unüberwindbarkeit dieser Aufgabe führt unserer Erfahrung nach all zu oft dazu, dass Unternehmen das Thema „Umsetzung der Datenschutz-Grundverordnung“ in der hintersten Schublade verschwinden lassen. Der folgende Umsetzungsplan hilft Ihnen, dieses Projekt anzugehen und einen Anfang zu finden. Wir haben dafür einzelne Phasen und konkrete Aufgaben geoordnet nach Prioritäten definiert.
1. Bestandsaufnahme
Zunächst sollten Sie eine Bestandsaufnahme vornehmen, dies ist die sogenannte Sammelphase (Q1 2017). In dieser Phase schaffen Sie die Grundlage für die nachfolgenden Phase. Sie ist ausschlaggebend für das Gelingen der Umsetzung. Es geht um folgende Aufgaben:
- Ermittlung aller datenschutzrechtlich relevanten Prozesse (d.h. Prozesse, im Rahmen derer personenbezogene Daten verarbeitet werden) im Unternehmen, inklusive der Prüfung welche Daten durch welche Systeme, wo (geografisch) und von wo (Quelle) erhoben werden,
- Ermittlung (im Hinblick auf sich ändernde Informationspflichten) aller datenschutzrechtlichen Hinweise an außenstehende betroffene Personen (vormals: Betroffene) oder Arbeitnehmer sowie der aktuellen Datenschutzerklärung,
- Ermittlung aller datenschutzrechtlich relevanter Verträge (insb. betreffend Auftragsverarbeitung (vormals: Auftragsdatenverarbeitung) und Auslagerungen/Outsourcing), dabei empfiehlt es sich Verträge, im Rahmen derer personenbezogene Daten in Drittländer übermittelt werden, besonders zu kennzeichnen,
- Ermittlung aller übrigen datenschutzrechtlich relevanten Dokumente, wie beispielsweise der datenschutzrechtlichen Einwilligungen,
- Ermittlgun der datenschutzrechtlich relevanten Stakeholder, wie z.B. Lieferanten.
2. Umsetzungsphase
In einer zweiten Umsetzungsphase (Q2 bis Q4 2017) sind dann die ermittelten Prozesse, Verträge und Dokumente an der DSGVO neu auszurichten. Es gilt also in einem ersten Schritt darum, den Ist-Stand und den Soll-Stand nach der DSGVO zu ermitteln. In einem zweiten Schritt sind dann die erforderlichen Anpassungen vorzunehmen. Im Detail dreht es sich dabei um die folgenden Aufgaben:
- Für alle datenschutzrechtlich relevanten Prozesse ist eine Datenschutz-Folgenabschätzung (löst die alte Vorabkontrolle ab) durchzuführen, dabei sind insb. die ausführlichen Dokumentationspflichten zu beachten,
- für die datenschutzrechtlich relevanten Prozesse ist zu ermitteln, ob sie auf Erlaubnistatbeständen der DSGVO beruhen (in Art. 6, 8, 9, 22),
- die datenschutzrechtlichen Hinweise an betroffene Personen innerhalb und außerhalb des Unternehmens sind an Anforderungen der DSGVO anzupassen, insb. an die Informationspflichten aus Art. 13 (Direkterhebung der Daten bei der betroffenen Person) oder 14 (Erhebung nicht direkt bei der betroffenen Person),
- Verträge über die Auftragsverarbeitung sind an die geringfügigen Änderungen in Art. 28 DSGVO anzupassen,
- vorhandene Einwilligungen sind an die erhöhten Anforderungen der DSGVO anzupassen, um sicherzugehen, dass sie auch nach Wirksam-werden der DSGVO fortgelten, insb. ist ausdrücklich auf die Möglichkeit des Widerrufs und die Rechtsfolgen eines Widerrufs hinzuweisen,
- die vorhandenen technischen und organisatorischen Maßnahmen (TOM) sind anhand des Art. 32 Abs. 1 DSGVO zu überarbeiten,
- die übrigen Verträge und Dokumente sind ebenfalls dahingehend zu prüfen, ob sie nach der DSGVO angepasst werden müssen,
- soweit Betriebs- oder Dienstvereinbarungen angepasst werden müssen, ist frühzeitig der Betriebsrat zu informieren und in den Abstimmungsprozess einzutreten.
3. Finalisierung
In der dritten Phase dreht sich dann alles um die Finalisierung (Q1 2018) der zuvor angestoßenen und/oder bereits implementierten Veränderungen. In dieser Phase ist vor allem zu prüfen, ob die Anpassungen tatsächlich vorgenommen worden sind und neue bzw. veränderte Prozesse erfolgreich implementiert wurden. Die Kontrollen beinhalten im Wesentlichen die folgenden Aufgaben:
- Im Rahmen eines internen „Audits“ sind die umgestellten Prozesse, Dokumente, Verträge und TOM daraufhin zu überprüfen, ob die Anpassungen an die DSGVO tatsächlich vorgenommen worden sind,
- im Rahmen von externen Audits sind insb. Auftragsverarbeiter und Dienstleister daraufhin zu überprüfen, ob sie ebenfalls die geforderten Änderungen vorgenommen haben, die durch die Umstellung auf die DSGVO notwendig waren,
- in einem allumfassenden Abschlussbericht sollten dann zu Dokumentations- und Beweiszwecken die vorgenommenen Anpassungen und Änderungen (nach vorheriger Prüfung) aufgeführt werden, um stets nachweisen zu können, dass eine Anpassung an die DSGVO erfolgt ist und die Umsetzung erfolgreich nachgeprüft worden ist.
4. Beobachtung weitere Entwicklung
Bis zum Wirksam-werden der DSGVO ist darüber hinaus zu beobachten, welche delegierten Rechtsakte und Leitlinien verabschiedet bzw. veröffentlicht werden sowie von welchen Öffnungsklauseln in welchem Umfang Gebrauch gemacht wird. In Deutschland wurde am 1.2.2017 das BDSG-neu zur Umsetzung der und Anpassung an die DSGVO veröffentlicht. Darin finden sich schon jetzt ergänzende Regelungen (z.B. betreffend den Datenschutzbeauftragten in § 38 BDSG-neu), allerdings ist dieses BDSG-neu noch nicht verabschiedet, sondern zunächst lediglich von der Bundesregierung beschlossen und dem Bundesrat vorgelegt worden.
5. Wir helfen Ihnen gerne
Sollten Sie Unterstützung bei der Anwendung des Umsetzungsplans benötigen, sei es betreffend Teilaspekte oder die Umsetzung in ihrer Gesamtheit, helfen wir Ihnen gerne. Insbesondere die Anpassung der Verträge über die Auftragsvverarbeitung oder der datenschutzrechtlichen Einwilligungen können wir Ihnen bei Bedarf helfen, Anleitungen oder Vorlagen zu erstellen. Ansprechpartner sind für Sie Rechtsanwalt Sascha Kremer und Rechtsanwältin Jana Garsztecki.
Wir wünschen Ihnen viel Erfolg bei der Umsetzung!
2 Kommentare