Unternehmen haben noch knapp ein Jahr bis die Datenschutz-Grundverordnung in allen Mitgliedstaaten zwingend zu beachten ist. Datenschutz ist dann eine Führungsaufgabe und die Nichtbeachtung wird teuer. Dies gilt sowohl in Großunternehmen und im Mittelstand als auch in kleinen Betrieben sowie in Vereinen.

Um Konformität mit der Verordnung herzustellen, sind Prozesse und Strukturen zum Teil erheblich anzupassen. Zur Vorbereitung hatten die Verantwortlichen zwei Jahre Zeit. Nunmehr ist die Hälfte der Zeit bereits abgelaufen. Aus diesem Grunde sollten Verantwortliche dringend prüfen, ob sie die erforderlichen Maßnahmen getroffen haben. Sofern dies noch nicht der Fall ist, müssen dringend entsprechende Maßnahmen getroffen werden.

Nachdem bereits das Bayerische Landesamt für Datenschutzaufsicht einen Fragebogen zur Umsetzung der Datenschutz-Grundverordnung veröffentlicht hat (wir berichteten), haben die Aufsichtsbehörden nunmehr in einem 10-Punkte-Papier Anregungen für Unternehmen zur Vorbereitung auf die Datenschutz-Grundverordnung zusammengestellt.

Danach sollten im Unternehmen zunächst in die relevanten Personen Gruppen – Geschäftsführung, Datenschutzbeauftragte und andere für das Thema Datenschutz zuständige Personen – dafür sensibilisiert werden, dass die Datenschutz-Grundverordnung direkte Auswirkung auf das Unternehmen als datenverarbeitende Stelle hat. Anschließend empfehlen die Aufsichtsbehörden eine Bestandsaufnahme durchzuführen. Dies entspricht auch dem Vorgehen welches SKW Schwarz Rechtsanwälte seinen Mandanten bei der Beratung von Datenschutz-Grundverordnungs-Projekten empfiehlt.

Als wichtige Themen der Datenschutz-Grundverordnung nennen die Aufsichtsbehörden die Rechtsgrundlage für die Verarbeitung personenbezogener Daten, personenbezogene Daten von Kindern sowie den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Zudem raten die Aufsichtsbehörden dazu Verträge, insbesondere zur Auftragsverarbeitung, zu überprüfen und überarbeiten. Wichtig ist auch, dass Unternehmen die Betroffenenrechte und Informationspflichten ordnungsgemäß umsetzen. Schließlich sind Prozesse zur Datenschutzfolgenabschätzung, zu Melde- und Konsultationspflichten sowie zur ordnungsgemäßen Dokumentation zu implementieren und organisieren.

Praxistipp:

Ab dem 25. Mai 2018 müssen Verantwortliche die Datenschutz-Grundverordnung einhalten. Anderenfalls drohen Bußgelder und Schadensersatzforderungen in Millionenhöhe. Das 10-Punkte-Papier der Aufsichtsbehörden gibt Unternehmen einen Überblick und Anregungen zur Vorbereitung auf die Datenschutz-Grundverordnung. Die dort genannten Punkte sollten im Rahmen eines Projektes im Unternehmen innerhalb des nächsten Jahres umgesetzt werden. Sofern dies noch nicht geschehen ist, sind Unternehmen dringend dazu angehalten ein Projekt zur Umsetzung der Datenschutz-Grundverordnung zu starten.

SKW Schwarz Rechtsanwälte hat eine Taskforce gebildet und berät aktuell bereits viele Mandanten vom klassischen deutschen Mittelständler bis hin zum multinationalen Großunternehmen in Umsetzungsprojekten zur Datenschutz-Grundverordnung.