Strukturiertes Vorgehen beim Umsetzen der DSGVO

It’s about trust … And helping business boom

So umschreibt die EU die große Herausforderung, welche am 26. Mai 2018 für Unternehmen und Verbraucher in Gestalt der reformierten und EU-weit faktisch in Kraft tretende Datenschutzreform (DS-GVO bzw. DSGVO; GDPR in Englisch) ins Haus steht. Wenn nicht schon bisher die Vorbereitungen dazu getroffen wurden, ist es jetzt nötig, sich damit intensiv auseinanderzusetzen.

In diesem kurzen Beitrag soll nicht die einzelnen Bestimmungen und Änderungen wiederholt werden. Dazu gibt es zahlreiche Publikationen wie jüngst bspw. die Artikelstrecke in der ix. Nützliche Links und Arbeitshinweise zur Bewältigung der organisatorischen Herausforderungen ist die Intention dieses Beitrags. Auch ist der juristische und organisatorische Rat des eigenen Rechtsvertreters und des betrieblichen Datenschutzbeauftragten für die Geschäftsleitungen eine wertvolle Unterstützung und es ist auf jeden Fall ratsam, diesen einzuholen.

Dennoch zur DSGVO inhaltlich kurz gesagt, bringt die die Datenschutz-Grundverordnung und das neue BDSG (hier wurden die weitreichenden nationalen Gestaltungsmöglichkeiten im Rahmen der Richtlinie umgesetzt) neue Anforderung an Dokumentationspflichten, der Datensouveränität der Verbraucher und erhöhte Haftungsverpflichtungen für die Unternehmenslenker bei der Verarbeitung personenbezogener Daten mit sich. Um eine möglichst stimmige Compliance zu erreichen, müssen sich der datenschutzrechtlich Verantwortliche mit diesen beiden Gesetzeswerken auseinandersetzen.

Wichtigste Meilensteine bei der Umsetzung der DSGVO

Klärung und Festlegung der internen Zuständigkeiten

Sollte rechtlich ein Datenschutzbeauftragter erforderlich sein, ist eine geeignete Auswahl zu treffen. Gerade bei Umsetzung des neuen Rechtes kann der Rückgriff auf einen professionellen Externen hier vorteilhaft sein.

Herstellung eines umfassenden Überblicks über alle Verarbeitungen von personenbezogenen Daten

Dabei kann auf die Vorarbeiten im Rahmen des alten Rechtes natürlich aufgesetzt werden. Wichtiges Hilfsmittel ist das Verfahrensverzeichnis. Die aus Art. 4 Nr. 1 DSGVO und Art. 30 Abs. 1 DSGVO abgeleitete strenge Dokumentaionspflicht gilt unmittelbar für den Verantwortlichen, also dem Geschäftsführer und nicht gegenüber dem Datenschutzbeauftragten! Natürlich kann diese sich dabei aber eigener Mitarbeiter oder externer Dienstleister bedienen. Der Datenschutzbeauftragte hat stets nur eine beratende Funktion.