Beitrag aus der INTERNET WORLD Business 1/17, S. 17

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab dem  25.05.2018 als vorrangiges Recht und verdrängt unmittelbar das BDSG. Da deren Anforderungen weit über die Vorgaben des BDSG hinausgehen, insbesondere zahlreiche neue Prozesse in Unternehmen implementiert werden müssen, ist es ratsam, ein entsprechendes Projekt frühzeitig anzugehen. Die verschärften Sanktionen sehen nicht nur Bußgelder bis € 20 Mio., sondern auch eine Gewinnabschöpfung bis zu 4% des unternehmensweiten Jahresumsatzes vor. Alle Details der DSGVO würden den Rahmen sprengen; hier kann daher nur ein kurzer Leitfaden zum Aufsetzen eines solchen Projekts gegeben werden.

Hiernach haben Unternehmen ein den Risiken der verarbeiteten Daten entsprechendes Datenschutzmanagementsystem (DMS) einzuführen. Nach der Risikoanalyse (Risikoidentifikation/Eintrittswahrscheinlichkeit/Soll-Ist) bedarf es einer präzisen Bestimmung der Ziele zum Design der Datenschutzprozesse und Festschreibung eines Maßnahmenkatalogs zur Umsetzung. Das Ausmaß nachteiliger Folgen ist  zu beschreiben wie Möglichkeiten zur Risikovermeidung (Art. 32 DSGVO). Genauso ist den Anforderungen z.B. an Datenübertragbarkeit, Reaktionsmechanismen auf Datenverletzung, Informationspflichten bei Datenerhebung, das umfassendere Auskunftsrecht der Betroffenen (Art. 15 DSGVO) Rechnung zu tragen, ebenso Löschkonzepte und allen voran Verarbeitungsverzeichnisse zu etablieren.

Ein Projektteam aus IT, Personal, Recht, Revision und Compliance muss zusammen mit dem Datenschutzbeauftragten die Implementierung der Abläufe steuern, damit der Grundsatz Privacy by Design and by Default, durch datenschutzfreundliche Voreinstellungen sichergestellt wird.

Unternehmen sollten sich daher frühzeitig zusammen mit den Themenkomplexen und Anforderungen auseinanderzusetzen, da deren Umsetzung Zeit benötigt, zumal die regelmäßig IT-lastige Umsetzung auch die Allokierung entsprechender Ressourcen erfordert.