Datenschutz-Grundverordnung

Was bedeutet die DS-GVO für Unternehmen?

Ab dem 25. Mai 2018 wird die Datenschutz-Grundverordnung verpflichtend anzuwenden sein. Für Unternehmen bleibt somit nicht mehr viel Zeit, das eigene Datenschutzmanagementsystem mit den neuen Anforderungen abzugleichen und notwendige Anpassungen vorzunehmen. Dr. Uwe Günther und Stefan Strüwe, beide Datenschutzexperten und externe Datenschutzbeauftragte in mehr als hundert Unternehmen des Gesundheits- und Sozialwesens, erläutern im Interview, worauf es aktuell ankommt.

Welche Veränderungen bringt die neue Datenschutz-Grundverordnung mit sich?

Im Vergleich zu den bisher geltenden Rechtsvorschriften sind die Anforderungen an die Datenschutzmanagementsysteme deutlich höher. Dies bedingen zum einen die gestiegenen Rechenschaftspflichten als auch der erheblich verschärfte Bußgeldrahmen. Durch mediale Präsenz des Themas wird die Sensibilität im Umgang mit personenbezogenen Daten insgesamt geschärft.

Was bedeuten die Veränderungen für das Datenschutzmanagement in der Praxis?

Management und Verantwortliche für den Datenschutz müssen insb. folgende Bestandteile des Datenschutzmanagements überprüfen und ggf. anpassen: Verzeichnis der Verarbeitungstätigkeiten, Vereinbarungen zur Auftragsverarbeitung, eingesetzte Einwilligungserklärungen und Prozesse zur Sicherstellung der Betroffenenrechte, wie z.B. Informationspflichten oder Recht auf Vergessenwerden. Daneben gibt es neue Anforderungen, die von den Unternehmen sicherzustellen sind: Prozess der Durchführung einer Datenschutz-Folgenabschätzung, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen und den Prozess zur Meldung von Datenschutzpannen.

Gibt es für kirchliche Einrichtungen Besonderheiten?

In Deutschland wurde im Juni 2017 durch das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) bereits eine Neufassung des Bundesdatenschutzgesetzes (BDSG) erreicht. Aufgrund ihres Selbstbestimmungsrechts können die Kirchen in Deutschland eigene Rechtsverordnungen für ihren Geltungsbereich bestimmen („Dritter Weg“). Von diesem haben die Kirchen mit der Anordnung über den kirchlichen Datenschutz (KDO) auf katholischer und dem EKD-Datenschutzgesetz auf evangelischer Seite auch beim Thema Datenschutz Gebrauch gemacht. Dem nationalen Gesetzgeber folgend, haben auch die Kirchen eine Anpassung ihrer Rechtsvorschriften vorgenommen, um den höheren Anforderungen der DS-GVO Rechnung zu tragen.

Was bedeuten die Veränderungen für den Datenschutzbeauftragten?

Schon vor der DS-GVO mussten Unternehmen, bei denen mindestens zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen betrieblichen Datenschutzbeauftragten (DSB) bestellen. Mit der Verordnung entfällt nun die Einschränkung auf die Verarbeitung in elektronischen Medien (insbesondere auch wenn besondere Kategorien von Daten, wie z.B. Gesundheitsdaten, verarbeitet werden), so dass nunmehr auch Personen, die mit der Aktenverwaltung betraut sind, einzurechnen sind. Gleiches gilt für das Verzeichnis der Verarbeitungstätigkeiten (früher Verfahrensverzeichnis): Die Pflicht zur Erstellung dieser Übersicht besteht nunmehr ab 250 Beschäftigten oder auch für kleinere Unternehmen oder Einrichtungen, wenn die Verarbeitung der Daten ein Risiko für die Rechte und Freiheit für die Betroffenen, diese nicht nur gelegentlich erfolgt oder besondere Datenkategorien beinhaltet. Somit sind praktisch alle Einrichtungen des Gesundheits- und Sozialwesens gefordert, einen DSB zu bestellen sowie ein Verzeichnis über die Verarbeitungstätigkeiten zu erstellen und zu führen.

Warum sollten Unternehmen sich mit der Verordnung beschäftigen?

Aktuell verbleiben nur noch wenige Wochen, bis die neuen gesetzlichen Grundlagen Anwendung finden. Erfahrungen haben gezeigt, dass allein die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten oftmals weit mehr Zeit beansprucht, als ursprünglich gedacht. Und bei Verstößen gegen die neuen Vorschriften handelt es sich nicht mehr länger um Kavaliersdelikte. So schreibt die DS-GVO die Verhängung von Geldbußen in Höhe von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten, konzernweiten Jahresumsatzes vor. Die Geldbußen sind politisch bewusst so hoch gewählt, denn sie sollen abschreckend wirken. Aber auch unabhängig von den möglichen Strafen sollten Unternehmen bemüht sein, einen professionellen und sicheren Umgang mit personenbezogenen Daten sicherzustellen. Datenschutz ist angewandtes Qualitätsmanagement!

Ihre Ansprechpartner

  • Dr. Uwe Günther

    Partner
    uwe.guenther@curacon.de
    0 89/99 27 57-922
    »IT-Management sowie Datenschutz sind zentrale Themen unserer Zeit. Mein Ziel ist, unsere Mandanten bestmöglich bei der Optimierung dieser Prozesse zu unterstützen.«
  • Stefan Strüwe

    Prokurist / Senior Manager
    stefan.struewe@curacon.de
    02 51/9 22 08-209
    »Ein guter Datenschutzbeauftragter hat die gesetzlichen Anforderungen im Blick und kann dazu umsetzbare Lösungen finden.«