Was bedeutet die DS-GVO für Unternehmen?

Im Vergleich zu den bisher geltenden Rechtsvorschriften sind die Anforderungen an die Datenschutzmanagementsysteme deutlich höher. Dies bedingen zum einen die gestiegenen Rechenschaftspflichten als auch der erheblich verschärfte Bußgeldrahmen. Durch mediale Präsenz des Themas wird die Sensibilität im Umgang mit personenbezogenen Daten insgesamt geschärft.

Management und Verantwortliche für den Datenschutz müssen insb. folgende Bestandteile des Datenschutzmanagements überprüfen und ggf. anpassen:

• Verzeichnis der Verarbeitungstätigkeiten,
• Vereinbarungen zur Auftragsverarbeitung,
• eingesetzte Einwilligungserklärungen und
• Prozesse zur Sicherstellung der Betroffenenrechte, wie z.B. Informationspflichten oder Recht auf Vergessenwerden.

Daneben gibt es neue Anforderungen, die von den Unternehmen sicherzustellen sind:

• Prozess der Durchführung einer Datenschutz-Folgenabschätzung,
• Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen und
• den Prozess zur Meldung von Datenschutzpannen.

In Deutschland wurde im Juni 2017 durch das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) bereits eine Neufassung des Bundesdatenschutzgesetzes (BDSG) erreicht. Aufgrund ihres Selbstbestimmungsrechts können die Kirchen in Deutschland eigene Rechtsverordnungen für ihren Geltungsbereich bestimmen („Dritter Weg“). Von diesem haben die Kirchen mit dem Gesetz über Kirchlichen Datenschutz (KDG) auf katholischer und dem EKD-Datenschutzgesetz auf evangelischer Seite auch beim Thema Datenschutz Gebrauch gemacht.

Dem nationalen Gesetzgeber folgend, haben auch die Kirchen eine Anpassung ihrer Rechtsvorschriften vorgenommen, um den höheren Anforderungen der DS-GVO Rechnung zu tragen.

Schon vor der DS-GVO mussten Unternehmen, bei denen mindestens zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen betrieblichen Datenschutzbeauftragten (DSB) bestellen. Mit der Verordnung entfällt nun die Einschränkung auf die Verarbeitung in elektronischen Medien (insbesondere auch wenn besondere Kategorien von Daten, wie z.B. Gesundheitsdaten, verarbeitet werden), so dass nunmehr auch Personen, die mit der Aktenverwaltung betraut sind, einzurechnen sind.

Gleiches gilt für das Verzeichnis der Verarbeitungstätigkeiten (früher Verfahrensverzeichnis): Die Pflicht zur Erstellung dieser Übersicht besteht nunmehr ab 250 Beschäftigten oder auch für kleinere Unternehmen oder Einrichtungen, wenn die Verarbeitung der Daten ein Risiko für die Rechte und Freiheit für die Betroffenen, diese nicht nur gelegentlich erfolgt oder besondere Datenkategorien beinhaltet.

Somit sind praktisch alle Einrichtungen des Gesundheits- und Sozialwesens gefordert, einen DSB zu bestellen sowie ein Verzeichnis über die Verarbeitungstätigkeiten zu erstellen und zu führen.

Erfahrungen haben gezeigt, dass allein die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten oftmals weit mehr Zeit beansprucht, als ursprünglich gedacht. Und bei Verstößen gegen die neuen Vorschriften handelt es sich nicht mehr länger um Kavaliersdelikte. So schreibt die DS-GVO die Verhängung von Geldbußen in Höhe von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten, konzernweiten Jahresumsatzes vor.

Die Geldbußen sind politisch bewusst so hoch gewählt, denn sie sollen abschreckend wirken. Aber auch unabhängig von den möglichen Strafen sollten Unternehmen bemüht sein, einen professionellen und sicheren Umgang mit personenbezogenen Daten sicherzustellen.

Datenschutz ist angewandtes Qualitätsmanagement!