Was bedeutet die DS-GVO für Unternehmen?

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung verpflichtend anzuwenden. Für Unternehmen ist es an der Zeit, das eigene Datenschutzmanagementsystem mit den neuen Anforderungen abzugleichen und notwendige Anpassungen vorzunehmen.

Ihre Ansprechpartner

Worauf kommt es aktuell an?

Dr. Uwe Günther und Stefan Strüwe, beide Datenschutzexperten und externe Datenschutzbeauftragte in mehr als hundert Unternehmen des Gesundheits- und Sozialwesens, erläutern im Interview, worauf es aktuell ankommt.

Welche Veränderungen hat die neue Datenschutz-Grundverordnung mit sich gebracht?

Im Vergleich zu den bisher geltenden Rechtsvorschriften sind die Anforderungen an die Datenschutzmanagementsysteme deutlich höher. Dies bedingen zum einen die gestiegenen Rechenschaftspflichten als auch der erheblich verschärfte Bußgeldrahmen. Durch mediale Präsenz des Themas wird die Sensibilität im Umgang mit personenbezogenen Daten insgesamt geschärft.

Was bedeuten die Veränderungen für das Datenschutzmanagement in der Praxis?

Management und Verantwortliche für den Datenschutz müssen insb. folgende Bestandteile des Datenschutzmanagements überprüfen und ggf. anpassen:

  • Verzeichnis der Verarbeitungstätigkeiten,
  • Vereinbarungen zur Auftragsverarbeitung,
  • eingesetzte Einwilligungserklärungen und
  • Prozesse zur Sicherstellung der Betroffenenrechte, wie z.B. Informationspflichten oder Recht auf Vergessenwerden.

Daneben gibt es neue Anforderungen, die von den Unternehmen sicherzustellen sind:

  • Prozess der Durchführung einer Datenschutz-Folgenabschätzung,
  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen und
  • den Prozess zur Meldung von Datenschutzpannen.

Gibt es für kirchliche Einrichtungen Besonderheiten?

In Deutschland wurde im Juni 2017 durch das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) bereits eine Neufassung des Bundesdatenschutzgesetzes (BDSG) erreicht. Aufgrund ihres Selbstbestimmungsrechts können die Kirchen in Deutschland eigene Rechtsverordnungen für ihren Geltungsbereich bestimmen („Dritter Weg“). Von diesem haben die Kirchen mit dem Gesetz über Kirchlichen Datenschutz (KDG) auf katholischer und dem EKD-Datenschutzgesetz auf evangelischer Seite auch beim Thema Datenschutz Gebrauch gemacht.

Dem nationalen Gesetzgeber folgend, haben auch die Kirchen eine Anpassung ihrer Rechtsvorschriften vorgenommen, um den höheren Anforderungen der DS-GVO Rechnung zu tragen.

Was bedeuten die Veränderungen für den Datenschutzbeauftragten?

Schon vor der DS-GVO mussten Unternehmen, bei denen mindestens zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen betrieblichen Datenschutzbeauftragten (DSB) bestellen. Mit der Verordnung entfällt nun die Einschränkung auf die Verarbeitung in elektronischen Medien (insbesondere auch wenn besondere Kategorien von Daten, wie z.B. Gesundheitsdaten, verarbeitet werden), so dass nunmehr auch Personen, die mit der Aktenverwaltung betraut sind, einzurechnen sind.

Gleiches gilt für das Verzeichnis der Verarbeitungstätigkeiten (früher Verfahrensverzeichnis): Die Pflicht zur Erstellung dieser Übersicht besteht nunmehr ab 250 Beschäftigten oder auch für kleinere Unternehmen oder Einrichtungen, wenn die Verarbeitung der Daten ein Risiko für die Rechte und Freiheit für die Betroffenen, diese nicht nur gelegentlich erfolgt oder besondere Datenkategorien beinhaltet.

Somit sind praktisch alle Einrichtungen des Gesundheits- und Sozialwesens gefordert, einen DSB zu bestellen sowie ein Verzeichnis über die Verarbeitungstätigkeiten zu erstellen und zu führen.

Warum sollten Unternehmen sich mit der Verordnung beschäftigen?

Erfahrungen haben gezeigt, dass allein die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten oftmals weit mehr Zeit beansprucht, als ursprünglich gedacht. Und bei Verstößen gegen die neuen Vorschriften handelt es sich nicht mehr länger um Kavaliersdelikte. So schreibt die DS-GVO die Verhängung von Geldbußen in Höhe von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten, konzernweiten Jahresumsatzes vor.

Die Geldbußen sind politisch bewusst so hoch gewählt, denn sie sollen abschreckend wirken. Aber auch unabhängig von den möglichen Strafen sollten Unternehmen bemüht sein, einen professionellen und sicheren Umgang mit personenbezogenen Daten sicherzustellen.

Datenschutz ist angewandtes Qualitätsmanagement!

Die großen Fünf der Irrtümer

Die Datenschutz-Grundverordnung (DS-GVO) gilt nunmehr seit einem Jahr. Nachdem sich die Panik rund um das neue Datenschutz-Regelwerk in der Zwischenzeit deutlich gelegt hat, kursieren dennoch haufenweise Gerüchte und Zweifel. Damit aus diesem gefährlichen Halbwissen keine Schäden für Ihre Unternehmen resultieren, klären wir an dieser Stelle über die fünf größten Irrtümer auf.

Irrtum 2: Fotos

Die Veröffentlichung von Fotos ist nun grundsätzlich verboten.

Sind Sie sicher?

Impulse für Ihre Arbeit

Curacon-Studie

Praxisnah und mit Blick in die Tiefe betrachten unsere Studien zur Sozialwirtschaft die aktuelle wirtschaftliche Situation, die Stimmung sowie die Aussichten der Branche. Gerne hier anfordern.

Weitere Informationen

Curacon-Newsletter

Un­­­­­ser Wis­­­sen tei­­­len wir gern: Die wich­­­tigs­­­­­ten The­­­men kom­­­pakt auf den Punkt ge­bracht – abon­­­nie­­­ren Sie ein­­­fach hier un­­­­­se­­­ren Datenschutzne­w­s­­­le­t­­­ter!

Weitere Informationen

Curacontact

Unsere Mandantenzeitschrift Curacontact bietet Ihnen quartalsweise Fachbeiträge zu spannenden und aktuellen Themen aus Ihrer Branche. Sie möchten die Curacontact abonnieren und kostenlos per Post erhalten? Dann kontaktieren Sie uns.

Weitere Informationen