Wie das GDPR um „fünf Minuten vor zwölf“ effektiv implementieren?

24.4.2018

Am 25. 5. 2018 tritt die neue EU-Datenschutz-Grundverordnung in Kraft, die unter der englischen Abkürzung GDPR bekannt ist. Den Unternehmern, Gesellschaften und anderen Verwaltern von personenbezogenen Daten bleiben somit nur noch ein paar Wochen Zeit auf die Vorbereitung und In-Einklang-Bringung.

Auch wenn ein ziemlich großer Teil von Unternehmen in diesem Prozess deutlich Fortschritt gemacht hat oder sogar vor dem Prozessabschluss steht, gibt es immer noch eine erhebliche Reihe von Unternehmen, die damit erst beginnen oder vor kurzem begonnen haben.

Wir haben für Sie eine Zusammenfassung unserer Erfahrungen und Empfehlungen aus vielen realisierten GDPR-Projekten vorbereitet, sodass die meisten laufenden Handels- oder Herstellungsfirmen, bei denen die Verarbeitung der personenbezogenen Daten nur eine unterstützende Rolle spielt, im Stande waren in der übrig gebliebenen Zeit mindestens ein befriedigendes GDPR-Einklangsniveau zu erreichen.

  1. Grundlage ist die Erkennung

Der erste Schritt bei der GDPR-Vorbereitung ist die Identifikation und Erkennung sämtlicher Prozesse der Verarbeitung von personenbezogenen Daten, die Sie im Unternehmen durchführen. Es muss sich nicht um komplizierte Verfahren handeln, grundsätzlich genügt es die grundlegenden „kriminalistischen“ Fragen für jeden Fall der nach dem Zweck identifizierten Verarbeitung zu beantworten:

Im Optimalfall ist das Ergebniss dieser Erkennungsphase eine Übersicht der Verarbeitung von personenbezogenen Daten, die es nachfolgend ermöglicht als Grundlagefür die Aufzeichnungen über die Verarbeitung der personenbezogenen Daten nach GDPR verwenden zu werden.

  1. Durchführung der Unterschiedsanalyse

Sofern Sie die Verarbeitungsprozesse in der Gesellschaft identifiziert haben, kommt der nächste Schritt, der im Vergleich des Ist-Standes mit sechs Pflichten jedes Verwalters von personenbezogenen Daten nach der GDPR besteht.

Vor allem ist zu prüfen, ob Sie für die jeweilige Verarbeitung den richtigen Rechtsgrund verwenden (Gesetzlichkeit). Eine besondere Aufmerksamkeit ist der Zustimmung in Hinblick auf die Verschärfung der Anforderungen an deren Erteilung und Erhaltung zu schenken. Wir empfehlen Gebrauch von der Zustimmung als den gesetzlichen Grund für die Verarbeitung nur dann zu machen, wenn Sie tatsächlich keinen Gebrauch von anderen Rechtsgründen machen können (Erfüllung einer Rechtspflicht, Abschluss oder Durchführung eines Vertrags oder berechtigtes Interesse des Verwalters).

Nach der Festlegung eines richtigen gesetzlichen Grundes folgt die Überprüfung, ob sämtliche Daten, die Sie verarbeiten, für den legitimen und vorher festgelegten Verarbeitungszwecks unentbehrlich sind (Zweckseinschränkung), und ob Sie diese lediglich für eine unentbehrliche Dauer aufbewahren (Minimierung der Daten und der Aufbewahrungsdauer). Es ist auch nötig zu sichern, dass Sie nur genaue und je nach Bedarf aktualisierte personenbezogene Daten verarbeiten (Genauigkeit).

Ferner ist es nötig die Informationen unter die Luppe zu nehmen, die Sie den Datenverarbeitungssubjekten erteilen und wie Sie auf ihre zusammenhängenden   Anfragen und Rechte reagieren und ihnen bei deren Ausübung behilflich sind (Transparenz und Fairness). In den meisten Fällen werden die bestehenden Informationen den GDPR-Anforderungen an Inhalt und Form nicht entsprechen. In den Unternehmen fehlen gewöhnlich auch Prozesse, wie sie auf die Anfragen  der Subjekte reagieren werden.

Schließlich sind die Risiken jeder Verarbeitung zu beurteilen, entsprechende technische und organisatorische Datenverarbeitungsschutzmaßnahmen (Schutz vor unbefugtem Zutritt oder unbefugter Verarbeitung sowie vor zufälligem Verlust, Vernichtung oder Beschädigung) einzuleiten und zu dokumentieren (Integrität und Vertraulichkeit).

  1. Und schließlich die Implementierung selbst

Wir empfehlen, dass Sie auf Grund der festgestellten Mängel konkrete Abhilfemaßnahmen treffen, die den Einklang mit der GDPR gewährleisten. Aus Zeitmangel sind die Prioritäten für die Implementierung zu identifizieren und ein entsprechender Zeitplan festzulegen.

In jedem Fall ist es möglich davon auszugehen, dass Sie folgende eigentlich „Standard“-Implementierungsmaßnahmen nicht vermeiden werden können:

Diese Aufzählung ist nicht vollständig und stellt nur ein allgemeines „Standardimplementierungspaket“ dar. Der konkrete Umfang der Implementierungsmaßnahmen wird sich immer insbesondere nach dem Umfang, Charakter, Kontext und Zweck der Verarbeitung unterscheiden. Jedenfalls handelt es sich um ein gewöhnliches Minimum, das Sie größtenteils in der restlichen Zeit klären können.

Sotte es Ihnen trotzdem nicht gelingen alles bis zum GDPR-Inkraftreten zu schaffen, geben Sie nicht auf und warten Sie nicht passiv auf eine gepfefferte Strafe! Es ist ganz sicher zu erwarten, dass die Erkennung der Verarbeitung, die Teilimplementierung von Prioritäten und der reale Zeitplan für die restlichen Maßnahmen stets im Falle einer behördlichen Prüfung zu berücksichtigen sind und Sie sich vor der Auferlegung einer wesentlicheren Sanktion schützen sollten.




Weitere Artikel des Verfassers Radek Matouš



© 2019 Moore Stephens. All rights reserved. Sitemap Datenschutz-Bestimmungen Design by aboutblank - creative web design