Die Last-Minute-Panik im Zusammenhang mit der DSGVO ist abgeklungen, und alle Beteiligten sortieren sich. Zeit für ein Zwischenfazit.

Für eine überraschend große Anzahl von Unternehmen kam der 25.05.18 als der Startschuss für die Anwendung der DSGVO unerwartet. Der von vielen befürchtete große Knall ist aber bisher ausgeblieben. Die vielfach heraufbeschworene Abmahnwelle etwa ist jedenfalls bisher nicht in Sicht.

Das liegt nicht zuletzt daran, dass Unternehmen im Regelfall zumindest das Notwendigste veranlasst, um den Anforderungen der DSGVO zu entsprechen. In vielen Fällen hat die DSGVO die Verantwortlichen jedenfalls zu einer ehrlichen Bestandsaufnahme und Analyse geführt, aus der notwendige Maßnahmen abgeleitet werden konnten.


Eine solche Bestandsaufnahme ist auch nach Inkrafttreten der DSGVO sinnvoll – falls noch nicht durchgeführt. Unternehmen sollten analysieren, welche personenbezogenen Daten im Unternehmen vorhanden sind, woher diese Daten stammen, und was mit ihnen im Unternehmen geschieht. Häufig führt diese Bestandsaufnahme Erstaunliches zutage, und den Beteiligten wird erst bewusst, an welchen Stellen Daten vorhanden sind bzw. wer darauf zugreifen kann.


Am Ende dieser Analyse besitzt das Unternehmen eigentlich die wesentlichen Informationen, die zur Erstellung des Verzeichnisses über die Verarbeitungstätigkeit benötigt werden – eines der Dokumente, welches von fast allen Unternehmen nach der DSGVO vorzuhalten ist.


In einem nächsten Schritt sollten Unternehmen kritisch hinterfragen, ob der identifizierte Umgang mit personenbezogenen Daten im Einklang mit dem Datenschutzrecht (also insbesondere DSGVO und BDSG neu) erfolgt. Es gilt, Rechtsgrundlagen für die Datenverarbeitung zu identifizieren bzw. zur Datenverarbeitung berechtigende Verträge und Erklärungen den neuen rechtlichen Anforderungen anzupassen. Klassische Beispiele hierfür sind Verträge zur Auftragsverarbeitung und Einwilligungen zur Datenverarbeitung, etwa im Zusammenhang mit Bewerbungsverfahren oder Personalangelegenheiten.


Zu denken ist auch an die von der Datenverarbeitung Betroffenen: Sie sind umfassend über ihre Rechte zu informieren. Plakatives Beispiel hierfür sind Datenschutzerklärungen auf Internetseiten. Hier besteht nach der DSGVO in fast jedem Fall Anpassungsbedarf.


Im Auge behalten sollten Unternehmen zudem einen praktischen Aspekt. Den Betroffenen stehen umfangreiche Rechte, z.B. auf Auskunft über und Löschung von personenbezogenen Daten. Die DSGVO schreibt hier Fristen vor, innerhalb derer Unternehmen  auf Anfragen und Aufforderungen der Betroffenen reagieren müssen.

Es empfiehlt sich, den Umgang mit Betroffenenanfragen in kontrollierte Prozesse zu überführen und regelrecht zu üben, damit im Ernstfall eine Vielzahl von Anfragen gleichzeitig fristgerecht bearbeitet werden kann.


Im Übrigen bleibt die weitere Entwicklung abzuwarten. Erste Landesdatenschutzbeauftragte haben durchblicken lassen, anhand welcher Kriterien sie gedenken, erste Unternehmen für eine Untersuchung des Umsetzungsstandes der DSGVO zu untersuchen. Unternehmen, die anhand einer sorgfältigen Dokumentation darlegen können, dass sie auf Basis einer ehrlichen Bestandsaufnahme konkrete Maßnahmen identifiziert und umgesetzt haben, sind für den Fall einer solchen Untersuchung gut aufgestellt.

 

Weitere Hintergrundinfos:

Herr Tobias Karrenbrock
Rechtsanwalt 

tradeo Rechtsanwälte LLP                            

Tel: +49 211 247910-30
karrenbrockDiese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
www.tradeo-law.com

tradeo LLP
Plange Mühle 1
40221 Düsseldorf

© 2018 AHV NRW - Aussenhandelsverband Nordrhein-Westfalen e.V.