datenschutz aktuell

Rechtzeitig die Weichen stellen!

Die neue EU-Datenschutz-Grundverordnung fordert besonders Mittelstandsunternehmen

DS GVO Euro

Ab dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DS-GVO) in allen Mitgliedstaaten der Europäischen Union. Bis dahin müssen in den Unternehmen die internen Prozesse zur Verarbeitung von personenbezogenen Daten und das eigene Datenschutzmanagement den neuen gesetzlichen Gegebenheiten angepasst werden. Viele Geschäftsführungen unterschätzen den Aufwand in ihren Unternehmen. Aktuell dazu wurde heute in der 2. und 3. Lesung im Bundestag über den „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts (DSAnpUG-EU) an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ (18/11325) im Bundestag abschließend debattiert und der Gesetzentwurf angenommen. Sofern der Bundesrat die Zustimmung zum Gesetzesbeschluss des Bundestages gibt, könnte noch im Mai das Gesetz verkündet werden. Damit wären dann die  Umsetzungsdetails im Gesetz geregelt.  

 

Datenschutz benötigt ein internes Kontrollsystem.

Die Beachtung des Datenschutzes und dessen Kontrolle ist zwar für sich allein betrachtet schon eine Complianceaufgabe der Geschäftsleitung. Die Notwendigkeit des Schutzes dieser Daten sollte aber nicht isoliert nur aus der Sicht des Datenschutzes betrachtet werden. Die Bedeutung des Schutzes der Ressource „Daten“ ist vielmehr in einer Gesamtsicht aus handels-, steuer- und datenschutzrechtlichen Perspektiven sowie unter Sicherheits-, Ordnungsmäßigkeits- und Revisionsgesichtspunkten zu sehen.

Der Schutz personenbezogener Daten ist nur dann gegeben, wenn auch die Sicherheit, Zulässigkeit und Zuverlässigkeit der Ursprungsdaten und der Verarbeitungsverfahren gewährleistet sind und wenn alle relevanten Vorschriften einschließlich der Vorschriften zum Datenschutz und zur Datensicherheit korrekt angewendet werden. Aus Sicht der Unternehmensleitung ist es daher nur sinnvoll, das Anliegen „Schutz der Prozesse, Verarbeitungssysteme und Daten“ als eine einheitliche Aufgabe zu sehen und den Datenschutz in das Management- und Kontrollsystem des Unternehmens einzubeziehen.

Wie sind die Anforderungen an den technischen Datenschutz und die Dokumentation zu verstehen?

Künftig muss der Unternehmer die Einzelmaßnahmen der unterschiedlichen Gesetze, die ihn schon heute zum Schutz der eigenen IT betreffen - wie zum Beispiel das IT-Sicherheitsgesetz oder die Richtlinie zur Netzwerk- und Informationssicherheit (NIS) - mit den neuen Anforderungen der DS-GVO in Einklang bringen. Im Datenschutzmanagement werden den Unternehmen weitreichendere Verpflichtungen auferlegt. Es umfasst alle Maßnahmen, die zur effektiven Umsetzung der datenschutzrechtlichen und sonstigen Vorgaben notwendig sind, sowie die Verpflichtung die damit verbundenen Prozesse und Strukturen umfassend zu dokumentieren. Andernfalls wird es den Unternehmen nicht möglich sein, die geforderten Nachweise zur rechtmäßigen Verarbeitung Ihrer Daten zu erbringen. In einem integrierten Sicherheitsansatz ist der Schutz der Unternehmenswerte mit den Zielen des Datenschutzes zu vernetzen. Die DSGVO schreibt zwar diesen integrierten Sicherheitsansatz nicht konkret vor, setzt ihn aber unausgesprochen voraus, wenn die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO mit der Forderung der Nachweisbarkeit der Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO erfüllt werden soll. Andernfalls drohen den Unternehmen verschärfte Sanktionen mit Bußgeldern von bis zu 20 Mio Euro oder 4% der Gesamtjahresumsatzes.

Drimalski & Partner ist darauf spezialisiert, die Prozesse zum wirksamen Datenschutz und zur Datensicherheit zuverlässig im Unternehmen umzusetzen – sprechen Sie uns an unter 0661-90203-12.