Überblick zum Datenschutz

Seit dem 25. Mai 2018 müssen Unternehmen in Deutschland die Datenschutz-Grundverordnung (DS-GVO) sowie das überarbeitete Bundesdatenschutzgesetz (BDSG) anwenden. Dies bringt umfangreiche Änderungen und völlig neue Herausforderungen für Unternehmen mit sich.

Was ändert sich für Unternehmen?

Unter anderem ergeben sich Änderungen bei den Betroffenenrechten, die durch die DS-GVO ausgeweitet wurden. Es bestehen umfangreiche Informations- und Transparenzpflichten für die Unternehmen. Darüber hinaus wird beispielsweise das Verfahrensverzeichnis durch ein sogenanntes Verarbeitungsverzeichnis abgelöst. Gleichzeitig gibt es neue Melderegelungen und eine Datenschutz-Folgenabschätzung, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen enthält. Die bisher im BDSG vorgesehene Vorabkontrolle sowie die Meldepflicht für automatisierte Verarbeitungsvorgänge entfällt dafür im Ganzen.

Was Unternehmen jetzt tun müssen?

Zunächst muss geprüft werden, ob es Anpassungsbedarf im Hinblick auf die DS-GVO gibt. Hierfür haben die unabhängigen Aufsichtsbehörden aller Länder Hinweise in Form eines Kurzpapiers „Maßnahmenplan für Unternehmen zur DS-GVO“ erstellt. Zunächst sind die rechtlichen, technischen und organisatorischen Bereiche in einem Unternehmen unter die Lupe zu nehmen. Wichtig ist dabei eine Bestandsaufnahme, bevor der Handlungsbedarf festgestellt werden kann. Auch die derzeitigen Prozesse mit denen personenbezogene Daten verarbeitet werden, deren dazugehörige Rechtsgrundlagen, die Datenschutzbeziehungen, die Datenschutzdokumentationen und, sofern vorhanden, Betriebsvereinbarungen müssen unter die Lupe genommen werden. Danach kann eine Analyse des Soll-Zustands vor dem Hintergrund der DS-GVO Neuregelungen erfolgen.

Warum erhöhen sich die Anforderungen?

Ziel der DS-GVO ist die Vereinheitlichung des Datenschutzrechts innerhalb Europas. Zukünftig sollen in allen Staaten der Europäischen Union die gleichen Standards gelten. Das war bislang nicht der Fall. Die DS-GVO gilt unmittelbar, im Gegensatz zur bisherigen Richtlinie, die erst durch das BDSG in nationales Recht umgesetzt werden musste. Ganz außen vor ist der nationale Gesetzgeber jedoch nicht. Dieser hat zwischenzeitlich von der Möglichkeit der eigenen Gesetzgebung in den geöffneten Bereichen (sogenannte Öffnungsklauseln) Gebrauch gemacht.

Welche Unterstützung gibt es?

Für eine erste Orientierung können Unternehmen die Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder nutzen. Die Kurzpapiere können von der Website der Datenschutzkonferenz (DSK) heruntergeladen werden.
Unabhängig davon veröffentlicht die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) zur DSGVO verschiedene Praxishilfen. Zum Konzept der Reihe gehören prägnante und unmittelbar verwertbare Handreichungen für den betrieblichen Datenschutzalltag.