EU-DSGVO – 8 Tipps für die erfolgreiche Umsetzung

5 minvon Bettina Prennsberger 22. August 2017

Image Designed by Freepik

Am 25. Mai 2018 tritt die neue EU-DSGVO in Kraft und lehrt seit deren Bekanntwerden Unternehmen aller Branchen und Größen das Fürchten. Geldstrafen in zweistelliger Millionenhöhe sind u.a. der Grund für große Verunsicherung. Am Ende dieses Beitrages werden die wichtigsten Erneuerungen durch die Verordnung zusammengefasst sowie auf die Umsetzung im österreichischen Recht verwiesen.

Aber zunächst zu den 8 Tipps für die Umsetzung:

1. Schaffen Sie Awareness

Wie eingangs erwähnt, ist die EU-DSGVO in den meisten Unternehmen bereits ein sehr präsentes Thema. Sollten Sie allerdings das Gefühl haben, dass die Brisanz des Themas in Ihrem Unternehmen noch nicht angekommen ist, versuchen Sie dies zu ändern. Die horrenden drohenden Strafen von bis zu 20 Mio. EUR bzw. 4% des letztjährigen weltweiten Jahresumsatzes sollten eigentlich selbst in den beratungsresistentesten Kreisen zu einem Schrillen der Alarmglocken führen – und viel Zeit bleibt nicht mehr bis zum 28. Mai 2018... (hier geht's zum Countdown)

2. Analysieren Sie Ihre Prozesse

Viele Unternehmen arbeiten bereits seit Monaten daran, alle Prozesse und Datenverarbeitungskanäle zu analysieren. Nur wer den Status Quo kennt, kann gegebenenfalls auf Lücken im Hinblick auf die künftige Gesetzeslage stoßen, um diese zeitgerecht zu schließen. Holen Sie daher alle Beteiligten mit ins Boot und streben sie eine lückenlose Erhebung des Status Quo an. Im HR-Bereich sind es vor allem die Bewerberdatenflüsse im Recruiting-Prozess und Verträge, die analysiert und auf EU-DSGVO-Konformität überprüft werden sollten.

3. Holen Sie sich bei Bedarf Unterstützung

Je größer und komplexer die Unternehmensstruktur, desto wahrscheinlicher ist es, dass Sie die erforderlichen Schritte nicht ohne weitere Hilfe allein gehen können. Zu viele Kanäle und Datenflüsse lassen einen wahrscheinlich recht bald den Überblick verlieren und Fehler bei der Anpassung an die neue Verordnung können bekanntlich sehr kostspielig sein. Daher ist das Hinzuziehen von Spezialisten in vielen Fällen ratsam.

Es finden sich zahlreiche Anbieter für Unterstützung hinsichtlich EU-DSGVO-Anpassungen im Internet. An dieser Stelle seien nur ein paar Anbieter angeführt:

Unternehmenscheck und Begleitung des Prozesses:

Textbausteine und auditkonforme Vorlagen für Datenschutzdokumentation:

Umfassende Softwarelösungen:

Rechtsberatung durch diverse Rechtsanwaltskanzleien

Achtung: Kleinere Unternehmen und Startups profitieren von schlankeren Strukturen und somit flexibleren Reaktionsmöglichkeiten im Hinblick auf die neuen Vorschriften. Startups sollten sich aber mindestens so intensiv wie große, etablierte Unternehmen darum bemühen, alle rechtlichen Vorschriften einzuhalten, um kostspielige und existenzgefährdende Verstöße zu vermeiden.

4. Befassen Sie sich intensiv mit den neuen Reglements

Natürlich sollten Sie inhaltlich über die neuen Regelungen Bescheid wissen. Einerseits müssen Sie ja Ihre Pflichten kennen, um keinen Verstoß zu riskieren. Beispielsweise muss der Verantwortliche seiner Auskunftspflicht gegenüber dem Betroffenen binnen eines Monats nachkommen. Es gibt aber Ausnahmen, über die Sie Bescheid wissen sollten. Sollten mehrfache komplexe Anträge auf Auskunftserteilung vorliegen, kann die Frist um zwei weitere Monate verlängert werden. In bestimmten Fällen (offenkundig unbegründete oder – im Falle häufiger Wiederholung – exzessive Anträge einer betroffenen Person) kann der Verantwortliche den Antrag entweder ablehnen oder ein angemessenes Entgelt (Entschädigung für Verwaltungskosten) verlangen.

Dies sind nur ein paar Beispiele dafür, warum es sich lohnt, sich mit der gesetzlichen Lage auseinander zu setzen.

5. Schulen Sie Ihre Mitarbeiter

Unabhängig davon, ob in Ihrem Unternehmen bereits ein Compliance-System installiert ist, kann es ratsam sein, Datenschutz-Schulungen für Mitarbeiter anzubieten. Der sorgfältige und regelkonforme Umgang mit personenbezogenen Daten von Kunden, Bewerbern, Vertragspartnern, etc. sollte allen Mitarbeitern ein Anliegen sein und Sensibilisierung ist hier ein wichtiges Stichwort. Denkbar wäre z.B. die Abhaltung von Online-Schulungen mit anschließender Online-Testung, welche für jeden Mitarbeiter, der Zugriff auf personenbezogene Daten hat, verpflichtend zu absolvieren ist.

6. Tauschen Sie sich mit anderen aus

Ein schwacher aber dennoch nicht von der Hand zu weisender Trost: Wir alle sitzen momentan im selben Boot. Das bedeutet nicht nur, dass das Risiko im Falle eines Vergehens „erwischt zu werden“ vermeintlich minimiert ist (nach dem Motto: es kann nicht überall kontrolliert werden – bitte lassen Sie es aber keinesfalls darauf ankommen!) sondern es bedeutet auch, dass wir voneinander lernen können. Tauschen Sie sich aus und profitieren Sie vom Erfahrungsaustausch. Best-Practice Beispiele können abgewandelt vielleicht auch im eigenen Unternehmen Anwendung finden – denn man muss das Rad ja nicht immer wieder neu erfinden.

7. Bestimmen Sie einen Ansprechpartner im Unternehmen

Die DSGVO sieht die Bestimmung eines Datenschutzbeauftragten nur in bestimmten Fällen verpflichtend vor (für nähere Details siehe "Die wichtigsten Änderungen im Überblick" am Ende des Beitrages). Diese Pflicht betrifft also nur einen überschaubaren Teil der Unternehmenslandschaft. Dennoch kann es durchaus ratsam sein, intern einen zentralen Ansprechpartner im Unternehmen für Datenschutz-Themen festzulegen. Dieser sollte über die wichtigsten Regelungen Bescheid wissen und im Falle von Anfragen rasch die richtigen Hebel in Bewegung setzen.

8. Stecken Sie nicht den Kopf in den Sand

Die EU-DSGVO ist wie eingangs erwähnt eine aus Unternehmenssicht eher unangenehme Realität, wenn nicht sogar Gefahr. So jedenfalls wirkt die Drohung von Strafen von bis zu 20 Mio. EUR bzw. 4% des weltweiten Jahesumsatzes auf viele. Sprichwörtlich die Augen davor zu verschließen oder eben den Kopf in den Sand zu stecken ist allerdings gerade aufgrund der drohenden Strafen keine gute Strategie. Besser wäre es, das Positive dahinter zu sehen – nämlich das Ziel, personenbezogene Daten aller Betroffenen zu schützen – und sich bestmöglich auf die neuen Pflichten vorzubereiten.

Die wichtigsten Änderungen im Überblick

Hier finden Sie die wesentlichsten Änderungen durch die EU-DSGVO im Überblick (vgl. Rosenmayr-Klemenz, 2017):

Die Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister DVR) entfällt

Der Verantwortliche (nach DSG 2000 „Auftraggeber“) und Auftragsverarbeiter“ (DSG 2000 „Dienstleister") werden stattdessen stärker in die Verantwortung genommen:

  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

  • Verzeichnis von Verarbeitungstätigkeiten durch Verantwortliche und Auftragsverarbeiter

  • Meldungen von Verletzungen sind sowohl nationalen Aufsichtsbehörden als auch der betroffenen Person mitzuteilen

  • Pflicht zur Datenschutz-Folgenabschätzung (bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen)

  • Vorherige Konsultation der Aufsichtsbehörde, wenn aus Datenschutz-Folgenabschätzung hervorgeht, dass hohes Risiko besteht und Verantwortliche keine Maßnahmen dagegen trifft

  • Verpflichtender Datenschutzbeauftragter, sofern

  • Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangens und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen

  • Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht

(Neue) Informationspflichten und Betroffenenrechte

  • Auskunftsrecht (u.a. auch über geplante Speicherdauer)
  • Recht auf Berichtigung, Löschung, „Vergessenwerden“, Einschränkung der Verarbeitung
  • Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung an alle Empfänger
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht
  • Regelungen betreffend automatisierte Generierung von Einzelentscheidung einschließlich profiling

Befugnisse und Aufgaben der Aufsichtsbehörden werden erweitert

  • Verhängung von „Geldbußen" (bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4% seines weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres)

Umsetzung ins österreichische Recht

Die EU hat den nationalen Gesetzgebern etwas Spielraum für die Umsetzung im nationalen Recht gelassen. Zur Umsetzung im österreichischen Recht („Datenschutz Anpassungsgesetz“) hat Anna Mertinz bereits in Ihrem Artikel Datenschutzrecht Österreich Neu ist da alle wichtigen Informationen zusammengefasst. Für diesen Beitrag gibt es eine klare Leseempfehlung von uns.

Falls auch Sie noch weitere Tipps für die erfolgreiche Umstellung in Bezug auf DSGVO-Konformität haben, hinterlassen Sie uns diese gerne in einem Kommentar!

Quelle wichtigste Änderungen:

Rosenmayr-Klemenz, C. (2017). EU-DATENSCHUTZ-GRUNDVERORDNUNG (EU-DSGVO), Wien: Service-GmbH der Wirtschaftskammer Österreich.

Hinweis: Bei CRUITIS NewsMag Beiträgen handelt es sich nicht um Rechtsberatung. Der Autor übernimmt keinerlei Gewähr für die Aktualität, Korrektheit oder Vollständigkeit der bereitgestellten Informationen.

Veröffentlicht in:  
Recht
Tipps & Tricks

Bleiben Sie informiert

Abonnieren Sie unseren Newsletter und verpassen Sie künftig keine Beiträge rund um die Themen Recruiting & Employer Branding, Tipps & Tricks und Recht.