Fit für den EU-Datenschutz: So meistern Sie die Umstellung auf die Datenschutz-Grundverordnung

Fit für den EU-Datenschutz: So meistern Sie die Umstellung auf die Datenschutz-Grundverordnung

Die lange erwartete Datenschutz-Grundverordnung (DSGVO) ist in Kraft getreten und entfaltet ab dem 25. Mai 2018 Wirksamkeit. Sie ändert den Datenschutz in Europa grundlegend:

  • Es werden neue und strengere Datenschutzregeln eingeführt.
  • Das EU-Recht erstreckt sich zukünftig auch auf Nicht-EU-Unternehmen, die in der EU tätig werden.
  • Verstöße werden mit drastischen Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes bestraft.

Für Sie bedeutet das: Die Compliance-Anforderungen werden erheblich verschärft. Deshalb ist es umso wichtiger, einen Fahrplan für Ihr Unternehmen zu haben, der die richtigen Schwerpunkte setzt – inhaltlich und geografisch. Mai 2018 klingt zunächst weit entfernt, angesichts der Vielzahl der neuen Regelungen und Anforderungen ist die Umsetzungsfrist von zwei Jahren jedoch knapp bemessen.

Osborne Clarke GDPR Issues and Benefits

Am 25. Mai 2018 entfaltet die lange erwartete Datenschutz-Grundverordnung (DSGVO) ihre Wirkung: Mit ihr wird der Datenschutz in Europa grundlegend verändert.

Damit Sie einen Überblick bekommen, haben wir den Text der DSGVO auf unserer Seite für Sie zusammengestellt: DSGVO: Kapitel und korrespondierenden Erwägungsgründen. In unserem englischen Flyer Are you ready for GDPR compliance? A guide to what you need to do and when erfahren Sie ebenfalls mehr zum Thema.

Unsere Unterstützungsleistungen: Wir begleiten Sie Schritt für Schritt

Das Datenschutzteam von Osborne Clarke begleitet Sie in Etappen zur rechtssicheren Umsetzung, damit Sie dem 25. Mai 2018 gelassen entgegen sehen können.

Wie aufwendig die Umstellung für Unternehmen tatsächlich ist, hängt von verschiedenen Faktoren ab, unter anderem dem Umfang der Datenverarbeitung und der Reife Ihrer bisherigen Datenschutzorganisation. Vielen Firmen fehlt allerdings noch ein vollständiger Überblick über ihren Umgang mit personenbezogenen Daten. Schon die Einhaltung der gegenwärtig geltenden Datenschutzvorgaben können viele deshalb nicht verlässlich evaluieren.

Wir setzten daher bei einer umfassenden Analyse an und greifen Ihnen bei den folgenden Fragen unter die Arme:

  • Was benötigen Sie?
  • Wo sollten Sie Schwerpunkte setzen?
  • Welche Maßnahmen nehmen Sie wann in Angriff?

Unsere Unterstützungsleistungen sind dabei modular aufgebaut und lassen sich beliebig mit Ihren internen Aktivitäten und den Leistungen anderer Dienstleister kombinieren. Wir unterstützen Sie genau in dem Umfang, den Sie benötigen.

Ihr Leitbild für DSGVO-Compliance

Das künftige Leitbild für die Datenschutzorganisation in Daten verarbeitenden Unternehmen setzt sich aus sechs von der DSGVO vorgegebenen Compliance-Bereichen zusammen:

Osborne Clarke: Sechsteiliger Projektplan DSGVO

1. Datenschutzorganisation:
Die Umsetzung dieses Compliance-Bereichs zielt darauf ab, bei dem Unternehmen eine Datenschutzorganisation zu etablieren, die den Vorgaben der DSGVO entspricht.
Bestandsaufnahme: Wir erfassen sämtliche organisatorischen Festlegungen, die im Hinblick auf die Gewährleistung des Datenschutzes derzeit bei dem Unternehmen etabliert sind. Zum Beispiel Aufgaben und Befugnisse von Datenschutzbeauftragten, interne Anweisungen, Zuständigkeitsregelungen und so weiter.
Abgleich: Die DSGVO enthält erstmals konkrete Verpflichtungen im Hinblick auf die Datenschutzorganisation und die diesbezüglichen Pflichten des Verantwortlichen (vor allem Artikel 24). Wir arbeiten heraus, welche Organisationsmaßnahmen konkret verlangt sind.
Ergebnis: Wir eruieren das Delta, definieren den Handlungsbedarf und empfehlen konkrete Organisationsmaßnahmen.

2. Interne Prozesse und Verfahren:
Hier geht es darum, die Unternehmensprozesse und internen Verfahren im Unternehmen so zu gestalten, dass sie Gewähr für die Einhaltung der DSGVO bieten.
Bestandsaufnahme: Wir erfassen sämtliche etablierten Prozesse, mit denen datenschutzrechtliche Verpflichtungen umgesetzt werden; etwa die Erstellung von Verfahrensverzeichnissen, die Durchführung von Auftragsdatenverarbeitungs-Kontrollen (ADV-Kontrollen) und vieles mehr.
Abgleich: Die DSGVO macht ungleich mehr verfahrensmäßige Vorgaben als das Bundesdatenschutzgesetz (BDSG). Wir sagen Ihnen, welche Vorgehensweisen bei Datenschutzfolgenabschätzungen, Meldepflichten bei Datenpannen, Umsetzung von Betroffenenrechten, Datenportabilität etc. verlangt werden.
Ergebnis: Wir zeigen auf, wie bestehende Prozesse angepasst und – wo notwendig – welche neuen Verfahren etabliert werden müssen.

3. Rechtmäßige Datenverarbeitung:
Die Umsetzung dieses Compliance-Bereichs zielt darauf ab zu gewährleisten, dass das Unternehmen personenbezogene Daten tatsächlich DSGVO-konform verarbeitet.
Bestandsaufnahme: Wir erfassen sämtliche im Unternehmen etablierten Verarbeitungen personenbezogener Daten und deren aktuelle Rechtsgrundlagen.
Abgleich: Wir klären, welche materiellen Verarbeitungsregeln der DSGVO für das Unternehmen gelten und welche Anforderungen sie jeweils stellen. Wir prüfen, ob die etablierten Verarbeitungen diesen Anforderungen genügen und wo Anpassungsbedarf besteht.
Ergebnis: Wir sagen Ihnen im Detail, welche Verarbeitungen künftig wie angepasst werden müssen (etwa durch Änderung der Verarbeitung, Änderung der Rechtsgrundlage und so weiter), damit die Daten DSGVO-konform verwendet werden.

4. Technologie und Sicherheit:
In diesem Compliance-Bereich geht es darum, die Anforderungen der DSGVO zur Sicherheit der Daten und der Gestaltung der Datenverarbeitungstechnik umzusetzen.
Bestandsaufnahme: Wir nehmen alle dokumentierten Datenschutz- und Datensicherheitsmaßnahmen sowie alle einschlägigen Regelungen im Hinblick auf die Gestaltung von Datenverarbeitungssystemen auf.
Abgleich: Diese Ergebnisse spiegeln wir gegen die erhöhten Anforderungen der DSGVO, die etwa durch Verpflichtung auf Datenschutz durch Technikgestaltung (Artikel 25), Sicherheit der Verarbeitung (Artikel 32) oder der Verpflichtung auf Datenintegrität und Vertraulichkeit (Artikel 5 f) zum Ausdruck kommen.
Ergebnis: Als Ergebnis erhalten Sie einen Bericht über das Delta bei den Technologie- und Sicherheitsmaßnahmen gegenüber dem DSGVO-Standard.

5. Richtlinien, Verträge und Dokumente:
Dieser Compliance-Bereich umfasst alle Vorgaben zur Gestaltung datenschutzrelevanter Dokumente wie Unternehmensrichtlinien, datenschutzbezogene Verträge, Einwilligungen, et cetera.
Bestandsaufnahme: Wir erfassen, welche Richtlinien, Verträge und sonstigen Dokumente derzeit verwendet werden. Wir unterziehen alle wichtigen Dokumente einer inhaltlichen Prüfung und nehmen bei standardisierten Dokumenten (zum BeispielEinwilligungen) Stichprobenprüfungen durch.
Abgleich: Es ist jetzt schon absehbar, dass viele Dokumente zur Umsetzung der DSGVO-Anforderungen angepasst werden müssen; geänderte Anforderungen gelten unter anderem für Einwilligungen (Artikel 7), für ADV-Verträge (Artikel 28) und für Datenschutzerklärungen (Artikel 13).
Ergebnis: Sie bekommen eine genaue Beschreibung der Anpassungsnotwendigkeiten aller geprüften Dokumente und Hinweise, welche notwendigen Dokumente gegebenenfalls fehlen.

6. Nachweisbarkeit und Dokumentation:
Die Umsetzung dieses Compliance-Bereichs zielt darauf ab, dass das Unternehmen alle notwendigen Nachweise und Dokumentationen vorhält, die die Einhaltung der DSGVO-Vorgaben belegen.
Bestandsaufnahme: Wir nehmen auf, welche Maßnahmen derzeit im Unternehmen etabliert sind, die geeignet sind, die Einhaltung des Datenschutzrechts nachzuweisen; das können etwa Protokollierungen und Audits sein, oder Protokolle über Schulungen und Prüfungen und so weiter.
Abgleich: Wir gleichen den Befund ab mit den entsprechenden DSGVO-Verpflichtungen; allen voran den Anforderungen aus der sog. Rechenschaftspflicht (Artikel 5 Absatz 2), aber auch den sonstigen Nachweispflichten zum Beispiel im Hinblick auf die Erteilung einer Einwilligung (Artikel 7).
Ergebnis: 
Wir zeigen auf, welche zusätzlichen Nachweise und Dokumentationen nach der DSGVO notwendig sind, und geben Empfehlungen ab, in welcher Form diese erbracht werden können.

Wir liefern Antworten und Lösungen

  • Wir helfen bei der Umsetzung der Datenschutz-Grundverordnung bis Mai 2018: Unser großes erfahrenes Datenschutzteam garantiert Schnelligkeit.
  • Ihr gesamtes Unternehmen ist bei uns in guten Händen: Wir sind mit 21 Büros in 11 Ländern eine führende internationale Kanzlei.
  • Wir machen eine systematische und risikoorientierte Bestandsaufnahme: Unsere Vorgehensweise ist erprobte und methodisch belastbar.
  • Wir bestimmen den Handlungsbedarf für die Umsetzungsphase und entwickeln konkrete Handlungsempfehlungen für eine gestufte Umsetzung.
  • Profitieren Sie von unserer langjährigen Erfahrung: Sie erhalten von uns einen strukturierten Projektplan, mit dem Sie verlässlich arbeiten können.

Sie haben Fragen? Dann kontaktieren Sie unser Datenschutzteam.

Law Firm Of The Year sborne Clarke: Legal Business Award Winner 2016

Dr. Flemming Moos
Geposted von Dr. Flemming Moos

Dr. Flemming Moos ist auf das Datenschutz- und IT-Recht spezialisiert und berät seit über 15 Jahren nationale und internationale Unternehmen der Technologieindustrie sowie deren Kunden.