DSGVO-Compliance im Unternehmen: Ein detaillierter Praxisleitfaden

DSGVO-Compliance im Unternehmen: Ein detaillierter Praxisleitfaden

Das finden Sie auf dieser Themenseite:

Im Rahmen Ihres DSGVO-Umsetzungsprojekts müssen Sie eine ganze Reihe von Maßnahmen ergreifen. Wir erläutern Ihnen in den folgenden Kapiteln und Abschnitten, welche Schritte verpflichtend sind und was alles zu bedenken ist. Hierbei haben wir sämtliche Pflichten nach der DSGVO sechs übergeordneten Compliance-Bereichen zugeordnet. Indem Sie sich an dieser Struktur orientieren, stellen Sie sicher, dass sie nichts vergessen und die Umsetzung systematisch angehen.

Die Unterkapitel folgen immer einer ähnlichen Struktur: Wir stellen zunächst die anwendbaren Vorschriften der Datenschutz-Grundverordnung (DSGVO) dar, legen die entsprechenden Textstellen für Sie aus und ergänzen Erläuterungen. Am Ende jeden Abschnitts fassen wir eine konkrete To-do-Liste für Ihr Unternehmen zusammen.

Sie haben Fragen? Unsere Datenschutzexperten helfen Ihnen gerne weiter.

Die Datenschutzorganisation im Unternehmen: Hintergründe, Aufbau und Nutzen

Die DSGVO wird Ihre Verpflichtung zum Aufbau einer Datenschutzorganisation umfassend erweitern. Vor allem die Umsetzung von technischen und organisatorischen Maßnahmen erfordert Aufmerksamkeit. Klares Ziel der Optimierung: Die Einhaltung von datenschutzrechtlichen Bestimmungen muss gewährleistet und nachgewiesen werden.

Im Text der DSGVO finden Sie dazu in Art. 24 Abs. 1 und 2 die entsprechenden Abschnitte. Hier sieht die Verordnung vor, dass

der Verantwortliche […] geeignete technische und organisatorische Maßnahmen um[setzt], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt

und dass,

Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, […] die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen [müssen].

Damit Sie diesen Anforderungen genügen, kann abhängig vom Umfang Ihrer Datenverarbeitung die Einführung:

  • einer anspruchsvollen Datenschutzorganisation,
  • verpflichtender Grundsätzen und Richtlinien,
  • entsprechender Schutzbestimmungen bei der Verarbeitung von personenbezogenen Daten

erforderlich sein.

Insbesondere Unternehmensgruppen werden ein detailliertes Konzept für die Rechtmäßigkeit gruppenweiter Datenverarbeitungen darlegen müssen.

Bei Verstößen und Sanktionen: Auswirkungen einer Datenschutzorganisation

Sofern eine Datenschutzbehörde beabsichtigt, eine Geldbuße für einen Verstoß gegen die DSGVO zu verhängen, kann der Umstand, dass eine Datenschutzorganisation errichtet wurde, entscheidende Auswirkungen auf die Festsetzung der Höhe der zu zahlenden Geldbuße haben. Die entsprechende Textstelle in der DSGVO finden Sie in Art. 83 Abs. 2 lit. d:

„Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen.“

Danach wird das Bestehen einer geeigneten Datenschutzorganisation in der Regel dazu führen, dass eine niedrigere Geldbuße verhängt wird, als wenn keine entsprechenden organisatorischen Vorkehrungen vorhanden wären.

Auf den folgenden Seiten beschreiben wir detailliert, welche Regelungsebenen Sie innerhalb der Datenschutzorganisation festlegen sollten:


Interne Prozesse und Verfahren: Allgemeiner Hintergrund

In diesem Kapitel erklären wir die Voraussetzungen der DSGVO hinsichtlich der Einführung von internen Unternehmensprozessen und -verfahren.

Was ein datenverarbeitendes Unternehmen einführen muss, um den Verpflichtungen aus der DSGVO zu genügen, kann in zwei Kategorien eingeteilt werden:

Erstens sind in der DSGVO verschiedene Pflichten verankert, deren Erfüllung nur dann gewährleistet werden kann, wenn sie aufgrund eines bestimmten internen Prozesses sichergestellt und umgesetzt wurden. Deshalb halten wir es für notwendig, diese unterschiedlichen Prozesse einzuführen, um den Anforderungen der DSGVO zu entsprechen – obwohl sie nach dem bloßen Wortlaut der Verordnung nicht vorgeschrieben sind. Wir nennen diese Prozesse „unterstützende Prozesse“.

Ein Beispiel für einen solchen Prozess: Die Identifizierung und Nachverfolgung jeglicher Arten von Verarbeitungsaktivitäten in Bezug auf personenbezogene Daten innerhalb des Unternehmens. Obwohl hierfür die DSGVO keine bestimmte Verpflichtung enthält, ist dies eine unerlässliche Voraussetzung für die Beurteilung, ob und inwieweit wesentliche Pflichten nach der DSGVO für das Unternehmen gelten oder für die Einhaltung bestimmter Zielvorgaben der DSGVO.

Dementsprechend haben wir die unterstützenden Prozesse in dieses Kapitel einbezogen und ausführlich ausgearbeitet. Die entsprechenden Informationen finden Sie in den Abschnitten:

Zweitens verlangt die DSGVO unmittelbar als unabhängige Verpflichtung die Umsetzung bestimmter interner Prozesse und Verfahren. Diese sollen Unternehmen nicht nur dabei helfen, (wesentliche) DSGVO-Verpflichtungen einzuhalten. Die Implementierung der entsprechenden Prozesse, oder vielmehr die Ergebnisse dieser, werden von der DSGVO unmittelbar gefordert.

Zur Veranschaulichung: Ein Beispiel für solch einen autonomen Prozess ist die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Laut dieser Vorschrift gilt es als unmittelbare und autonome Pflicht des jeweiligen Unternehmens, eine Datenschutz-Folgenabschätzung der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, wenn bestimmte Voraussetzungen vorliegen. Deshalb ist eben nicht nur das Ergebnis der Datenschutz-Folgenabschätzung, also das Ergebnis des Prozesses, sondern die Vornahme dieser Abschätzung – und deshalb der Prozess an sich – der Kern dieser Verpflichtung.

Wir nennen diese Prozesse „autonome Prozesse“.

Dr. Flemming Moos
Geposted von Dr. Flemming Moos

Dr. Flemming Moos ist auf das Datenschutz- und IT-Recht spezialisiert und berät seit über 15 Jahren nationale und internationale Unternehmen der Technologieindustrie sowie deren Kunden.