DSGVO gilt ab heute, 25.05.2018 – Sofortmaßnahmen zur Schadensbegrenzung

Ab heute, dem 25.05.2018, gilt die Datenschutzgrundverordnung (DSGVO oder DS-GVO) EU-weit, genauer gesagt endet die 2-jährige Übergangsfrist, da die DSGVO bereits seit dem 25.05.2016 in Kraft ist.

Verantwortliche, die sich bislang noch nicht mit der DS-GVO beschäftigt haben, sollten nun nicht in blinden Aktionismus verfallen, sondern die wichtigsten Sofortmaßnahmen ergreifen, um eine Schadensbegrenzung hinsichtlich etwaiger Bußgelder zu erreichen. Im Notfall, d.h. bei einer konkreten Nachfrage der zuständigen Aufsichtsbeghörde, dem Landesdatenschutzamt, können die wichtigsten Unterlagen vorgezeigt werden, was im besten Fall dazu führen kann, dass kein Bußgeld fällig wird, da die Aufsichtsbehörden bei der Verhängung von Bußgeldern einen Ermessensspielraum haben.

Es bieten sich folgende Maßnahmen an, die Verantwortliche zunächst angehen sollten:

1. Erstellung des sog. Verarbeitungsverzeichnisses

Gemäß Art. 30 DS-GVO haben Verantwortliche ein Verzeichnis über die Verarbeitungstätigkeiten zu erstellen und vorzuhalten. Es gibt hierzu bereits vielfältige Musterverzeichnisse mit Handlungsanweisungen im Netz. Insbesondere die Landesdatenschutzbehörden, wie etwa das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) bieten gerade für kleine Unternehmen und Vereine Mustervorlagen an. So finden sich auf der Seite „Handreichungen für kleine Unternehmen und Vereine“ des BayLDA, Mustervorlagen für Verarbeitungsverzeichnisse etwa für Handwerker, Arztpraxen, Steuerberater, Online-Shopbetreiber. Einzelhändler, Beherbergungsbetriebe etc.

2. Prüfung ob ein Datenschutzbeauftragter bestellt werden muss

Zudem müssen Verantwortliche prüfen, ob ein Datenschutzbeauftragter bestellt werden muss. Die Voraussetzungen für eine Bestellung eines Datenschutzbeauftragten finden sich in den Art. 37 ff. DS-GVO und in § 38 BDSG (neu).

3. Auftragsverarbeitung

Durch die Digitalisierung der Arbeitswelt, bedient sich mittlerweile jeder Gewerbetreibende sog. Auftragsverarbeitern, wie etwa Subunternehmern, IT- und Cloudanbietern, Service- und Wartungskräft etc. Die diesbezüglichen Vorschriften finden sich in den Art. 28 ff. DS-GVO. Mustervorlagen und Handlungsanweisungen finden sich z.B. beim BayLDA oder beim Berufsverband der Datenschutzbeauftragten (BDA).

 4. Auskunftsrecht

Gemäß Art. 12 Abs.1 DS-GVO muss ein Verantwortlicher einem Betroffenen Auskunft darüber erteilen, welche personenbezogenen Daten er über ihn gespeichert hat. Zu beachten ist hierbei, dass dies innerhalb einer Frist von 1 Monat gemäß Art. 12 Abs.3 S.1 DS-GVO zu erfolgen hat. Hierbei muss ein Verantwortlicher die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (Art. 12 Abs. 1 S. 1 DS-GVO). Neben dem Auskunftsrecht hat eion Betroffener weitere Rechte, wie dem Recht auf Berichtigung (Art. 16 DS-GVO), auf Löschung (Art. 17 DS-GVO ) und Einschränkung der Verarbeitung (Art. 18 DS-GVO).

5. Meldepflicht bei Datenlecks

Bei einer Verletzung des Schutzes personenbezogener Daten, z.B. bei einem Hackingangriff oder einer fehlerhaftemn Serverkonfiguration hat der Verantwortliche die Pflicht nach Art. 33 Abs. 1 DS-GVO diesen Vorfall der zuständigen Aufsichtsbehörde binnen 72 Stunden zu melden. Anderenfalls droht ein Bußgeld nach Art. 83 DS-GVO.

Schadensbegrenzung

Die dargestellten Maßnahmen stellen lediglich einen Teil der Minimalanforderungen dar und sollen zunächst dazu dienen, für den Fall der Fälle, der Aufsichtsbehörde zeigen zu können, dass man die Anforderungen der DS-GVO bereits umsetzt und deshalb bei einer drohenden Bussgeldverhängung ggf. „gnädig“ stimmen kann.

Weitere Maßnahmen, wie etwa die Überprüfung des Mitarbeiter-Datenschutzes, die Durchführunge einer Datenschutzfolgeabschätzung und die Erstellung eines Datenschutzhandbuches sollten ebenfalls zeitnah angegangen werden.

Auch sollte geprüft werden, ob besonders „sensible“ personenbezogene Daten, die sog. „besonderen Kategorien“ personenbezogener Daten nach Art. 9 DS-GVO, wie z.B. Gesundheitsdaten, sexuelle Orientierung, Religionszugehörigkeit, usw. verarbeitet werden, da dann weitere Maßnahmen umzusetzen wären.

Ähnliche Beiträge