Am 25.05.2016 trat nach langem Vorspann die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Diese gilt gemäß Art. 288 Abs. 2 AEUV unmittelbar und direkt in jedem Mitgliedstaat. Allerdings kommt den aus ihr ergebenden Rechten und Pflichten gemäß Art. 99 Abs. 2 DSGVO erst ab dem 25.05.2018 Geltung zu. D. h. Unternehmen haben bis dahin Zeit ihre Prozesse an die Anforderungen der Datenschutzgrundverordnung anzupassen. Dies erscheint zwar als lange "Umsetzungsfrist", angesichts der Vielzahl der neuen Anforderungen empfiehlt es sich jedoch, so schnell wie möglich mit der Umsetzung zu beginnen. Entsprechen die internen Prozesse am 25.05.2018 nicht den Anforderungen der Verordnung, drohen Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens. Dabei soll der Unternehmensbegriff zur Bestimmung des Höchstmaßes des Bußgeldes kartellrechtlich auszulegen sein, so dass auch der weltweite Jahresumsatz des ganzen Konzerns maßgeblich sein kann. Die Zulässigkeit einer solchen Auslegung ist jedoch aufgrund der hierzu im Widerspruch stehenden Legaldefinition des Unternehmensbegriffs äußerst umstritten. Auch der Umfang der Pflichtverletzungen, die vom Bußgeldkatalog erfasst sind, wurde erheblich ausgeweitet. Dies wird noch bedeutender bedenkt man, dass die Aufsichtsbehörden aktuell bundesweit ihre Kapazitäten erhöhen, sodass mit einer deutlich gesteigerten Verfolgungspraxis zu rechnen ist.
Im Bereich des Beschäftigtendatenschutzes bleibt aktuell noch abzuwarten, ob und wie der deutsche Gesetzgeber von der Öffnungsklausel in Art. 88 Abs. 1 DSGVO Gebrauch macht. Dabei bleibt insbesondere interessant, ob § 32 BDSG in seiner jetzigen Form bestehen bleibt oder ob ein detaillierteres Beschäftigtendatenschutzrecht erlassen wird.
Unternehmern ist zu raten frühzeitig zu überprüfen, inwieweit ihre Prozesse den Vorgaben der DSGVO genügen und ggf. mit der Anpassung zu beginnen. Hierbei könnten insbesondere folgende Punkte von Bedeutung sein:
Überarbeitung der Verfahrensverzeichnisse nach Art. 30 DSGVO
Zum Beginn der Analyse eignet sich insbesondere eine detaillierte Überarbeitung der Verfahrensverzeichnisse (bisher §§ 4g Abs. 2 S. 1, 4e S. 1 BDSG) mit einer Risikoklassifizierung aus der sich im Nachgang weitere Schritte ableiten lassen (wie z.B. die notwendigen technischen- und organisatorischen Maßnahmen nach Art. 32 DSGVO sowie die Notwendigkeit einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO).
Anpassung im Bereich der Transparenz- und Dokumentationspflichten
In der DSGVO hat sich der Umfang der Benachrichtigungs- und Auskunftspflichten gegenüber Betroffenen erheblich erweitert, sodass Informationsprozesse angepasst werden müssen. So müssen u.a. bestehende Betriebsvereinbarungen, die den Umgang mit personenbezogenen Daten regeln, insoweit überarbeitet werden.
Anpassung der Auftragsdatenverarbeitungsverträge
Auch der Umfang des zu regelnden Inhalts in Auftragsdatenverarbeitungsverträgen hat sich erheblich erweitert, sodass es einer Überarbeitung aller vorhandenen Auftragsdatenverarbeitungsverträge bedarf.
Abschluss eines Joint-Controller-Agreement
Mit Art. 26 DSGVO verlangt nun das Gesetz – wie zuvor schon von der Art. 29 Datenschutzgruppe empfohlen – in dem Fall, dass "zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen", dass die gemeinsamen Verantwortlichen in einer Vereinbarung (Joint-Controller-Agreement) festlegen, wer von ihnen für welche Pflichten, insbesondere in Bezug auf die Erfüllung der Betroffenenrechte, intern verantwortlich ist.
Überarbeitung der Lösch-und Sicherheitskonzepte
Des Weiteren sind u.a. Lösch- und Sicherheitskonzepte in einer Risikoanalyse mit den gesetzlichen Anforderungen abzugleichen und gegebenenfalls anzupassen.
Überarbeitung des Datenschutz-Beschwerde-Managements im Unternehmen
Überarbeitung der Datenschutzschulungen der Beschäftigten
Implementierung neuer technischer Maßnahmen
Unter Umständen bedarf es zur Umsetzung der Datenschutzgrundverordnung auch neuer technischer Maßnahmen, um die Betroffenenrechte auf Datenübertragbarkeit nach Art. 20 DSGVO und auf Erhalt einer Kopie der Daten des Betroffenen nach Art. 15 Abs. 3 DSGVO sowie die Grundsätze "privacy by design" und "privacy by default" im Sinne des Art. 25 DSGVO erfüllen zu können.
Es muss daher zeitnah das datenschutzrechtliche Risiko im Unternehmen analysiert, ein Aktionsplan der umzusetzenden Maßnahmen ausgearbeitet und mit der Umsetzung begonnen werden, damit gewährleistet werden kann, dass zum 25.05.2018 alle Prozesse den Anforderungen der Datenschutzgrundverordnung entsprechen, damit man sich nicht der Gefahr eines erheblichen Bußgeldes aussetzt.