Ab 25.05.2018 wird die Datenschutz-Grundverordnung (DSGVO) als neues Regelwerk für die gesamte Europäische Union gelten. Auf Unternehmen als für Datenschutz Verantwortliche kommen damit gravierende Änderungen zu. Bis zum Inkrafttreten des neuen Rechts sind Datenschutz‐Audits und Projekte zur Umsetzung der DSGVO im Unternehmen zu bewerkstelligen.

An die von den Unternehmen durchzuführenden Datenschutz-Audits stellt die neue DSGVO klare Anforderungen. Vor allem geht es darum, Compliance im Datenschutz nachzuweisen, ein Datenschutzmanagementsystem aufzubauen und Audits durchzuführen.

Wesentliche Neuerungen sind eine erhöhte Selbstverantwortung für Unternehmen („Accountability“) sowie die Stärkung der Rechte der betroffenen Personen und strengere Vorgaben für die Datensicherheit; aber auch die Bestellung eines Datenschutzbeauftragten.

Verantwortliche müssen – anders als bisher – die Einhaltung der datenschutzrechtlichen Vorgaben aktiv nachweisen können („Accountability“). Dabei sind auch technische und organisatorische Grundsätze zu beachten; deren Einhaltung wird durch den Stand der Technik und die Implementierungskosten, den Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken sowie Art, des Umfangs, der Umstände, des Zwecks der Verarbeitung eingeschränkt.

Die Interessenabwägung wird zentraler Erlaubnisbestand, was eine detaillierte Beschreibung der Zwecke der Verarbeitungen verlangt.

In die Unternehmensabläufe sind Organisationsschritte wie Löschung und Datenminimierung aber auch Pseudonymisierung einzubauen.

Das Recht auf Löschung muss künftig unverzüglich gewährleistet werden, es heißt nunmehr Recht auf Vergessen. Als neues Recht der betroffenen Person kommt die Datenübertragbarkeit auf Unternehmen zu: Dabei haben Personen das Recht, ihre Daten in einem gängigen Format von einem Anbieter zu erhalten bzw. zu einem anderen übermitteln zu lassen. Außerdem haben Personen ein Widerspruchsrecht gegen rein automatisierte Datenverarbeitung ohne menschliches Zutun; auf dieses muss im Sinne des Transparenzgrundsatzes explizit und separat hingewiesen werden.

Bei der Datensicherheit muss der Verantwortliche etwa durch Pseudonymisierungsmaßnahmen ein „angemessenes“ Niveau sicherstellen. Datenvorfälle müssen binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden, wenn personenbezogene Daten verletzt werden. Darüber hinaus sind auch die betroffenen Personen zu informieren, wenn voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten besteht; von dieser Pflicht kann dann abgesehen werden, wenn im Vorfeld geeignete Maßnahmen im Rahmen der Accountability getroffen wurden.

Datenschutz-Audit
Im kürzlich erschienenen Buch „Datenschutz-Audit – Der Praxisleitfaden zur Datenschutz-Grundverordnung“ werden die aus der DSGVO resultierenden Pflichten auf die zentralen Bereiche Recht, Organisation, Prozess und IT umgelegt, um Compliance im Datenschutz nachzuweisen, ein Datenschutzmanagementsystem aufzubauen und Audits durchzuführen. Entscheidend ist dies auch für die (künftige) Praxis des Datenschutzbeauftragten beim Aufbau eines DSMS zur Umsetzung der DSGVO.

Der komplexe Text der DSGVO wird in klar prüfbaren Kontrollen dargestellt. Das daraus entstandene Kontrollset dient dazu, die Umsetzung der Verpflichtungen aus der DSGVO zu überprüfen. Die von den Autoren entwickelte Audit-Methode ist angelehnt an Audits von Managementsystemen und leistet vergleichbare, reproduzierbare Audit-Ergebnisse. Damit können Sie Ihrer Selbstverantwortung zur Einhaltung der datenschutzrechtlichen Pflichten nachkommen und dazu beitragen, Strafen bzw. Sanktionen zu vermeiden. Gezeigt wird, welche Schritte erforderlich sind, um die Vorgaben der DSGVO fristgerecht und effizient umzusetzen, dies unter Berücksichtigung des notwendigen Gesamtüberblicks sowie des essentiellen Detailwissens über die Verarbeitung von personenbezogenen Daten sowie der einzelnen Datenanwendungen im Unternehmen. Auch eine Beleuchtung und Priorisierung der rechtlichen Vorgaben sowie die einzelnen Organisations-, Prozessschritte und Vorkehrungen finden dabei Beachtung.

22.05.2017, Saxinger, Chalupsky & Partner Rechtsanwälte GmbH, Autor: Michael M. Pachinger, http://at.schindhelm.com