EU-Datenschutz-Grundverordnung
Der Countdown läuft: Datenschutz-Grundverordnung ab 25. Mai 2018 anwendbar
Bereits am 25.05.2016 ist die neue EU-Datenschutz-Grundverordnung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DS-GVO)“ in Kraft getreten. Am 25.05.2018 tritt sie in Kraft.
Die Übergangsfrist läuft bereits seit dem 25.05.2016. Ein Projektstart muss umgehend erfolgen, um fristgerecht der neuen Gesetzgebung zu folgen. Eine Umsetzung über den 25.05.2018 hinaus, bedeutet ernste Konsequenzen in Bezug auf Datenschutzvergehen. Ihr Unternehmen wird angreifbar.
War der Datenschutz in der Vergangenheit nur selten ein Thema für Vorstände, Geschäftsführer und Führungskräfte, so hat sich dies geändert. Die DS-GVO nimmt diese Zielgruppe nicht nur in die Verantwortung, sondern geradezu ins Visier. Strafmaßnahmen und Haftungsrisiken in einer bis heute nicht vergleichbaren finanziellen Höhe sind die Folge. Der Bußgeld-Katalog orientiert sich dabei am europäischen Kartell- und Umweltrecht.
Der Datenschutzbeauftrage
Der betriebliche Datenschutzbeauftragte erhält neue Aufgaben und Rollen. Gleichzeitig überträgt er, vom Gesetzgeber beauftragt, viele seiner Aufgaben an die operative und strategische Unternehmensführung. Datenschutz nach der neuen Gesetzesgrundlage ist somit Geschäftsführungs- und Geschäftsleitungsaufgabe. Das Management kann diese Verantwortung nicht delegieren.
Wichtige Operative-Neuerungen DS-GVO
Betroffene, wie zum Beispiel Mitarbeiter, Kunden, Lieferanten und Partner, erhalten durch die Novellierung des Datenschutzrechtes, Betroffenenrechte in nie zuvor gekanntem Ausmaß.
Neben den massiven Änderungen und Neugerungen, gehören die Beweislastumkehrung zu Ungunsten der Unternehmen und Organisationen, die extrem umfangreichen Dokumentations- und Informationspflichten und die neue Auslegung der Verhältnismäßigkeit von Datenspeicherung zu den schwerwiegendsten Veränderungen.
Beweislastumkehrung und Verbandsklagerecht
Gerade die Beweislastumkehrung und die neuen anonymisierten Anzeigemöglichkeiten können das verantwortliche Management, in eine äußerst irritierende und defensive Position drängen.
Zusätzlich erhalten, durch das Verbandsklagerecht Verbände/Organisationen, Gewerkschaften und Verbraucherschutzorganisationen umfangreiche Klagrechte. Somit können, nicht beeinflussbare oder auch negative Szenarien auf die operative Basis eines Unternehmens einwirken. Diese Szenarien könnten auch missbräuchlich verwendet, zu erweiterten Bedrohungspotentialen führen. Der Raum für potentielle Erpressungs- und Denunzierungsversuche erscheint groß.
Softwarenutzung
In Hinblick, auf die in den Unternehmen genutzten Softwarepakete, wie ERP-, CRM- oder gerade auch HRM-Systeme, ergeben sich umfangreiche und notwendige Veränderungsprozesse. Diese Prozesse müssen durch das Management initiiert werden, um eine fristgerechte Umsetzung zu ermöglichen. Datenspeicherungen wie in der Vergangenheit sind unzulässig, sogar strafbar.
Outsourcing
Ist das Unternehmen an einem Outsourcingprozess, als Outsourcinggeber, als Outsourcingnehmer oder als Dienstleister/Subdienstleister in einem Outsourcingvorgang beteiligt, so ergibt sich aus der gesamtschuldnerischen Haftung ein vollkommen neues Unternehmensrisiko. Das Unternehmensrisiko muss im Rahmen der hauseigenen Vorschriften und Vorgaben neu bewertet werden. Das Risikomanagement, die interne oder auch externe Revision erhalten neue Prüfszenarien. Regeln zur Vermeidung von Straftaten im Unternehmen, wie zum Beispiel SOX, müssen neu definiert werden. Sämtliche Verträge in diesem Zusammenhang müssen auf die neue Gesetzgebung angepasst werden. Es gibt keine Übergangsmöglichkeiten in den Vertragswerken. Dieses gilt insbesondere auch für AGB und SLA-Konstrukte.
Unternehmensführung und Controlling
Der für die Unternehmensführung so wichtige Bereich des Controllings, mit sämtlichen Listen und erzeugten Reports muss auf Einhaltung der neuen Vorschriften durch die Gesetzgebung überprüft werden. Listen und Reports müssen überarbeitet und angepasst werden, damit sie den Betroffenenrechten genüge leisten. Neue Reports müssen vor Erstellung auf Einhaltung der Gesetze geprüft werden. Eine spontane Listen- und Reportgenerierung gehört der Vergangenheit an.
Personenbezogene Daten und Betroffenen-Rechte
Besonderer Aufmerksamkeit verlangt der Umgang mit personenbezogenen Daten im Personalbereich. Auch hier greifen zwingend die Informations- und Dokumentationspflichten. Vorhandene Mitarbeiterinformationen sowie Mitarbeiterbestätigungen zum Datenschutz, Klauseln in Arbeitsverträgen oder Ergänzungen zum Arbeitsvertrag verlieren mit dem 25.05.2018 ihre Gültigkeit. Für jeden Mitarbeiter muss ein neues ergänzendes Vertrags- und Informationswerk aufgebaut werden. Durch besondere Zusätze, in den Gesetzesgrundlagen, wird es erforderlich sein, diese Informationen multikulturell und mehrsprachig aufzubereiten.
Unternehmensrisiko
Verantwortliche Führungskräfte, die Geschäftsführung und die Geschäftsleitung, die nicht in die zügige Projektumsetzung einsteigen, erzeugen für das eigene Unternehmen ein nicht zu verantwortendes Risikopotential. Dieses Risiko kann im schlimmsten Fall existenzbedrohend für das jeweilige Unternehmen sein.
Durch gezielte Information, Vorbereitung und Ausbildung aller Betroffenen minimieren Sie das Unternehmensrisiko. Ein Projektstart spätestens im ersten Quartal 2017 bietet genügend Freiräume um alle erforderlichen Umstellungen vorzunehmen. Geben Sie sich und Ihrem Unternehmen den notwendigen Vorsprung und die Sicherheit diese einmalige und neue Ära des Datenschutzes rechtskonform umzusetzen.
Es empfiehlt sich daher schon jetzt, das eigene Unternehmen auf die neuen datenschutzrechtlichen Bestimmungen vorzubereiten und entsprechende Compliance-Maßnahmen in Angriff zu nehmen, wie insbesondere eine umfassende Prüfung hinsichtlich der Rechtmäßigkeit sämtlicher Datenanwendungen des Unternehmens.
Wir unterstützen Sie bei den notwendigen Anpassungen an die Datenschutz-Grundverordnung und leiten bereits jetzt die erforderlichen Maßnahmen in Ihrem Unternehmen ein.
Unsere Leistungen (Auszug):
- Anpassung von Datenschutzerklärungen, Betriebsvereinbarungen und Einwilligungserklärungen
- Unterstützung bei der Einrichtung neuer datenschutzkonformer Prozesse
- Handhabung von Auskunftsersuchen und Beschwerden Betroffener
- Durchführung von Datenschutz-Folgenabschätzungen
- Anpassung der Vereinbarungen zur Auftragsverarbeitung
- Erstellung von Verzeichnissen von Verarbeitungstätigkeiten
- Unterstützung bei der Entwicklung eines Konzepts zum Umgang mit Datenschutzverletzungen