Im Mai 2018 tritt die neue EU-Datenschutzgrundverordnung in Kraft. Unternehmen, die weitermachen wie bisher, laufen Gefahr, mit drakonischen Strafen im zweistelligen Millionenbereich konfrontiert zu werden. Die Zeit rennt – und wenn Sie auf Nummer sicher gehen wollen, sollten Sie sich um diese fünf Dinge jetzt schon kümmern:
1. Dokumentieren Sie alles!
Seien Sie penibel, denn die Beweislast wird umgekehrt: In Zukunft müssen nicht mehr die Behörden beweisen, dass Sie den Datenschutz missachtet haben, sondern Sie müssen beweisen, dass Sie sich an die Regeln halten! Diese Nachweispflicht erfordert die genaue Dokumentation sämtlicher Datenschutzmaßnahmen, was damit wichtiger wird denn je. Denken Sie auch an die Dokumentation der Datenschutz-Folgenabschätzung: Ihr Datenschutzbeauftragter nimmt diese vor und bewertet dabei die Risiken und Folgen der Verarbeitung besonders sensibler Daten für die Rechte und Freiheiten der Betroffenen. Dies ist besonders wichtig, wenn neue Technologien zur Datenverarbeitung verwendet werden (sollen).
2. Passen Sie Ihre Einwilligungstexte an!
Sie müssen nachweisen können, dass Betroffene freiwillig der Verarbeitung ihrer Daten zugestimmt haben und über ihre Widerrufsmöglichkeiten aufgeklärt wurden, wobei der Widerruf ebenso einfach wie die Erteilung sein muss. Die vollständige Erklärung zur Verarbeitung muss klar und verständlich formuliert sein und darf nicht im Kontext anderer Sachverhalte untergehen. Neu ist, dass die Einwilligung von Minderjährigen unter 16 (je nach Land: unter 13) generell unwirksam ist und ein Elternteil zustimmen muss. Passen Sie Ihre Texte entsprechend an und sorgen Sie für eine einfache Möglichkeit zum Opt-Out.
3. Bedenken Sie die Transparenzanforderungen!
Betroffene müssen in Erfahrung bringen können, was über sie bekannt ist und wie ihre Daten erhoben, verarbeitet und genutzt werden. Dazu zählen auch Informationen darüber, welche Maßnahmen ergriffen werden, um die Daten zu schützen. Das wiederum bedeutet, dass diese Informationen nicht nur erhoben, sondern auch aufbereitet und bereitgehalten werden müssen. Umfangreiche Dokumentation wird also unerlässlich. Immerhin: Sollten einzelne Personen exzessiv häufig nach ihren Daten fragen, kann ein Entgelt erhoben werden.
4. Prüfen Sie Ihre Partner!
Es ist völlig normal, dass Daten zur Verarbeitung auch an andere Unternehmen weitergegeben werden. Dennoch geben Sie mit den Daten nicht automatisch die Verantwortung ab, im Gegenteil: Beide Verarbeiter sind nun generell für eine sichere Verarbeitung verantwortlich! Deshalb ist es wichtig, dass Sie die Verträge mit Ihren Partnerunternehmen erneut genau prüfen und ggf. Zertifizierungen abfragen. Sensible Punkte wie die physische oder technische Übergabe der Daten an andere Unternehmen müssen zudem besonders gesichert werden.
5. Checken Sie Ihre Abläufe!
Nutzen Sie die verbleibenden Monate, um sowohl die technischen als auch die organisatorischen Abläufe in Ihrem Unternehmen auf den Prüfstand zu stellen. Das Bundesdatenschutzgesetz sieht schon konkrete Maßnahmen vor (die neue EU-DSGVO erst recht), um von der Eingabe über die Speicherung bis zur weisungsgemäßen Auftragssteuerung höchste Datensicherheit zu gewährleisten. Das Thema ist komplex und langwierig, deswegen sollten sie jetzt schon damit anfangen. Verpassen sie es, drohen bald drakonische Strafen: Statt bisher 300.000 Euro können Verstöße bald bis zu 20 Millionen Euro kosten.
(Dieser Beitrag ist auch auf funkschau.de erschienen)