31
10/2017 ·
MIDRANGE
MAGAZIN
Neben 99 Artikeln beinhaltet die
DS-GVO zusätzlich 173 Erwägungs-
gründe (ErwGr). Diese erläutern die Ar-
tikel und deren Umsetzung und stehen
in ihrer Bedeutung den Artikeln der
DS-GVO in nichts nach; sie haben quasi
Gesetzescharakter. Vorrangig ist daher
der Aufbau eines Datenschutzmanage-
mentsystems (DMS). Die dafür relevan-
ten Normen finden sich in der DS-GVO
an vielen verschiedenen Stellen.
ó
Art. 5 DS-GVO stellt die Grundsätze
für die Verarbeitung personenbezoge-
ner Daten auf.
ó
Art. 30 DS-GVO verlangt vom Ver-
antwortlichen, ein Verzeichnis aller
Verarbeitungstätigkeiten zu führen.
Es gibt Ausnahmen für KMUs, doch
empfiehlt es sich grundsätzlich, eine
derartige Dokumentation zur eigenen
Transparenz zu führen.
ó
Art. 32 DS-GVO regelt, dass sowohl
der Verantwortliche als auch der Auf-
tragsverarbeiter geeignete technische
und organisatorische Maßnahmen
umzusetzen haben, damit sicherge-
stellt ist, dass die Verarbeitung von
personenbezogenen Daten gemäß
der Datenschutz-Grundverordnung
erfolgt. Die Nachweise hierzu müssen
erbracht werden.
ó
Art. 35 DSGVO verpflichtet den Ver-
antwortlichen bei Verarbeitungen, die
ein hohes Risiko für die Rechte und
Freiheiten natürlicher Personen mit
sich bringen, eine Abschätzung der
Risiken und Folgen der vorgesehe-
nen Verarbeitungsvorgänge für den
Schutz der personenbezogenen Daten
von betroffenen Personen durchzu-
führen.
ó
Art. 28 ff. und ErwGr 81 ff. legen die
Vorgaben zur Auftragsverarbeitung
(ehemals Auftragsdatenverarbeitung)
fest. Auftraggeber und Verarbeiter
haben künftig jeweils eigene Verfah-
rensverzeichnisse zu führen und zu
dokumentieren. Neu ist, dass mit der
DS-GVO jetzt auch dem Dienstleis-
ter (zukünftig: Verarbeiter) eigene
Verantwortlichkeiten obliegen und
ihn Haftungsrisiken und Bußgelder
direkt treffen können. Auch können
sich betroffene Personen in Zukunft
mit ihren Auskunftsansprüchen oder
mit Schadenersatzforderungen un-
mittelbar an den Verarbeiter wenden.
Verantwortlicher und Auftragsverar-
beiter sind gleichermaßen haftbar.
Accountability – Nachweispflichten
(Beweislastumkehr – vorbereitet
sein, bevor etwas passiert)
Die DS-GVO bringt für Unternehmen
umfassende Nachweispflichten mit
sich (sogenannte Accountability). Die
Unternehmen müssen nicht nur si-
cherstellen, dass sie die Vorgaben der
DS-GVO erfüllen, sondern müssen dies
zudem auch gegenüber den Aufsichts-
behörden oder dem Datenschutzbe-
auftragten nachweisen können (Art.
5 Abs. 2 DS-GVO). Somit müssen sie
belegen können, dass sie geeignete Da-
tenschutzrichtlinien und angemessene
Datenschutzvorkehrungen installiert
haben und umsetzen. Erfüllen Unter-
nehmen diese Anforderungen nicht,
drohen Anordnungen der Aufsichtsbe-
hörden, Bußgelder und/oder Schaden-
ersatzansprüche.
So ist quasi eine Beweislastumkehr
entstanden. Unternehmen müssen prä-
ventiv ihre Maßnahmen zum Daten-
schutz belegen können – bevor etwas
passiert ist.
Zu empfehlen – Datenschutz
richtlinie
Die unternehmensweite Datenschutz-
richtlinie sollte mindestens folgende
Punkte umfassen:
Datenschutzorganisation und Ver-
antwortlichkeiten
Was nützen die besten Leit- und
Richtlinien, wenn sie nicht gelebt wer-
den? Je nach Größe des Unternehmens
kann es sich empfehlen, zusätzlich
zum Datenschutzbeauftragten des Un-
ternehmens einen Datenschutzkoor-
dinator (DSKo) zu benennen, der als
Koordinierungsstelle zwischen dem
Datenschutzbeauftragten und den Mit-
arbeitern in den Abteilungen dient.
Dieser sollte im Unternehmen gut ver-
netzt und akzeptiert sein. Er hat dafür
Sorge zu tragen, dass alle datenschutz-
rechtlich relevanten Sachverhalte aus
den Abteilungen oder Informationen
über neue Dienstleister, Kooperationen
und Vorhaben der Verarbeitung recht-
zeitig an den Datenschutzbeauftragten
weitergeleitet werden. Schulungen und
Sensibilisierungen der Mitarbeiter soll-
ten jedoch vom Datenschutzbeauftrag-
ten durchgeführt werden, so wie es die
DS-GVO vorsieht.
Auch bei der Zusammenarbeit mit
externen
Datenschutzbeauftragten
empfiehlt sich ein DSKo als direkte
Schnittstelle zwischen dem Unterneh-
men und dem DSB.
Einbindung des Datenschutz
beauftragten
In einer Datenschutzrichtlinie sind
Fälle zu definieren, in denen die Mit-
arbeiter den Datenschutzbeauftragten
anzusprechen und einzubinden ha-
ben. Setzt das Unternehmen hingegen
auf Datenschutzkoordinatoren, gelten
diese Fälle auch für die Meldung oder
Jürgen Hartz ist als externer Datenschutzbe-
auftragter für verschiedene mittelständische
Unternehmen bestellt. Er war viele Jahre im
Kundendienst in leitenden Funktionen bei
internationalen Unternehmen tätig, zuletzt
über zehn Jahre Alleingesellschafter und
Geschäftsführer eines Kundendienstunter-
nehmens für Consumer-Elektronik mit über
120 Mitarbeitern. Seit 2005 berät er Unter-
nehmen in den Fragen des Datenschutzes.
Betriebliche Belange und Anforderungen mit
den gesetzlichen Vorschriften in Einklang zu
bringen ist die besondere Herausforderung
dieser Aufgabe. Dabei kommt ihm die eigene
unternehmerische Tätigkeit der vergangenen
Jahre zugute. Als Referent und Moderator ist
er bei zahlreichen Datenschutzveranstaltun-
gen aktiv. Er ist stellvertretender Vorstands-
vorsitzender des BvD e. V. (Berufsverband
der Datenschutzbeauftragten) und in ver-
schiedenen Gremien tätig. Jürgen Hartz ist
per E-Mail über
erreichbar.
ZUR PERSON
