Die DSGVO und das neue BDSG sind seit dem 25. Mai 2018 in Kraft getreten. Nun folgt das Jahr 2019, in der die DSGVO praktisch angewendet werden muss. Vieles war neu in 2018 und nun zeigen sich die ersten praktischen Implikationen. Die ersten Landesdatenschutzbeauftragten schicken Fragebögen zur Umsetzung der DSGVO heraus und die ersten Betroffenenanfragen müssen bearbeitet werden. In 2019 werden sich die neuen Regeln der DSGVO noch weiter etabliert haben und neue Aufgaben kommen auf Unternehmer und Datenschutzbeauftragte zu. Dieser Artikel soll einen Ausblick auf den Datenschutz in 2018 und 2019 geben.
Inhalte
- Die Dokumentationspflichten nach DSGVO in 2018 und 2019
- Das Verzeichnis von Verarbeitungstätigkeiten in 2019
- Technische und organisatorischen Maßnahmen in 2019
- Risikoanalyse und Datenschutz-Folgenabschätzung in 2019
- Weitere Dokumentationen, die in 2019 geprüft werden müssen
- Die Bestellung des Datenschutzbeauftragten
- Auftragsdatenverarbeitung
- Ihren Webauftritt auch in 2019 DSGVO konform gestalten
- Überprüfen Sie Ihre Datenschutzhinweise
- Testen Sie Ihre Prozesse bzgl. Auskunftsersuchen und Datenlecks
- Löschkonzept und korrekte Löschung in 2019
- Datenschutzschulungen und allgemeines Datenschutzmanagement
- Fazit: auch in 2019 wird der Datenschutz im Unternehmen ein Thema bleiben
Die Dokumentationspflichten nach DSGVO in 2018 und 2019
Auch nach dem Inkrafttreten der DSGVO sind die Dokumentationspflichten aktuell. Dokumente müssen angepasst oder aktualisiert werden und Sicherheitsmaßnahmen umgesetzt werden.
Das Verzeichnis von Verarbeitungstätigkeiten in 2019
Das Verzeichnis von Verarbeitungstätigkeiten muss auch in 2019 aktuell gehalten werden und stetig um neue Verarbeitungen ergänzt werden. Kamen neue Verarbeitungen hinzu? Haben sich Ansprechpartner geändert? Das Verzeichnis sollte außerdem zur Nachprüfbarkeit erneut ausgedruckt und unterschrieben werden. Sollte sich viel geändert haben, bietet es sich an, das Verzeichnis komplett neu zu erstellen, um sicher zu stellen, alles erfasst zu haben.
Es könnte auch möglich sein, dass Datenschutzbehörden Vereinfachungen beschließen, die dann zulassen, dass das Verzeichnis nicht mehr verpflichtend für besonders kleine Unternehmen ist. Dies kann aber nicht mit Sicherheit gesagt werden.
Technische und organisatorischen Maßnahmen in 2019
Die technischen und organisatorischen Maßnahmen müssen auch aktuell gehalten werden und weiterhin umgesetzt werden. Wenn z.B. in 2018 ein neuer Cloud Anbieter aufgrund von Datenschutzbedenken gewählt worden ist, muss dieser in 2019 einer erneuten Prüfung unterzogen werden. Sollten sich Maßnahmen geändert haben, sollte dies angepasst werden. Überlegen Sie auch, ob die Maßnahmen noch angemessen im Vergleich zu Ihren Verarbeitungen ist.
Risikoanalyse und Datenschutz-Folgenabschätzung in 2019
Sollten Sie eine Risikoanalyse in 2018 durchgeführt haben, müssen Sie diese nach einem Jahr auch einer erneuten Prüfung unterziehen. Ggf. ist nun auch eine Datenschutz-Folgenabschätzung in 2019 nötig, da sich eine Verarbeitung geändert hat. Sollten Sie bereits eine DSFA gemacht haben, so müssen Sie diese unbedingt auch in 2019 erneut prüfen, da an Verarbeitungstätigkeiten, die einer DSFA bedürfen einer besonderen Kontrolle unterliegen.
Prüfen Sie auch, ob die Landesdatenschutzbehörden Black- oder Whitelists für Verarbeitungstätigkeiten herausgegeben haben. Sollte ein von Ihnen benutztes Verfahren auf einer Blacklist stehen, so ist eine DSFA (Englisch: DPIA) zwingend notwendig.
Weitere Dokumentationen, die in 2019 geprüft werden müssen
Sollten Sie noch mehr Dokumentationen in Ihr Datenschutzmanagement aufgenommen haben, so müssen auch diese jedes Jahr überprüfen. Diese können z.B. sein:
- Hardware und Software, die DSGVO Konform eingesetzt werden muss
- Standorte und Mitarbeitergruppen
- Datenschutzverletzungen oder Betroffenenanfragen, welche erfasst wurden
Datenschutzkonzept
Die Bestellung des Datenschutzbeauftragten
Falls Sie einen Datenschutzbeauftragten (DSB) in 2018 erstmalig bestellt haben, sollten Sie sich nun in 2019 einen Rechenschaftsbericht vorlegen lassen, in dem der DSB die Umsetzung seiner Maßnahmen dokumentiert und klar stellt, wie es um den Datenschutz in Ihrem Unternehmen bestellt ist. Verantwortlicher ist und bleibt der Unternehmer, um Ihren Pflichten nach zu kommen, müssen Sie auch Ihren DSB kontrollieren.
Sollten Sie keinen DSB bestellt haben, prüfen Sie, ob Sie auch weiterhin keinen bestellen müssen. Dokumentieren Sie auch Ihre Entscheidung.
Auftragsdatenverarbeitung
Achten Sie auch in 2019 darauf, dass Sie vor Aufnahme einer Geschäftsbeziehung, bei der personenbezogenen Daten im Auftrag verarbeitet werden, dass sie einen AV-Vertrag schließen.
Überprüfen Sie auch, ob Sie die entsprechenden Verträge aus 2018 alle bekommen haben und Sie alle Verträge rechtswirksam geschlossen haben.
Unter Umständen wird sogar ein Audit bei Ihrem Auftragsverarbeiter fällig, da Sie Grund zu der Annahme haben, dass nicht alles genau so ausgeführt wird, wie im AV-Vertrag beschrieben. denken Sie immer daran, dass auch Sie für Verstöße Ihres Auftragsverarbeiters haften können.
Ihren Webauftritt auch in 2019 DSGVO konform gestalten
Zum Stichtag am 25. Mai 2018 haben viele Unternehmer und Webseitenbetreiber zuerst an Ihre Außenwirkung gedacht und Ihre Datenschutzerklärungen und Disclaimer angepasst. Eine Abmahnung durch einen Konkurrenten stellt tatsächlich auch zur Zeit das größte Risiko bzgl. der DSGVO dar. Auch diese Texte müssen regelmäßig den neuen Standards angepasst werden. Es ist deswegen ratsam in 2019 die Datenschutzerklärungen und Cookie-Hinweise Ihrer Website zu prüfen und ggf. zu aktualisieren, da mit neuen Urteilen in Zukunft zu rechnen ist.
Auch der Versand von Newslettern muss weiterhin DSGVO-Konform sein, insbesondere die Einwilligungen zum Newsletter, Abmelden-Links oder Auskunftsprozesse müssen weiterhin funktionieren. Dasselbe gilt für Kontaktformulare, prüfen Sie, ob diese auch weiterhin SSL verschlüsselt sind und die Disclaimer noch aktuell sind.
Überprüfen Sie Ihre Datenschutzhinweise
Hier geht es vor allem um Datenschutzhinweise, die möglicherweise in Ihren Filialen oder Ihrer Praxis ausliegen. Passen Sie auch diese ggf. an und prüfen Sie, ob diese noch gut sichtbar angebracht sind. Für digitale Datenschutzhinweise eignet sich die Link-Lösung, welche einfach zu den allgemeinen Datenschutzhinweisen verlinkt, z.B. mittels URL oder QR-Code.
Prüfen Sie auch, ob Sie weiterhin mit einfachen Datenschutzhinweisen arbeiten können oder sich explizite Einwilligungen zur Datenverarbeitung einholen sollten.
Testen Sie Ihre Prozesse bzgl. Auskunftsersuchen und Datenlecks
Überprüfen Sie auch in 2019, ob Anfragen zum Datenschutz, wie z.B. Auskunftsersuchen korrekt bei Ihnen ankommen und diese richtig verarbeitet werden. Nach wie vor, sollten diese Anfragen höchste Priorität genießen, da eine Nichtbeantwortung Konsequenzen für Ihr Unternehmen haben kann.
Datenlecks bzw. Datenverluste sollten auch evaluiert werden. Sind welche aufgetreten? Wenn ja, was wurde unternommen? Sind die Sicherheitslücken geschlossen worden und wiederholen sich die Lecks nicht wieder? Prüfen Sie hier auch, ob Ihre Prozesse zur Meldung von Lecks eingehalten wurden.
Löschkonzept und korrekte Löschung in 2019
In 2018 haben Sie ein Löschkonzept aufgestellt, welches sicherstellt, dass die Daten, wenn Sie nicht mehr benötigt werden, gelöscht werden. Nun müssen Sie kontrollieren, dass dieses auch eingehalten wurde. So muss auch das Löschen an sich endgültig sein, also auch auf Backups oder anderen Servern muss alles gelöscht sein. Außerdem sollten automatische Löschroutinen eingerichtet sein, welche das Löschen automatisieren.
Überprüfen Sie auch, wie gelöscht wird, also, ob z.B. Papierakten geschreddert werden und digitale Archive überschrieben werden. Das Recht auf Vergessenwerden ist ein zentrales Konzept der DSGVO und sollte auch in 2019 noch eingehalten werden.
Datenschutzschulungen und allgemeines Datenschutzmanagement
Auch Schulungen für Mitarbeiter oder Auftragnehmer müssen regelmäßig erneuert werden. nur so kann sichergestellt werden, dass Ihre Mitarbeiter auf dem neuesten Stand sind und Sie Ihrer Sorgfaltspflicht nachgekommen sind. Sie können dies z.B. durch Online Schulungen gestalten oder durch Verpflichtungen.
Darüber hinaus, sollten Sie überprüfen, ob neue Mitarbeiter Schulungen erhalten und Verpflichtungserklärungen unterschreiben. Nur so kann sichergestellt werden, dass Ihr Datenschutzkonzept auch weiterhin lückenlos aktuell bleibt.
Allgemein sollten sie auch in 2019 ihr Datenschutzmanagement prüfen und sicherstellen, dass Ihre festgelegten Richtlinien eingehalten werden.
Fazit: auch in 2019 wird der Datenschutz im Unternehmen ein Thema bleiben
Es gibt viele Themen im Datenschutz, welche auch in 2019 relevant sind. Dokumentationen müssen aktuell gehalten werden, Mitarbeiter laufend geschult werden und der Unternehmer muss regelmäßig darauf achten, dass er seinen Sorgfaltspflichten nach kommt.