Fragen zur Datenschutz-Grundverordnung Was man bei der DSGVO erst später richtig angehen kann

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz |

Viele Unternehmen schaffen es nicht, die Anforderungen der DSGVO fristgerecht umzusetzen. Das liegt an Unklarheiten in der Verordnung, aber oft auch an mangelnder Vorbereitung. Es hilft nichts, die Datenschutz-Grundverordnung muss dennoch zum Stichtag 25. Mai 2018 vollständig umgesetzt sein. Bei einigen Punkten gilt es trotzdem, auf weitere Informationen zu warten.

Anbieter zum Thema

Unternehmen sollten sich nicht darauf ausruhen, dass bei der DSGVO noch Informationen fehlen. Sie sollten die Umsetzung so weit wie möglich vorantreiben und dokumentieren.
Unternehmen sollten sich nicht darauf ausruhen, dass bei der DSGVO noch Informationen fehlen. Sie sollten die Umsetzung so weit wie möglich vorantreiben und dokumentieren.
(© BillionPhotos.com - stock.adobe.com)

Kaum eine Studie zur Umsetzung der DSGVO kommt zu dem Ergebnis, dass schon alles in trockenen Tüchern ist. Besonders relevant sind natürlich Befragungen, die von den Aufsichtsbehörden selbst durchgeführt werden, zeigen diese doch, worauf es den Aufsichtsbehörden als Kontrollorgan ankommt. So meldete das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nach einer Befragung, dass der Umsetzungsstand der neuen gesetzlichen Anforderungen im Datenschutzrecht bei bayerischen Unternehmen längst noch nicht so weit war wie erhofft. Das sieht in anderen Bundesländern nicht anders aus, da kann man sicher sein.

Trotz der Umsetzungsprobleme kann man als Unternehmen nicht darauf vertrauen, dass zum Stichtag 25. Mai 2018 noch große Lücken bei der Umsetzung der DSGVO vorhanden sein dürfen, nach dem Motto: Die anderen sind ja auch noch nicht soweit. Entscheidend ist, dass man als Unternehmen alles tut, um die Umsetzung zu erreichen, mögliche Abweichungen müssen gut begründet sein.

In verschiedenen Bereichen der DSGVO fehlen aber noch Informationen, die Unternehmen bei der Umsetzung helfen können. Dies ist den Aufsichtsbehörden bewusst. Unternehmen sollten genau die Augen aufhalten, ob es detaillierte Anforderungen und Orientierungshilfen der Aufsichtsbehörden gibt. Sobald der Europäische Datenschutzausschuss (EDA), bestehend aus Vertretern der nationalen Aufsichtsbehörden in der EU, aktiv wird, werden von dort zahlreiche, weitere Informationen kommen, die manche Unklarheit, die jetzt besteht, beseitigen könnten.

Konkrete Vorgaben von Aufsichtsbehörden und dem EDA erwartet

Die DSGVO nennt in Artikel 70 insbesondere die Bereiche, zu denen noch Leitlinien, Empfehlungen und bewährte Verfahren von dem Europäischen Datenschutzausschuss erstellt werden sollen. Das bedeutet, dass hier die DSGVO von einem Bedarf an weiteren Informationen ausgeht. Die explizit genannten Bereiche sind:

  • Format und Verfahren für den Austausch von Informationen zwischen den Verantwortlichen, den Auftragsverarbeitern und den Aufsichtsbehörden in Bezug auf verbindliche interne Datenschutzvorschriften.
  • Verfahren für die Löschung von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten aus öffentlich zugänglichen Kommunikationsdiensten (Recht auf Vergessenwerden).
  • Nähere Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gemäß Artikel 22 DSGVO.
  • Feststellung von Verletzungen des Schutzes personenbezogener Daten und die Festlegung der Unverzüglichkeit im Sinne des Artikels 33 DSGVO, und zu den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden hat.
  • Umstände, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne des Artikels 34 DSGVO zur Folge hat.
  • Kriterien und Anforderungen für die Übermittlungen personenbezogener Daten, die auf verbindlichen internen Datenschutzvorschriften von Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort aufgeführten weiteren erforderlichen Anforderungen zum Schutz personenbezogener Daten der betroffenen Personen.
  • Verfahren für die von natürlichen Personen vorgenommene Meldung von Verstößen gegen die DSGVO.
  • Förderung der Ausarbeitung von Verhaltensregeln und der Einrichtung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegeln und –prüfzeichen.
  • Akkreditierung von Zertifizierungsstellen und deren regelmäßige Überprüfung, Führung eines öffentlichen Registers der akkreditierten Einrichtungen und der in Drittländern niedergelassenen akkreditierten Verantwortlichen oder Auftragsverarbeiter.
  • Präzisierung der Anforderungen im Hinblick auf die Akkreditierung von Zertifizierungsstellen.

Das Ziel: Vorbereitungen so weit wie möglich und Dokumentation der Vorbereitungen

Offensichtlich wird es eine ganze Reihe von Leitlinien, Empfehlungen und bewährte Verfahren geben, die Unternehmen praktisch helfen sollen. Auch das Recht auf Datenübertragbarkeit braucht offensichtlich noch eine weitere Detailierung, wie eine Studie der Stiftung Datenschutz ergab. Zudem werden weitere Working Paper der Artikel 29 Datenschutz-Gruppe erwartet, die in der Praxis helfen können.

Aber Achtung: Unternehmen sollten sich jetzt nicht darauf ausruhen, dass ja weitere Informationen fehlen. Vielmehr gilt es, die Umsetzung der DSGVO so weit wie möglich voranzutreiben und den Umsetzungstand mit Begründungen zu dokumentieren. Und: Hilfe von den Aufsichtsbehörden kommt und soll weiter kommen!

(ID:45095969)