Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25. Mai 2018 für alle europäischen Unternehmen und - aufgrund des erweiterten territorialen Geltungsbereichs - in großem Umfang auch für Unternehmen außerhalb Europas. Die DSGVO führt zu deutlich erhöhten Compliance-Anforderungen sowie einer erheblichen Erhöhung der Geldbußen auf bis zu 20 Millionen Euro bzw. vier Prozent des gesamten weltweit erzielten Jahresumsatzes einer Unternehmensgruppe. So können selbst Compliance-Verstöße kleinerer und weniger wichtiger Niederlassungen eines Konzerns schwerwiegende Konsequenzen haben. Da die Vorbereitung auf die DSGVO eine Restrukturierung interner Prozesse erfordert, ist es höchst empfehlenswert, mit dieser zeitnah zu beginnen.

Was müssen Unternehmen jetzt tun?

Bis zum 25. Mai 2018 müssen Unternehmen die Bestimmungen der DSGVO umsetzen und die Einhaltung gegenüber den zuständigen Behörden nachweisen. Das bedeutet, dass überprüfbare Systeme und Verfahren zur Verwaltung der Daten vorhanden sein müssen.

In diesem Zusammenhang müssen Unternehmen folgende Mindestanforderungen, die unter die DSGVO fallen, erfüllen: 

• Verpflichtung zur Entwicklung eines Compliance-Programms für die DSGVO und Festlegung einer, in Abstimmung mit der Geschäftsführung, Datenschutzstrategie.
• Bei Bedarf einen Datenschutzbeauftragten mit Verantwortung für personenbezogene Daten ernennen. Überprüfen Sie diesen Punkt in jedem Fall.
• Verzeichnis von Verarbeitungstätigkeiten erstellen: Wo werden Daten aufbewahrt? Wie werden die Daten verarbeitet? An wen werden die Daten übermittelt?
• Überprüfung der bestehenden Richtlinien, Verfahrensweisen, Bestimmungen und Vereinbarungen.
• Kontrolle der Datenschutzmaßnahmen und Umgang mit den Maßnahmen sowie der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde.
• Festlegung von einem Verfahren zur Sicherstellung der dauerhaften und nachweisbaren Einhaltung eines Compliance-Programms – einschließlich dem Einsatz von Datenschutz-Folgenabschätzungen.