Die Datenschutzgrundverordnung (DS-GVO) wird nach der zweijährigen Übergangphase wirksam und löst
am 25. Mai 2018 das Bundesdatenschutzgesetz (BDSG) ab – sie greift direkt und unmittelbar. Es gibt viele Veränderungen und neue Aufgaben, die auf die Unternehmen zukommen und vor große Herausforderungen stellen. Es gilt diese frühzeitig umzusetzen, um auch weiterhin datenschutzkonform zu sein und (bußgeldfähige) Datenschutzverstöße zu vermeiden. Die DS-GVO verpflichtet Unternehmen ein Datenschutzmanagementsystem einzuführen, das den Schutz der personenbezogenen Daten in Unternehmern sicherstellen soll.
Der erste Schritt: „Vertragsmanagement“.
Das Ziel: Überblick über die vorhandenen Verträge erhalten und beurteilen, ob aus Datenschutzsicht hier Handlungsbedarf besteht.
Im Rahmen des Vertragsmanagements ist es empfehlenswert, dass alle von einem Unternehmen eingesetzten – deutschen und ausländischen – Dienstleister in einer Aufstellung erfasst werden. Unabhängig davon, ob der Dienstleister personenbezogene Daten verarbeitet oder nicht (z. B. IT-Dienstleister, Reinigungsdienst, Steuerberatungs-und Rechtsanwaltskanzlei, Cateringservice, etc.).
Im Anschluss ist zu prüfen, welche Verträge nach den Vorgaben der DS-GVO angepasst bzw. geändert werden müssen:
- Erhebt, nutzt, übermittelt oder verarbeitet der Dienstleister personenbezogene Daten?
- Ist eine „Vereinbarung zur Verarbeitung von personenbezogenen Daten im Auftrag“ nach § 11 BDSG erforderlich? und
- ob eine solche Auftragsdatenverarbeitung (ADV) bereits abgeschlossen ist?
- Ist es ausreichend die ADV durch die Bestimmungen der DS-GVO zu ergänzen bzw. ist eine neue Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO abzuschließen?
Das Gesetz gibt keine Vorgaben wie das Vertragsmanagement gestaltet und durchgeführt werden soll. Hier ein Vorschlag im Excel-Format, welche alle relevanten Punkte enthält:
Für Fragen stehen wir Ihnen gerne zur Verfügung.
Auf Wunsch stellen wir Ihnen gerne unsere xls-Vorlage zur Verfügung.
Schreiben Sie uns: consulting@adorgasolutions.de
Autorin: Regina Mühlich, Expertin für Datenschutz