Seit ihrer Verabschiedung im Frühjahr 2016 schafft die Daten­schutz-Grundverordnung (DSGVO) einen in allen EU-Mitglieds­staaten einheitlichen Rechtsrahmen für die Verarbeitung personenbezogener Daten. Um die Einhaltung des neuen Datenschutzrechts ab dem Stichtag zu gewährleisten, müssen sich Verantwortliche im Unternehmen mit der neuen Verord­nung, aber auch mit der Neufassung des Bundesdaten­schutzgesetzes auseinandersetzen. Die gute Nachricht: „Wer bisher das Datenschutzrecht ernst genommen und eingehalten hat, profitiert jetzt“, sagt iX-Redakteurin Ute Roos: „Insbe­son­dere wenn er die Datenschutzmaßnahmen gut dokumentiert hat, denn die Datenschutz-Compliance verlangt eine vollstän­dige Dokumentation und Risikoanalysen im Rahmen der vorge­schriebenen technischen und organisatorischen Maßnahmen.“

Die Verantwortlichen – dies können eigene Mitarbeiter oder externe Dienstleister sein – müssen das Ergebnis in Form eines Verarbeitungsverzeichnisses niederlegen und pflegen. Hierbei hilft beispielsweise ein vom Bitkom herausgegebener Leitfaden mit Beispielen für den Aufbau und die Ausgestaltung.

Der erste Schritt besteht in einer vollständigen Aufstellung aller Verarbeitungsvorgänge, die personenbezogene Daten betref­fen. Keine Rolle spielt dabei zunächst, ob es sich um die Verarbeitung der Daten von Mitarbeitern, Lieferanten oder Kunden handelt. Das CRM-System ist ebenso zu berück­sichtigen wie die Nutzung von Google Analytics auf Firmen­webseiten, die Reisekostenabrechnungen von Mitarbeitern in der Finanzbuchhaltung und auch die Bezahldaten beim Online- oder Offlinevertrieb. Es folgt eine Konsolidierungsphase, danach beginnt die Umsetzungsphase.

Unternehmen, die bislang noch keinen Datenschutzbeauf­tragten haben, sollten überprüfen, ob das nach neuem Recht so bleiben darf. Weit oben auf der To-Do-Liste sollte zudem die Anpassung der „Privacy Policy“ stehen, um eventuellen Abmahnungen aus dem Weg zu gehen.