Einführung der DSGVO für Nachzügler und Spätzünder

Im folgenden Beitrag wird die Einführung der EU-DSGVO für Spätzünder erläutert.
Von 2016 bis zum 24. Mai 2018 hatten Unternehmen und öffentliche Stellen Zeit, die Vorgaben der neuen, europaweit geltenden EU-Datenschutz­-Grundverordnung (EU-DSGVO) umzusetzen. Doch längst nicht Alle haben es geschafft, ein Konzept zu etablieren, um personenbezogene Daten zu schützen. Für etwa ein halbes Jahr nach der endgültigen Verabschiedung EU-DSGVO hatten die Behörden Gnade walten lassen und keine Strafen bei einem ermittelten Verstoß verhängt. Ab 2019 wurden die ersten Bußgelder verordnet. In Frankreich beispielsweise erhielt Google eine millionenschwere Strafe wegen fehlender Datentransparenz und Datennutzung personenbezogener Daten. Ebenfalls wurde ein portugiesisches Krankenhaus verurteilt, personenbezogenen Daten der Patienten nicht angemessen geschützt zu haben.

Organisationen, die die EU-DSGVO bisher nicht umgesetzt haben, müssen sich um eine konsequente Implementierung bemühen. Letztendlich existiert kein Ausweg aus der Datenschutz-Verordnung. Die Gefahr, dass Konkurrenten Hinweise an Aufsichtsbehörden übermitteln, steigt. Nur wenn gegenüber Behörden lückenlos nachgewiesen werden kann, wie und warum personenbezogene Daten verarbeitet wurden, können Strafen abgewendet werden. Der wohl wichtigste Schritt liegt in der Aktualisierung der Datenschutzrichtlinie und der Belehrung der Nutzer über die Verwendung ihrer personenbezogenen Daten.

Besonders kleine Unternehmen und Vereine haben die Anforderung an die richtige Umsetzung der EU-DSGVO in ihrem Unternehmen unterschätzt. Etwa 40% von ihnen haben bis heute kein tragfähiges System entwickeln können, obwohl ein Verstoß für sie nicht selten eine existentielle Bedrohung darstellen kann. Kleine Unternehmen müssen sich mit der Einführung der EU-DSGVO auseinander setzen.

Ein effizienter Datenschutz lohnt sich

Die Umsetzung der EU-DSGVO stellt jedes Unternehmen zunächst vor große Herausforderungen. Viele sind stark verunsichert und werden dazu verleitet, das Thema immer weiter zu verschieben. Andere wiederum unterschätzen den Aufwand, der mit der Umsetzung verbunden ist.

Dennoch sollten sie sich nicht nur den ungeliebten Pflichten bewusst sein, die aus der EU-DSGVO erwachsen, sondern auch die Chancen verstehen und nutzen. Die Datenschutzverordnung sorgt beispielsweise dafür, dass der Datenschutz im gesamteuropäischen Bereich vereinheitlicht wird – es wird ein europaweiter, digitaler Rechtsraum geschaffen. Für Organisationen, die grenzüberschreitend arbeiten, greift der sogenannte „One-Stop-Mechanismus“, wobei die Datenverar­beitung ausschließlich über den Hauptsitz des Unternehmens abgewickelt wird. Dadurch werden bürokratische Abläufe vereinfacht. Durch die Installation von technischen und organisatorischen Maßnahmen der Datenverarbeitung können Schwachstellen ermittelt und korrigiert werden. Um die Daten angemessen abzusichern, werden Investitionen in die IT-Sicherheit erhöht.

Unternehmen, die diese strengen Schutzregeln bei der Verarbeitung personenbezogener Daten anwenden, steigern ihr Image bei Kunden und können sich positiv vom Wettbewerb abheben. Sie werden als offen, transparent und als sicherer Geschäftspartner anerkannt.

Maßnahmen für Nachzügler

Auch für Unternehmen, die die Umsetzung der EU-DSGVO noch nicht abgeschlossen haben, war der 25. Mai 2018 Stichtag. Für sie gelten die gleichen Maßgaben und Regeln. Auch auf sie warten Strafen, wenn der Verstoß gegen den Schutz von personenbezogenen Daten nachgewiesen werden kann. Schon stellt sich die erste Frage –welche Arten von personenbezogenen Daten gibt es? Nach Artikel 4 EU-DSGVO gehören hierzu alle Daten, die einer Person eindeutig zugeordnet werden können und sie dadurch bestimmbar machen. Beispiele sind der vollständigen Namen, Anschrift, Telefonnum­mern, E-Mail-Adresse, Bankdaten oder die Personalausweisnummer.

Ein paar grundlegende Faktoren und Maßnahmen können helfen, sich als Neuling an das sensible Thema des Schutzes personenbezogener Daten heranzutasten und sich ein ganzheitliches Bild zu verschaffen und eine kurze Einführung der EU-DSGVO für Nachzügler:

  1. Ermittlung der Daten, Personen und Anwendungen

Vor dem Hintergrund eines Datenflusses in einem Geschäftsprozess sollten drei wesentliche Fragen gestellt werden. Dabei geht es darum, zu welchem Zeitpunkt im Geschäftsprozess welche personenbezogenen Daten genutzt werden. Anschließend geht es darum, über welche Wege diese Daten erhoben wurden, ob die Einwilligung der Person eingefordert wird und wo diese Daten gespeichert werden. Es muss stets bekannt sein, wer im Unternehmen Zugriff auf diese personenbezogenen Daten hat. In diesem Zusammenhang sollten sich Unternehmen fragen, wie das Datenaufkommen im Sinne der Datensparsamkeit reduziert werde kann. Werden Daten ausschließlich sachbezogen verarbeitet, sinkt das Risiko.

  1. Mehr Sicherheit durch Verschlüsselungstechnologie

Gelangen bei einem Hackerangriff personenbezogene Daten von Kunden oder Mitarbeiter in die Hände Dritter, verpflichtet die DSGVO Unternehmen und öffentliche Stellen, Betroffenen je nach Schwere, vom Datenverlust in Kenntnis zu setzen. Eine hochwertige Sicherheitssoftware verschlüsselt Daten und macht diese so für Hacker trotz erfolgreichem Datendiebstahl unbrauchbar.

  1. Bewusstsein für Datenschutz stärken

Viele Mitarbeiter sind desensibilisiert und vernachlässigen das Thema IT-Sicherheit am eigenen Arbeitsplatz. Um das Risiko eines Sicherheitsvorfalls zu reduzieren, sollte Informationssicherheit aktiv gelebt werden. Auch Unternehmen sollten sich selbst kontinuierlich hinterfragen, ob die Verfahren zur Erhebung, Verarbeitung- und Bewertung der personenbezogenen Daten einen passenden Sicherheitsstandard berücksichtigen.

  1. Änderungen in den Unternehmensrichtlinien durchführen

Um den Nachweispflichten nachzukommen, die das EU-DSGVO fordert, werden Unternehmen in Artikel 30 verpflichtet, ein „Verzeichnis von Verarbeitungstätigkeiten“ zu führen. In tabellarischer Form sind alle personenbezogenen Daten zu erfassen, um die Datennutzung zu jeder Zeit nachweisen zu können. Gleichzeitig müssen die Richtlinien der Cookies und die Einholung der Zustimmung des Kunden nach den Regelungen der EU-DSGVO angepasst werden können.

Für Unternehmen, die Applikationen wie Google Analytics, WhatsApp oder Social-Media-Plattformen nutzen, ist es unerlässlich, den gesamten Webauftritt auf EU-DSGVO prüfen zu lassen. Alle Ergebnisse sollten zur Dokumentation schriftlich erfasst werden. Ein wichtiger, doch guter Tipp liegt darin, dass die Sammelwut der Daten zurückgefahren werden sollte. Stattdessen ist es hilfreich, die Komplexität der personenbezogenen Daten zu reduzieren.

Unternehmen, die ihre Daten in einer Cloud ablegen, müssen die Datenschutzregeln der EU-DSGVO auch auf personenbezogene Daten in der Cloud anwenden. Zwischen dem Cloud-Anbieter und dem Unternehmen ist ein sogenannter Compliance-Vertrag abgeschlossen werden, der den Cloud-Anbieter dazu verpflichtet die Datenschutzregeln einzuhalten. Besonderheit stellt hierbei immer wieder das Löschen von personenbezogenen Daten dar. Der Cloud-Anbieter wird in diesem Fall zum Auftragsdatenverbeiter.

Unternehmen unter 250 Mitarbeiter mit Sonderposition

Bis heute sind sich kleine und mittelständische Unternehmen (KMU) nicht darüber im Klaren, wie sie mit der Umsetzung der EU-DSGVO umgehen sollen. Viele trauen sich nicht an die Umsetzung aus Angst vor weiteren Fehlern. Dadurch sind KMU mit der Umsetzung in Verzug geraten. Sie selbst haben kein oder nur kaum Fachwissen. Oftmals bleibt nur die Bestellung eines externen Datenschutzbeauftragten übrig. Natürlich ist jeder Organisation oder Unternehmen die Umsetzung des Datenschutzes selbst überlassen. Jedoch sollte die Zuständige Person, die für die Umsetzung des DAtenschutzes zuständig ist über die die Gefahren bei der Anwendung der DSGVO im klaren sein.

Die EU-Kommission war sich bereits bei der Entwicklung der Verordnung darüber bewusst, dass KMU mit einer Mitarbeiterzahl unter 250 besondere Regeln benötigen. Um diesen Unternehmen ihre Daseinsberechtigung nicht zu entziehen, werden KMU in der EU-DSGVO abweichende Regeln gewährt, beispielsweise mit Bezug auf das zu führende Einrichtungsverzeichnis. Je nach Art der verarbeiteten personenbezogenen Daten kann die Verpflichtung zum Führen des Verzeichnisses der Verarbeitungstätigkeiten entfallen. Auch mittelständische Unternehmen sind von der Einführung der EU-DSGVO nicht ausgeschlossen.

Unternehmen, die von Minderjährigen Personen Daten erheben, unterliegen strengen Anforderungen.
Hier finden Sie mehr Informationen: DSGVO-Vorgaben für minderjährige Personen