Neue DSGVO: Kein Datenschutz nach Pi mal Daumen

Die richtigen Prozesse in Gang setzen

Wie sieht ein DSGVO-konformes Datenschutzmanagement aus?

Die EU-Datenschutz-Grundverordnung oder auch DSGVO mehr ist am 14. April 2016 durch das EU-Parlament beschlossen worden. Sie gilt ohne Wenn und Aber und grundsätzlich ab dem 25. Mai 2018 für jedes Unternehmen aus jeder erdenklichen Branche, das selbst oder im Auftrag von anderen personenbezogene Daten verarbeitet. Bereits im letzten GBS Blogartikel gab ich einen kurzen Überblick über die Ziele der neuen Verordnung, deren veränderten Spielregeln und umfangreichen Informationspflichten für den Umgang mit den Daten anderer. Nun gilt es noch andere wichtige Aspekte der DSGVO zu beleuchten.

DSGVO und der Datenschutz durch Technik

Unternehmen müssen sicherstellen, dass die von ihnen zur Verarbeitung personenbezogener Daten eingesetzten Systeme und Prozesse, von Beginn an datenschutzfreundlich ausgestaltet sind („privacy by design“). Vorgeschrieben ist nunmehr, bei der Auswahl von Sicherheitsmaßnahmen den „Stand der Technik“ ebenso zu berücksichtigen wie die mit der Datenverarbeitung verbundenen Risiken für die betroffenen Personen. Unternehmen, die in großem Umfang zum Beispiel Gesundheitsdaten verarbeiten, müssen mittels einer Datenschutz-Folgenabschätzung im Vorfeld der Datenverarbeitung die Risiken abwägen und die Sicherheitsmaßnahmen dokumentieren.

Information und Transparenz

Abgesehen von den deutlich ausgeweiteten Verpflichtungen im Bereich der technischen und organisatorischen Sicherheitsmaßnahmen bestehen nunmehr recht umfangreiche Informationspflichten gegenüber denjenigen, deren Daten das Unternehmen verarbeitet. Bisher müssen Unternehmen denjenigen, deren Daten sie verarbeiten, nur auf Anfrage Auskunft geben, um welche Daten es sich handelt und an wen Sie übermittelt werden. Zukünftig müssen beispielsweise schon bei der ersten Erhebung von Daten („wie heißen Sie? Wo wohnen Sie? Was ist Ihre Telefonnummer? …“) den betroffenen Personen zahlreiche Informationen über den weiteren Umgang des Unternehmens mit diesen Daten zur Verfügung gestellt werden, so. u.a. die Zwecke der Datenverarbeitung, die Löschungsfristen, die getroffenen Datensicherheitsmaßnahmen und die mögliche Übermittlung der Daten an Dritte oder ins Ausland. Auch müssen die Unternehmen – anders als nach dem noch gültigen BDSG – die von ihrer Datenverarbeitung betroffenen Personen im Fall von Datenpannen nicht nur benachrichtigen, wenn besonders sensible Daten betroffen sind, sondern immer sofern ein hohes Risiko für die Beeinträchtigung der Rechte der betroffenen Person besteht.

DSGVO

Haftung

Für Unternehmen, die als Auftragsdatenverarbeiter für andere Unternehmen tätig sind, verschärft die DSGVO die Haftung. Neben generell strengen Anforderungen an den Einsatz von Auftragsdatenverarbeitern, haftet mit der Datenschutz-Grundverordnung nicht nur das auftraggebende Unternehmen sondern auch grundsätzlich auch der Auftragnehmer gegenüber den Betroffenen auf Schadensersatz, sollte es zu Datenverlusten und zur Verletzung von Rechten kommen. Ein Unternehmen entgeht der Haftung nur, wenn es nachweisen kann für die Ursache des Schadens in keinerlei Hinsicht verantwortlich zu sein. Für beide, Auftraggeber wie Auftragnehmer, ergibt sich daraus die Notwendigkeit sich viel detaillierter als bisher mit der Regelung der gegenseitigen Pflichten zu beschäftigen und vor allem deren Einhaltung zu kontrollieren.

Womit ist bei Datenschutzverstößen zu rechnen?

Die derzeit noch gültigen Bußgelder für Verstöße gegen Datenschutzgesetze sind gerade für große Unternehmen Kleingeld. Auch das ändert sich mit der DSGVO. Die Aufsichtsbehörden müssen sicherstellen, dass die Verhängung von Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“. Je nach Art des Verstoßes gegen Datenschutzvorschriften und Sicherheitsmaßnahmen können nach der DSGVO Geldbußen bis zu 20 Millionen Euro oder 4% des „gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres“ eines Unternehmens verhängt werden, „je nachdem, welcher Betrag höher ist“.

Was Unternehmen jetzt schon tun können

Im Herbst 2016 scheint die Umsetzungsfrist des 25. Mai 2018 noch in weiter Ferne. Unternehmen tun allerdings gut daran, jetzt mit den Arbeiten für die Umsetzung der DSGVO zu beginnen, denn die Tücke steckt wie immer im Detail. Der erste Schritt muss dabei eine Aufnahme der aktuellen Situation des Unternehmens in puncto Datenschutz und Informationssicherheit sein. Dabei steht die Frage im Mittelpunkt, welche personenbezogenen Daten sich wo befinden und wie sie technisch-organisatorisch gesichert sind. Letztlich ist die IST-Analyse also eine Prozessanalyse aller Prozesse im Unternehmen, die personenbezogene Daten beinhalten. Sobald dieser IST-Stand erfasst ist, wird deutlich wo Nachbesserungen erforderlich sind und es lässt sich von dort aus der SOLL-Zustand entwerfen und aufbauen. In Bezug auf die Umsetzung der DSGVO geht es dabei nicht nur um die Anpassung der alten Prozesse an das neue Recht, sondern auch um die Schaffung gänzlich neuer Abläufe. Dies gilt insbesondere für die neuen Transparenz- und Informationspflichten der DSGVO gegenüber den Personen, die von der Datenverarbeitung des Unternehmens betroffen sind, aber auch für die gestiegenen Anforderungen an die Dokumentation von IT-Prozessen.

DSGVO

Prozesse weisen den Weg

Das Stichwort „unternehmensinterne Prozesse“ weist dabei den Weg: der Aufbau eines Datenschutzmanagementsystems, das den Anforderungen der neuen DSGVO standhält, ist am einfachsten, wenn er sich an den unternehmensinternen Prozessen entlang arbeitet und diese verändert und anpasst.

Die Mühe wird belohnt

Die Vorbereitung auf die Veränderungen im Datenschutzrecht hat viele Vorteile. Unternehmen, die umgehend starten, verbessern schon jetzt ihre Compliance in puncto Datenschutz und Informationssicherheit, müssen nicht später der neuen Rechtslage hinterherhinken und weder Bußgelder noch Diskussionen mit den Datenschutzaufsichtsbehörden riskieren. Darüber hinaus kann eine gute Vorbereitung auf die DSGVO als Nebeneffekt auch die Grundlage für eine ISO-Zertifizierung oder die Erlangung einer anderen technischen oder datenschutzrechtlichen Zertifizierung sein – diese wiederum können als einfacher Nachweis für die Einhaltung der Vorgaben der DSGVO im Hinblick auf die technischen Sicherheitsmaßnahmen dienen.

Neue DSGVO – Fazit

Sie meinen, nun müssen Sie sich auch noch mit neuen Gesetzen beschäftigen, weil Brüsseler Bürokraten so gerne Unternehmen mit Vorschriften belästigen? Versuchen Sie einmal einen anderen Blick: Datenschutzmaßnahmen und gute Standards in der IT-Sicherheit sind eine Investition in das Vertrauen Ihrer Kunden und in die wirtschaftliche Zukunft Ihres Unternehmens. Firmen konnten in der Vergangenheit Datenschutzmaßnahmen und deren Dokumentation ungestraft im „einmal-über-den-Daumen-gepeilt-Verfahren“ bearbeiten. Diese Zeiten gehen definitiv zu Ende. Es gilt daher, unternehmensinterne Prozesse sorgfältig zu analysieren und zu ordnen und Stück für Stück tragfähigen Datenschutz im Unternehmen zu etablieren.

Neue EU-Datenschutz-Grundverordnung: Unternehmen im Zugzwang

LesetippDie jahrelangen, kontroversen Verhandlungen zur EU-Datenschutz-Grundverordnung sind abgeschlossen. Ab Mai 2018 werden die datenschutzrechtlichen Vorgaben ausschließlich durch die DSGVO geregelt. Zu welchen Ergebnissen ist das Europäische Parlament gekommen? Welche Ziele werden verfolgt? Welche veränderten Spielregeln und umfangreichen Informationspflichten für den Umgang mit den Daten anderer müssen beachtet werden? Dies erfahren Sie im ersten Beitrag unserer zweiteiligen Artikelreihe von Gastautorin Dr. Bettina Kähler, Unternehmensberaterin und Anwältin mit Schwerpunkt auf Datenschutz und Datensicherheit.

geschrieben von: Dr. Bettina Kähler

Dr. Bettina Kähler

Dr. Bettina Kähler ist Unternehmensberaterin und Anwältin mit Schwerpunkt Datenschutz und Datensicherheit seit 2002. Darüber hinaus ist sie Geschäftsführerin der PrivCom Datenschutz GmbH in Hamburg, Vortragsrednerin und Blogautorin zu Datenschutzthemen.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.