DSGVO: DATENSCHUTZ IST TEAMARBEIT

DSGVO: Datenschutz ist Teamarbeit
#DSGVO #Datenschutz #TABusinessOptimizer #Digitalisierung #Sicherheit

Wie lässt sich die Datenschutz-Grundverordnung (DSGVO) möglichst einfach und effektiv umsetzen? Wie lassen sich Fehler vermeiden? Wer muss was ab wann tun? Der Datenschutzexperte Matthias Niehoff stellt sich den wichtigsten Fragen zur Datenschutz-Grundverordnung

Alle reden von der DSGVO. Wie wichtig ist die Verordnung wirklich?
Sehr wichtig. Denn die Datenschutzgrundverordnung betrifft alle Unternehmen und Organisationen, die personenbezogene Daten von natürlichen Personen, die sich in der EU aufhalten, ganz oder teilweise automatisiert verarbeiten. Und wer tut das heutzutage nicht?


Was müssen Unternehmen für die DSGVO tun?

Zunächst muss man feststellen, wo personenbezogene Daten anfallen. Geschäftsprozesse müssen gesetzeskonform dokumentiert und es muss festgelegt werden, auf welcher Rechtsgrundlage Daten – etwa für eine Einwilligung oder einen Vertrag – erhoben werden. Dann sollte man die Geschäftsprozesse mit den größten Risiken für natürliche Personen vorrangig gesetzeskonform gestalten. Zusätzlich sind die Betroffenenrechte ausgeweitet, sowie die Meldepflichten bei Datenpannen deutlich verschärft worden: Man muss Datenpannen nun innerhalb von 72 Stunden melden. Ein externer Datenschutzbeauftragter oder ein Berater allein können all das nicht leisten, denn sie kennen das Unternehmen nicht gut genug. Es ist wichtig, dass die Initiative immer von der Geschäftsführung ausgeht und dass geeignete Mitarbeiter in den Fachabteilungen miteinbezogen werden. Datenschutz ist Teamarbeit.

 

Was sind eigentlich personenbezogene Daten laut DSGVO genau?

Das sind Informationen, die sich direkt oder indirekt auf eine natürliche Person beziehen, etwa: Name, Adresse, Telefonnummer, E-Mail, IP-Adresse. Es reicht aus, wenn sich ein Bezug, zu einer Mitarbeiternummer, einem Kfz-Kennzeichen oder eine Personalausweisnummer herstellen lässt.

 

Was ist bei der Datenablage und Dokumentation zu beachten?

Die Ablage von Daten ist zu dokumentieren. Es gilt dabei stets der Grundsatz der Datensparsamkeit. Man muss sich fragen: Besteht überhaupt eine Rechtsgrundlage, verarbeitet man nur so viele Daten wie nötig und so lange, wie es erlaubt ist? Sind die Daten technisch und organisatorisch angemessen geschützt worden, sodass z.B. nur Befugte auf die Daten zugreifen können? Teilweise muss man sogar mehr Daten verarbeiten, um der Nachweispflicht nachzukommen.

 

Was passiert, wenn ein Unternehmen die Vorgaben nicht einhält?

Wer ab dem 25. Mai 2018 nicht nachweisen kann, dass die DSGVO umgesetzt wurde, muss im Ernstfall mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes rechnen. Übrigens: Diese Bußgelder können sich auch auf die Privathaftpflicht der Unternehmensleitung, die Abteilungsleiter und den Datenschutzbeauftragen erstrecken.

 

Gilt die DSGVO auch für alte Datenbestände? Droht hier nicht ein enormer Aufwand?

Die DSGVO interessiert, ob personenbezogene Daten gesetzeskonform verarbeitet werden. Deren Alter spielt keine Rolle. Man muss prüfen: Besitzt man eine Rechtsgrundlage, die Daten zu speichern, etwa wenn ein Newsletter per E-Mail verschickt wird? Verfügt man über eine Einwilligung des Empfängers, die den Anforderungen der DSGVO entspricht? Wir hatten einen Kunden mit Tausenden von Datensätzen. Aber nur bei rund zehn Prozent lag eine gültige und nachweisbare Einwilligung vor. Jetzt sollte der Unternehmer eine Risikoabwägung vornehmen und klären, ob er die Daten ohne Rechtsgrundlage weiterhin verarbeitet, eine neue Einwilligung einholt oder die Kundendaten löscht. Wenn bei der Verarbeitung von Daten ein hohes Risiko für die Rechte und Freiheiten einer Person besteht, sollte die Gefahr minimiert werden. Der Datenschutzbeauftragte steht dem Unternehmer hier beratend zur Seite.

 

Inwiefern gelten die Regelungen für nicht-europäische Firmen, die in der EU aktiv sind?

Vereinfacht ausgedrückt: Firmen müssen – unabhängig von eigenen Unternehmenssitz – die DSGVO beachten, wenn sie eine Dienstleistung in der EU für natürliche Personen anbieten oder wenn sie Personen, deren Verhalten oder Ähnliches beobachten.

 

Sie haben bereits viele Unternehmen beraten: Was ist Ihr Eindruck, sind Unternehmen in Deutschland fit für die DSGVO?

Manche Unternehmen sicherlich nicht, andere haben sich hingegen bereits in der Vergangenheit mit dem Thema Datenschutz erfolgreich auseinandergesetzt und sich somit auf die DSGVO vorbereitet. Die haben es jetzt deutlich leichter. Die DSGVO ist ja schon seit zwei Jahren bekannt. Wer jetzt noch nicht angefangen hat, sollte sich sputen.