Mein Unternehmen und die EU-DSGVO

Viele Unternehmen haben sich, trotz Gesetzlicher Verpflichtung, noch nicht wirklich mit dem Datenschutz beschäftigt. Doch auch viele andere nahmen Ihre Verpflichtung ernst und führten den Datenschutz gemäß Bundedatenschutzgesetz im Unternehmen ein. Meist noch mit dem positiven Nebeneffekt, die Unternehmenssicherheit zu Verbessern und das Überleben des Unternehmens im „Krisenfall“ sicherzustellen.

Die im Mai 2018 in Kraft tretende Datenschutzgrundverordnung Stellt die Unternehmen jedoch vor ganz neue Herausforderungen. Einerseits weil die Anforderungen an Datensicherheit und Datenschutz für Unternehmen noch einmal stark erhöht werden, andererseits, weil viele Unternehmen noch gar nicht wissen, was überhaupt auf sie zukommt.

Die meisten Firmen, die sich bislang nicht, oder nicht gut für die Datenschutzgrundverordnung aufgestellt sehen, haben meist keinen Plan, wie das zu ändern ist. Viele Unternehmen glaubten den Anforderungen gerecht zu werden, andere wollten das Thema „aussitzen“ da eine im Raum stehende mögliche Strafe, im Verhältnis zu den Kosten für die Bestellung eines Datenschutzbeauftragten und die Umsetzung des Bundesdatenschutzgesetzes. in Ihren Augen zu gering waren und doch eher die „Portokasse“ betraf. Doch es wird ein böses Erwachen geben, wenn sie einen Verstoß begehen, überprüft werden und die Folgen tragen müssen. Denn in der EU-Datenschutzgrundverordnung sind Strafen von bis zu 4 Prozent des Jahresumsatzes, oder bis 20.000.000 € vorgesehen.

Siehe hierzu auch folgenden Bericht:

http://www.crn.de/security/artikel-111808.html?cid=CRNnewsletter-themen-html

Was muss ich als Unternehmen jetzt wissen?

Die EU-Datenschutzgrundverordnung (DSGVO) http://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1462345886854&uri=OJ:JOL_2016_119_R_0001 ist in Kraft getreten. Die Umsetzungsfrist endet am 25.Mai 2018 und bis dahin sollte das Unternehmen nach den Neuen Regelungen aufgestellt sein. Gerade auch für Neueinsteiger eine Mamut Aufgabe. Die Aussicht auf das Strafmaß, welches zum Teil schon bei „kleineren“ Verstößen angewendet werden soll, lässt alles in einem ganz neuen Licht erscheinen.

Was kommt auf uns zu?

In Stichpunkten hier ein kleiner Auszug der Veränderungen und deren Auswirkungen:

Bei der Einwilligung von Betroffenen gelten neue Maßstäbe (siehe Erwägungsgrund 17 DSGVO). Die Anforderungen bei den Anforderungen werden nicht nur verschärft, Sie müssen auch umgesetzt werden. „Alt- Einwilligungen“ die nach Ende der Übergangszeit nicht aktualisiert wurden sind unwirksam. Auf dieser Basis erhobene Daten sind regelmäßig zu löschen. Das Versäumnis hier zu handeln könnte somit einem Unternehmen die Unternehmungsgrundlage entziehen, wenn es sich beispielsweise gezwungen sieht Kundendaten zu Löschen.

Die Rechenschaftspflicht zur Dokumentation (siehe Art. 24 abs. 1 GSDVO)

Hier heißt es beispielsweise: „Der verantwortliche setzt […] geeignete technische und organisatorische Maßnahmen um, um sicher zu stellen und den Nachweis dafür zu bringen, das die Verarbeitung gemäß dieser Verordnung erfolgt…“ Die Kombination aus Rechenschaftspflicht und Nachweispflicht führen praktisch zu einer Beweislastumkehr, d.h, Unternehmen müssen ihre „Unschuld“ gegenüber der Behörde beweisen können. Für die Aufsichtsbehörde entfällt die Notwendigkeit die „Schuld“ beweisen zu müssen. Dies führt zu einem wesentlich höheren Compliance aufwand.

Es geht hier unter anderem um den Aufbau eines Dokumentationssystems in Hinblick auf die Zwecke und Rechtsgrundlagen, einer Interessensabwägung, eines Sicherheitskonzeptes und der Beschreibung der Unternehmensprozesse, um nur einige zu nennen.

Es geht um das Verfahrensverzeichnis nach DSGVO welches als „Lebendes Dokument“ in Entscheidungsprozesse einbezogen werden muss. Es beschreibt alle informationstechnischen Verfahren, die personenbezogene Daten speichern und verarbeiten. Dies fordert insbesondere eine wirksame Datenschutzstrategie, verbunden mit einer risikoorientierten Auswahl geeigneter und wirksamer Schutzmaßnahmen die „Stand der Technik“ sind. Hier ist auch das IT-Risikomanagement eingebunden.

Das alles sind nur wenige Kernpunkte die Unternehmen im Sinne der Datenschutzgrundverordnung zu betrachten und zu beachten haben. Viele, gerade mittelständische Unternehmen haben hierbei Probleme und Fragen mit der Umsetzung und Implementierung des Datenschutzes. Die Zeit sollte also gut genutzt werden um nicht am Ende der Umsetzungsfrist böse Überraschungen zu erleben und in Zugzwang zu geraten.

Wenn Sie unsicher in Bezug zur Umsetzung der DGVO in ihrem Unternehmen sind, wenn Sie sich Datenschutzrechtliche Fragen zur Realisierbarkeit von Projekten stellen oder auch wenn sich nur eine betroffene Person um Auskunft bemüht, wenden Sie sich Rechtzeitig an Ihren Datenschutzbeauftragten.

Sollte in Ihrem Unternehmen kein Datenschutzbeauftragter Rechtskräftig bestellt sein, wenden Sie sich an den Datenschutzbeauftragten Ihres Vertrauens.

Benötigen Sie Unterstützung?

Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!

Zum Kontaktformular

Aktuelle Artikel zu diesem Thema

Der EU Data Act: Eine neue Ära für Europas Datenwirtschaft

06.03.2024/von Marzena Tasch

Neues Gesetz fordert Aktion: Unternehmen ab 50 Mitarbeitern müssen Hinweisgeberschutz umsetzen

13.12.2023/von Marzena Tasch

EU-Kommission erklärt Datenschutz in den USA für ausreichend – sind US Clouds und Tools jetzt sicher?

17.06.2023/von Marzena Tasch

Haben Sie noch Fragen?

Unser Experte und Spezialist dieses Themas beantwortet gerne Ihre Fragen!

Frage stellen

Verbraucherzentrale Bundesverband mahnt WhatsApp ab Phishing Mails und der Datenschutz