Happy Birthday DSGVO

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Bereits seit drei Jahren ist die DSGVO anzuwenden. In dieser Zeit war die eine oder andere Herausforderung seitens der Verantwortlichen im Unternehmen zu meistern, denn der Weg zur Datenschutz-Compliance kann steinig sein.

Die damals erlassenen Regelungen sind unter dem Blickwinkel der immer noch rasant zunehmenden Digitalisierung aber wichtiger denn je. Denn selten gibt es Wochen, in denen nicht Sicherheitslücken oder Datenschutzpannen in den Medien zu finden sind. Gestohlene Daten von sozialen Netzwerken, Cybercrime, manipulierte Wahlen, unberechtigte Video- und Fotoaufnahmen, Bußgelder verdeutlichen, wie wichtig der Schutz von personenbezogenen Daten ist.

Lassen Sie uns mit den Grundlagen starten

Seit dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) anzuwenden. Ziel ist, die personenbezogenen Daten von EU-Bürgern zu schützen. Zudem wurde das Recht auf informationelle Selbstbestimmung bestärkt, sodass jeder entscheiden kann ob und wie seine Daten verwendet werden. Die Nichteinhaltung der strengen DSGVO-Regeln hat für Unternehmen weitreichende Konsequenzen, wie wir bereits beispielsweise im Artikel über die Deutsche Wohnen SE berichteten.
Kurzer Fakt am Rande: Der genannte Stichtag ist entgegen häufigen Meinungen nicht der Tag des Inkrafttretens der DSGVO. Denn dies ist bereits am 24.05.2016 erfolgt. Allerdings ist die DSGVO erst seit dem 25.05.2018 in ihrer konkreten Form verbindlich anwendbar. Wenn Sie also einmal mit unnützem Wissen prahlen wollen, eignet sich dieser Fact dafür sicher ganz hervorragend.
Stellt man sich die Frage, was hat uns die DSGVO gebracht, hört man häufig „Aufwand“ (vor allem bei den Verantwortlichen im Unternehmen, die dieses Thema oftmals nicht ganz freiwillig übernommen haben). Aber es gibt auch...

zahlreiche Vorteile

  • Die DSGVO brachte vor allem ein erhöhtes Datenbewusstsein. Die Diskussion rund um die DSGVO führte zu einem Umdenken – sowohl bei Betroffenen als auch bei Unternehmern. Dadurch entstehen viele Diskussionen, nicht nur im arbeitsrechtlichen Bereich, darüber wo Daten gesammelt werden oder wo beispielsweise zu viele Daten gesammelt werden bzw. schneller gelöscht werden sollten. Viele Geschäftsführer aber auch Mitarbeiter haben erkannt, dass Datenschutz mit seinen Haftungsrisiken ein essenzieller Teil der Compliance von Unternehmen ist.
  • Eine häufig vergessene Verbesserung durch die DSGVO ist, dass datenschutzrechtliche Vorgaben innerhalb der EU weitestgehend einheitlich sind. Was vielleicht zunächst eher trivial erscheint, ist in Wahrheit eine politische Errungenschaft und auch praktisch eine Verbesserung für Adressaten der Verordnung. Bevor die DSGVO galt, hatte jeder Mitgliedstaat selbst ein viel umfangreicheres eigenes Datenschutzgesetz, und es gab zum Teil große Unterschiede.
  • Bei der Frage, ob sich Datenschutzprogramme wirtschaftlich für Unternehmen rechnen, muss man bei den Betroffenen beginnen. Wer als Unternehmen das Vertrauen seiner Kunden und Arbeitnehmer gewinnt, hat davon auch wirtschaftliche Vorteile. Ein solches Vertrauen entsteht, wenn das Unternehmen fair, verlässlich und transparent handelt. Hier ist Datenschutz ein wichtiger Aspekt. Zu Recht erwarten Kunden, Bewerber, Mitarbeiter und Partner, dass ihre personenbezogenen Daten entsprechend den gesetzlichen Bestimmungen geschützt sind. Häufig wird vergessen, dass für Unternehmen, welche Mängel beim Datenschutz aufweisen, nicht nur hohe Bußgelder drohen, sondern auch Schadensersatz, Reputationsverluste und Abzüge bei Risikobewertungen, die wirtschaftlich oftmals noch schwerer wiegen.
  • Die DSGVO gibt Unternehmen ein Werkzeug und einen groben Rahmen, um sich vor Strafen abzusichern. Viele Regelungsdetails werden mit großer Wahrscheinlichkeit erst in den nächsten Jahren im Rahmen der Rechtsprechung herausgearbeitet werden. Wer sich absichern will, sorgt insbesondere dafür, dass er seine Betroffenen informiert (Datenschutzerklärung), ein Verarbeitungsverzeichnis inklusive Löschkonzept aufsetzt und mit Externen, mit denen er Daten austauscht, Auftragsverarbeiter-Vereinbarungen abschließt. Wer Daten verarbeitet stellt zudem die Rechtgrundlage (z.B.: Vertrag, Einwilligung oder berechtigtes Interesse) sicher. 

Es ist immer wieder erstaunlich, wie viele Unternehmen auch heute, drei Jahre später, immer noch nicht ihren Verpflichtungen nachgekommen sind. So trifft man in der Praxis immer noch auf

  • nicht konforme Cookie Banner
  • nicht oder unvollständig vorhandene Datenschutzerklärungen auf Websites
  • Websites, die immer noch ungefragt Informationen an Dritte, wie z.B. Instagram, weiterreichen
  • Video-Überwachungsanlagen ohne Kennzeichnung und ohne Löschkonzept
  • Personalausweiskopien beim Hotel-Check In
  • und vieles mehr.

Ausblick

Die letzten Jahre haben gezeigt, dass Datenschutzrecht durch die DSGVO einen höheren Stellenwert in vielen Unternehmen eingenommen hat. Datenverarbeitende, Aufsichtsbehörden und Gerichte beschäftigen sich intensiv mit der Verordnung. Aufgrund der höheren Awareness für Datenschutz sowie der weiterwachsenden Digitalisierung wird dieser Bereich auch in Zukunft immer wieder für Gesprächsstoff sorgen.
Unternehmen, welche bislang noch nicht mit dem Thema Datenschutz konfrontiert wurde, sollten sich nicht in Sicherheit wiegen. Ehemalige Mitarbeiter, Mitbewerber oder sonstige Personen, die einem nicht gutgesinnt sind, können das Thema Datenschutz rasch dazu verwenden, Aufwand, sowohl zeitlicher als auch finanzieller Art, zu produzieren. Zudem besteht das Risiko eines Bußgeldes. Diese trafen in der Vergangenheit nicht nur Technologie-Riesen, sondern auch mittelständische und kleinere Betriebe. 

Wie steht es um Ihren Datenschutz bzw. den Ihrer Betroffenen? Wenn Sie sich nicht sicher sind ob Ihre Datenschutzerklärung, Ihre Verarbeitungsverzeichnisse, Ihre Löschkonzepte oder Auftragsverarbeiter-Vereinbarungen DSGVO-konform sind, unterstützen wir Sie gerne.
Rufen Sie uns an oder schreiben Sie uns und lassen Sie uns darüber reden.