Nach zwei Jahren Übergangszeit ist es am 25. Mai so weit: Die Datenschutzgrundverordnung (DSGVO) der EU wird dann vollständig angewendet. Bisher hatten Manager und Führungskräfte die Möglichkeit, sich auf die gesetzlichen Regelungen einzustellen und interne Prozesse sowie Gegebenheiten anzupassen. Da mittlerweile fast jedes Unternehmen mit personenbezogenen Daten arbeitet und das Internet etwa für Newsletter, Nutzer-Tracking oder Werbung nutzt, ist die neue Vorschrift für Betriebe jeder Größenordnung relevant. Das gilt sowohl für alle in der EU ansässigen Unternehmen als auch für jene, die zwar außerhalb der Union sitzen, aber dennoch mit Daten von EU-Bürgern in Berührung kommen. Halten sie die Bestimmungen nicht ein, drohen massive Bußgelder – und ein erheblicher Imageschaden.
Mehr Rechte für Betroffene
Bereits seit einigen Jahren gewinnt das Thema Daten in Zusammenhang mit Digitalisierung für Medien, Unternehmen und Haushalte an Relevanz. Eine einheitliche Regelung des Umgangs mit den Informationen war demnach nur eine Frage der Zeit. Die DSGVO räumt den Betroffenen mehr Rechte in Bezug auf ihre Daten ein, allem voran im Hinblick auf Korrektur und Löschung. Damit besitzen sie gegenüber Unternehmen das Recht auf Auskunft über die Herkunft der Angaben sowie das Recht auf Änderung und Entfernung. Datenhoheit lautet das Stichwort. Denn nicht der Schutz, sondern vielmehr die Selbstbestimmung der betroffenen Personen darüber, was mit ihren Daten geschieht, steht nun im Fokus. Es liegt im Aufgabenbereich der Unternehmen, unwissentliche Datenerhebungen, -speicherungen, -nutzungen sowie -weitergaben zu unterbinden. Doch es gibt auch Ausnahmeregelungen, die eine Verwendung personenbezogener Informationen erlauben. Beispielsweise die gesetzliche Grundlage, die die Speicherung von Mitarbeiterdaten zur Meldung beim Finanzamt oder bei der Sozialversicherung vorsieht.
DSGVO: Vorteile für die Unternehmen
Aber nicht nur für Privatpersonen, auch für die Unternehmen hat die EU-DSGVO positive Auswirkungen. Beispielsweise entsteht durch die einheitliche Regelung mehr Transparenz, auch in Bezug auf den europäischen Markt. Denn die zuvor oftmals vorherrschende Wettbewerbsverzerrung, die durch weniger strenge Datenschutzrichtlinien in verschiedenen Ländern Europas entstanden ist, entfällt nun. Mithilfe der gemeinschaftlichen rechtlichen Basis wird zudem die Zusammenarbeit vereinfacht – sowohl zwischen den Unternehmen als auch mit den Aufsichtsbehörden im eigenen Land. Dadurch verringert sich auch der Aufwand für die Bürokratie. Eine besondere Neuerung betrifft vor allem Großkonzerne: Mit der DSGVO haben die Verantwortlichen auch den Begriff der „Unternehmensgruppe“ eingeführt. Darunter zu verstehen ist eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Betrieben besteht. Dieses Kollektiv verfügt nun über ein sogenanntes Konzernprivileg und weist eine vereinfachte Datenweitergabe innerhalb der Unternehmensgruppe auf. Das geschieht jedoch wiederum nur unter besonderen Voraussetzungen, wie beispielsweise einem hohen Datenschutzniveau, unter anderem durch interne vertragliche Regelungen.
Während das Bundesdatenschutzgesetz (BDSG), das nun von der DSGVO abgelöst und durch sie erweitert wird, noch anderen Gesetzen untergeordnet war, kann die Datenschutzgrundverordnung nicht von anderweitigen gesetzlichen Regeln im Land überstimmt werden. Die Verordnung gilt demnach überall. Neben dem BDSG haben somit auch andere mit Datenschutz in Verbindung stehende rechtliche Bestimmungen keine Kraft mehr.
Die DSGVO umzusetzen wirkt zunächst wie ein immenser Aufwand. Aber schon kleine Tipps erleichtern Unternehmen die Einhaltung. Das beginnt mit der stetigen Prüfung der Datenverarbeitung sowie möglicher Aktualisierungen und geht weiter bis zur Verschlüsselung von Daten. Regelmäßige Backups bieten Unternehmen im Falle eines Datenausfalls die Chance, schnell und sicher den abgesicherten Zustand wiederherstellen zu können. Es liegt in der Verantwortung der Führungskräfte, die Systeme stets vertraulich, verfügbar, belastbar und auf aktuellem Stand zu halten.
Dokumentation ist sehr wichtig
Fest steht: Die Verantwortlichen müssen sich über die nahenden Änderungen im Klaren sein, für geeignete technische sowie organisatorische Möglichkeiten sorgen und ihre IT-Systeme optimieren. Sonst ist eine Einhaltung der DSGVO kaum möglich. Auch kurz vor Vollendung der Übergangszeit ist Vorbereitung noch immer das A und O. Eine Bestandsaufnahme darüber, wo im Unternehmen personenbezogene Daten erhoben, gespeichert und verarbeitet werden, bildet die Grundlage für weitere Schritte. Auch wer mit diesen Informationen arbeitet, sollte bekannt sein. Die zuständigen Personen müssen dann entsprechend geschult werden. Hinsichtlich der DSGVO sind grundsätzlich alle personenbezogenen Informationen relevant, darunter ebenso Kunden-, Mitarbeiter- und Bewerberdaten. Doch auch Angaben von und zu Interessenten und aus E-Mail-Verteilern sowie gesammelte Visitenkarten, die ins CRM eingepflegt werden, zählen hierzu.
Sobald bekannt ist, welche Informationen überhaupt vorliegen, folgt eine umfassende Analyse darüber, in welchen Prozessen die Daten überall eine Rolle spielen. Diese gilt es detailliert zu dokumentieren, denn mit der DSGVO gehen auch Änderungen in der Dokumentationspflicht einher. Unternehmen sind demnach angehalten, jederzeit nachweisen zu können, dass sie die Daten rechtmäßig erhoben und verarbeitet haben. Informationen können noch so regelkonform gesammelt werden – fehlt die Dokumentation, drohen dennoch erhebliche Bußgelder. Aus diesem Grund ist es sinnvoll, die von der DSGVO geforderten Formate des Verarbeitungsverzeichnisses von Beginn an zu verwenden, um sich Doppelarbeit zu ersparen.
Gefahren durch Bewerbungen und Newsletter
Nicht nur von offiziellen Organen, sondern auch von Privatpersonen können Unternehmen bezüglich eines Verstoßes belangt werden. Ein Beispiel liefern die Bewerberdaten. So können Bewerber nun auch Verstöße gegen die neuen Regelungen anmerken und im schlimmsten Fall auf Schadenersatz klagen. Eine weitere Gefahrenquelle bildet der unsachgemäße Umgang mit E-Mail-Werbung und Newslettern.
Generell können Unternehmen vor allem von zwei Arten von Anfragen zur Änderung und Löschung von Daten betroffen sein: „Data Protection by Design“ sowie „Protection by Default“. Bei der ersten Anfrage spielt Datenschutz in puncto Technikgestaltung eine übergeordnete Rolle: Diese besagt, dass das Speichern von personenbezogenen Daten möglichst an einer oder zumindest nur wenigen Stellen auftreten darf. Zudem sind die Systeme vor unbefugtem Zugriff zu schützen. „Protection by Default“ tangiert den Datenschutz durch datenschutzfreundliche Voreinstellungen. Das bedeutet, Unternehmen müssen in ihren Kontaktformularen darauf achten, die Zustimmung zu einer Verarbeitung der Daten klar und verständlich zu kennzeichnen. Das Einverständnis muss explizit von den Betroffenen aktiviert werden.
Ebenfalls eine wichtige Rolle spielt die Datenschutz-Folgenabschätzung. Sie ist vergleichbar mit der im zuvor gültigen BDSG bekannten Vorabkontrolle und besagt, dass Risiken und mögliche Folgen für die persönlichen Rechte der Betroffenen im Voraus bewertet werden müssen. Hierfür müssen jedoch zuvor spezielle Kriterien erfüllt sein. Das ist beispielsweise der Fall, wenn das Unternehmen eine systematische und umfassende Bewertung persönlicher Aspekte vornimmt. Ebenfalls als zutreffendes Kriterium gelten bestimmte Kategorien personenbezogener Daten, wie beispielsweise sexuelle Orientierung, Religion, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten oder auch strafrechtliche Verurteilungen sowie Straftaten. In diesen Momenten muss der sogenannte Datenschutzbeauftragte eingreifen, die Risiken und Folgen abschätzen und an den Vorgesetzten melden.
Externe Hilfe erleichtert die Umsetzung
Die Einführung der DSGVO erfordert einen Wandel, auch innerhalb der Unternehmen. Zwar verfügen manche Betriebe intern über die notwendigen Kompetenzen und Kapazitäten, um Analyse und Dokumentation selbst zu übernehmen – allerdings trifft das nur auf wenige Firmen zu. Oftmals fehlt entsprechendes Know-how und auch die Zeit in den eigenen Reihen. In diesem Fall sollten Unternehmen nicht zögern und externe Unterstützung in Anspruch nehmen. Berater wie beispielsweise von Readypartner sind auf Datenschutz sowie Datensicherheit spezialisiert und können als Datenschutzbeauftragte neben ihrer beratenden Funktion auch konkrete Aufgaben übernehmen. Dazu zählen unter anderem die Auswahl der notwendigen Maßnahmen und die Unterstützung bei der Umsetzung. Vor allem Betriebe von geringer Größe profitieren hiervon, denn oftmals sind sie zu klein, um einen hauseigenen Datenschutzbeauftragten voll auszulasten. Doch auch für mittelständische und Großunternehmen hat diese externe Dienstleistung einen besonderen Vorteil: In seiner Rolle als betrieblicher Datenschutzbeauftragter ist er weisungsbefugt und berichtet direkt der Unternehmensleitung. Übernehmen das reguläre Mitarbeiter der Firma, können Konflikte mit anderen Aufgaben aus dem Tagesgeschäft sowie zwischen dem Mitarbeiter und dem Vorgesetzten bei der Durchsetzung der Datenschutzziele entstehen. Externe Dienstleister vermeiden diese problematischen Situationen.
Für den Ernstfall vorsorgen
Die Grundlage, um sich mit Datensicherheit beschäftigen zu können, bildet die zuvor erstellte Analyse darüber, welche Daten wo im Unternehmen wie verwendet werden. In Zeiten der Digitalisierung und des stetigen Wandels ist jedoch die Gewährleistung eines hundertprozentigen Schutzes eine große Herausforderung. Die Verantwortlichen sind deshalb angehalten, eine Strategie zu erarbeiten, falls es einen Verstoß gegen die DSGVO gibt. Wichtig ist es, die Frist für die Informationspflicht von 72 Stunden einzuhalten. Die Strategie sollte Antworten auf folgende Frage umfassen: Wie werden die Betroffenen informiert? Wer spricht mit der Aufsichtsbehörde? Wie wird die Öffentlichkeit informiert? Und wie kann der Schaden eingegrenzt werden?
Grundsätzlich sollten Manager ihre Mitarbeiter für die Themen Datenschutz und Datensicherheit sensibilisieren, beispielsweise in Form von Schulungen. Das verringert die Anzahl an Datenschutzvorfällen merklich, denn häufig ist Leichtsinn oder Unachtsamkeit von Arbeitnehmern noch die Ursache für solche Vorfälle.