Illustration: Absmeier, DasWortgewand
Der Countdown läuft: Bis zum 25. Mai 2018 müssen Unternehmen die Neuerungen der seit 2016 geltenden Datenschutz-Grundverordnung (DSGVO) umgesetzt haben. Die Verschärfungen betreffen vor allem die Rechenschafts- und Nachweispflicht beim Umgang mit personenbezogenen Daten sowie die Meldepflicht im Fall von Datenpannen. Gleichzeitig steigt auch die Höhe möglicher Bußgelder deutlich. Um auch in Zukunft rechtskonform aufgestellt zu sein, müssen Prozesse angepasst oder neu aufgesetzt werden.
Die neuen Datenschutzrichtlinien gemäß der DSGVO betreffen alle Unternehmen gleichermaßen. Überall, wo zur Erledigung von Aufträgen personenbezogene Daten erhoben und gespeichert werden, ist künftig noch mehr Sorgfalt gefragt. Ein wesentlicher Aspekt der Neuregelung ist die Verschärfung der sogenannten Rechenschafts- oder Nachweispflicht. So müssen Unternehmen künftig jederzeit nachweisen können, dass sie verwendete Daten rechtmäßig verarbeiten. »Ein solcher Nachweis kann beispielsweise über entsprechende Einwilligungen oder Verträge mit dem jeweiligen Kunden erbracht werden«, erläutert Timo Gehle, Leiter IT-Strategie, IT-Sicherheit & Datenschutz im Consulting der DATEV eG. Im Rahmen seiner Tätigkeit nimmt er auch die Aufgabe des externen Datenschutzbeauftragten für Steuerberatungskanzleien und Unternehmen wahr und kennt daher die mit Datenschutzfragen verbundenen Probleme aus seiner täglichen Praxis.
Rechenschafts- und Nachweispflicht
Darüber hinaus gelten von Mai an grundsätzlich schärfere Bestimmungen für den Umgang mit personenbezogenen Daten. »Sie dürfen überhaupt nur für bestimmte und festgelegte Zwecke erhoben und verarbeitet werden«, so Gehle. »Außerdem müssen Unternehmen sicherstellen, dass falsche Daten unverzüglich berichtigt oder gelöscht werden.« Daten, die nicht mehr benötigt werden, sind ebenfalls sofort zu löschen. Darüber hinaus gilt für personenbezogene Daten, dass sie über technisch-organisatorische Maßnahmen angemessen gegen unrechtmäßige Verarbeitung geschützt und vor unbeabsichtigtem Verlust oder Zerstörung gesichert sein müssen. Verstöße gegen die Rechenschaftspflicht können Unternehmen bis zu vier Prozent ihres Jahresumsatzes (maximal 20 Millionen Euro) kosten.
Der gleiche Bußgeldrahmen gilt auch bei Verstößen gegen die sogenannten Betroffenenrechte. »Dazu zählen die Informationspflicht des Unternehmens, das Auskunftsrecht des Betroffenen sowie – je nach Situation – sein Recht auf Berichtigung oder Löschung«, fasst Datenschutz-Experte Timo Gehle zusammen. »Deshalb ist es in diesem Bereich unbedingt nötig, entsprechende Prozesse aufzusetzen und nachvollziehbar zu dokumentieren.«
Datenpannen zügig melden
Klar definiert ist in der DSGVO der Umgang mit Datenpannen. Diese müssen binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Ebenso sind die potenziell Betroffenen unverzüglich zu informieren. »Diese Verpflichtung können Unternehmen nur einhalten, wenn sie dafür spezielle Mechanismen etabliert haben«, stellt Gehle fest. »Darüber muss sich unmittelbar nach Bekanntwerden einer Datenpanne feststellen lassen, wer von der Panne betroffen ist und ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht.« Darüber hinaus muss im Prozess definiert sein, wie der Vorfall anschließend dokumentiert wird und wie sichergestellt ist, dass die Meldung an die Aufsichtsbehörde im vorgegebenen Zeitrahmen erfolgt. Unternehmen, die gegen die Vorgaben verstoßen, können mit einem Bußgeld von bis zu zwei Prozent ihres Jahresumsatzes (maximal 10 Millionen Euro) belegt werden.
Datenschutzbeauftragter wird noch wichtiger
Nach wie vor müssen Unternehmen, in denen mehr als neun Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten (DSB) benennen. Dessen Position wird sogar gestärkt: Sollte er bislang auf die Einhaltung der datenschutzrechtlichen Regeln im Betrieb hinwirken, ist er künftig dafür zuständig, diese Einhaltung zu überwachen. Damit die Beauftragten diese neue Aufgabe ausfüllen können, sollten Unternehmen verstärkt auf deren entsprechende Aus- und Fortbildung achten. »Vor dem Hintergrund der verschärften Regelungen empfiehlt sich, die Qualifikation des DSB noch einmal zu überprüfen«, betont Timo Gehle und ergänzt: »Ab Mai 2018 müssen die Kontaktdaten des Datenschutzbeauftragten auch öffentlich zugänglich gemacht und den Aufsichtsbehörden gemeldet werden.«
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
EU-DSGVO & personenbezogene Daten: Diese sechs Fragen müssen Unternehmen sich jetzt stellen
Cybersicherheit 2018 – Unternehmen müssen Datenintegrität besser verstehen
Datensicherheit 2018: Ransomware, RPO/RTO, Cloud und DSGVO 2018 im Trend