Ein Jahr EU-DSGVO: Herzlichen Glückwunsch! Aber was hat sich überhaupt geändert?

https://pixabay.com/de/

Wir zünden eine Geburtstagskerze an, bringen Licht ins Dunkle: Eine griffige Zusammenfassung der Änderungen und Konsequenzen der vor einem Jahr in Kraft getretenen Europäischen Datenschutzgrundverordnung sowie deren Bedeutung für alle Beteiligten [1].

Die Verantwortlichen – also jene, die die Datenschutzgrundverordnung anzuwenden haben – sollten inzwischen sicher sein, ihren Datenschutz rechtlich »in trockenen Tüchern« zu haben. Aber sind sie das? Denn was Klarheit und Sicherheit bringen sollte, hat für große Verwirrung gesorgt. Und die Verunsicherung ist in weiten Teilen noch groß …

Bis zum Ablauf der Übergangsfrist der EU-DSGVO am 25. Mai 2018, also vor einem Jahr, wurden häufig in aller Eile Datenschutz-Dokumentationen notdürftig erstellt. Höchste Zeit, diese auf Qualität und Nachhaltigkeit zu überprüfen, denn nun werden Prüfungen der Aufsichtsbehörden im Hinblick auf die Datenschutzkonformität erfolgen. Aber auch innerbetriebliche Prüfungen, wie zum Beispiel durch das Risk- oder Compliance-Management, können den Datenschutz zum Gegenstand haben. Ganz zu schweigen von den Folgen eines Reputationsschadens für das betroffene Unternehmen. Denn das Thema ist beim Verbraucher längst angekommen.

Fakten auf den Tisch: Im ersten Jahr wurden laut Medienberichten bereits in 75 Fällen Bußgelder verhängt.
Nur mit Bordmitteln dümpeln viele Dokumentationen aufgrund mangelnder Übersicht seit vielen Monaten in Unternehmen von To-do-Liste zu Agenda und zurück … manchmal ist spezialisierte Unterstützung von außen notwendig, um Projekte qualitätsvoll zum Abschluss zu bringen.

Als Antwort bietet LEXDATA ein Datenschutz-Managementsystem als systematisiertes Lösungspaket für Unternehmen und Institutionen jeder Größe, um damit wertvolle Rechtssicherheit für die Datenschutz-Dokumentation zu erlangen: maßgeschneidert angepasst an den eigenen Bedarf, effizient und nachhaltig implementiert. Denn ansonsten drohen empfindliche Bußgelder sowie unkalkulierbare Risiken bei Stakeholdern und in der Öffentlichkeit.

»Ein Jahr EU-DSGVO. Herzlichen Glückwunsch, Datenschutz!
Aber was hat sich überhaupt geändert?«
Am 04.05.2016 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) im Amtsblatt der Europäischen Union veröffentlicht worden, damit begann die zweijährige Umsetzungsfrist für die Verantwortlichen, also Unternehmen, Vereine, Stiftungen und Behörden, die neuen gesetzlichen Vorgaben bis zum 25.05.2018 umzusetzen.

Während der zweijährigen Umsetzungsfrist wurden von den verantwortlichen Stellen Heerscharen von Beratern engagiert, die die drohenden Bußgelder abwenden sollten. Projekte mit hochtrabenden Namen, wie »Implementation of GDPR«, »GDPR compliance« oder »DSGVO@XY« wurden ins Leben gerufen, innerbetriebliche Prozesse wurden neu dokumentiert, die gerade teuer erstellten Dokumentationen wieder verworfen und neu erstellt. So recht wusste jedenfalls niemand, was er eigentlich machen sollte.

Google liefert für den Suchbegriff »EU-DSGVO« über 40 Millionen Ergebnisse. Natürlich findet Google darunter auch eiligst erstellte neue »EU-DSGVO-konforme« Datenschutzhinweise von Webseitenbetreibern, aber eben auch eine Vielzahl von mehr oder weniger hilfreichen Umsetzungshilfen selbsternannter Datenschutzexperten.

Die Frage, die sich stellt, ist schlicht: Brauche ich in meinem Unternehmen, in meinem Verein, in meiner Stiftung, in meiner Behörde, überhaupt einen externen Berater, der die aus der Datenschutzgrundverordnung resultierenden Pflichten erfüllt?

Was hat sich überhaupt geändert?
Nichts, zumindest nicht viel!
Das Bundesdatenschutzgesetz (a.F.) erlaubte die Erhebung, die Verarbeitung und die Nutzung personenbezogener Daten nur dann, wenn ein sogenannter Erlaubnisvorbehalt bestand. Dies ist das sogenannte »Verbot mit Erlaubnisvorbehalt«. Ein solcher Erlaubnisvorbehalt bestand beispielsweise dann, wenn ein bestehendes Vertragsverhältnis mit dem Betroffenen vorlag, ein Vertrag angebahnt werden sollte, der Betroffene in die Verarbeitung eingewilligt hat oder eine spezialgesetzliche Vorschrift die Verarbeitung erlaubte.

Und wie ist es heute?
Genauso!
Die Rechtmäßigkeit der Verarbeitung ergibt sich im Wesentlichen aus Artikel 6 DSGVO. Demnach ist es erlaubt, personenbezogene Daten zu verarbeiten, wenn

  1. die betroffene Person eine Einwilligung erteilt hat,
  2. die Datenverarbeitung zur Erfüllung eines Vertrags erforderlich ist,
  3. die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
  4. um lebenswichtige Interessen zu schützen,
  5. die Verarbeitung im öffentlichen Interesse liegt,
  6. in Ausübung öffentlicher Gewalt erfolgt oder
  7. die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erfolgt.

Daraus folgt, dass sich im Hinblick auf die Erlaubnis zu Datenerhebung, deren Verarbeitung und Nutzung im Vergleich zum Bundesdatenschutzgesetz (BDSG a.F.) nicht viel geändert hat.
Soweit ein Unternehmen – und davon dürfte im weit überwiegenden Teil auszugehen sein – mit einer natürlichen Person einen Vertrag geschlossen hat, ist die damit im Zusammenhang stehende Datenverarbeitung nach-wie-vor rechtmäßig.

Es ist also vertretbar zu behaupten, dass eine Datenverarbeitung, die den Voraussetzungen des BDSG (a.F.) genügte, auch den Ansprüchen der EU-DSGVO genügt.

Dennoch…
Noch mehr Bürokratie
Der Gesetzgeber hat den Verantwortlichen eine Reihe weiterer Dokumentationspflichten auferlegt, welche im Falle der Versäumnis mit ganz erheblichen Bußgeldern belegt werden können und genau hier gilt es anzusetzen.

Was tun, sprach Zeus…
Von Ratlosigkeit zur Lösung
Die Einhaltung der Vorgaben der Rechenschaftspflicht kann umfassend durch ein Datenschutz-Managementsystem sichergestellt und nachgewiesen werden.
Das Datenschutz-Managementsystem von LEXDATA passt sich komplexen Sachverhalten unterschiedlicher Unternehmen verschiedener Branchen wie maßgeschneidert an und stellt die Erfüllung der umfangreichen datenschutzrechtlichen Verpflichtungen sicher.

Getreu dem Motto »ein gutes Pferd springt nicht höher, als es muss« verfolgt LEXDATA hierbei den Ansatz, die gesetzlichen Anforderungen vollumfänglich, vor allem aber auch in wirtschaftlich vernünftigem Umfang umzusetzen.

Ausgehend von den Fragen »welche konkreten rechtlichen Verpflichtungen hat der Verantwortliche gegenüber dem Gesetzgeber? An welchen Stellen des Unternehmens drohen Gefahren im Hinblick auf eine nachteilige Rechtsfolge? Und an welchen Stellen stehen Reputationsschäden zu befürchten?« werden die relevanten Fragen beantwortet, die einzelnen Pflichten nachvollziehbar priorisiert und dokumentiert sowie die rechtlichen Verpflichtungen gegenüber den Betroffenen erfüllt.

[1] https://www.lexdata.de/news

618 search results for „DSGVO“

Auswahl von Cloud-Anbietern und DSGVO: Fünf Tipps für klare Sicht in der Cloud

Die Nutzung von Cloudservices ist für viele Unternehmen eine betriebliche Notwendigkeit geworden. Werden personenbezogene Daten in die Cloud ausgelagert, gelten bei der Auswahl eines Cloudanbieters jedoch besondere Vorgaben durch die DSGVO. Um die Compliance-Vorgaben bestmöglich zu erfüllen, sollten Unternehmen einige wesentliche Punkte beachten. Für Cloudservices gilt das Modell der Shared Responsibility, das heißt, dass sowohl…

DSGVO: Steht Ihnen auch die Abmahnung bevor?

Rechtskonformes E-Mail-Marketing und Lead Management. Seit knapp einem Jahr ist die Datenschutzgrundverordnung (DSGVO) europaweit rechtskräftig. Jetzt drohen zahlreichen Unternehmen Abmahnungen und empfindliche Bußgelder, weil sie sich im Rahmen ihres E-Mail-Marketings und Lead Managements nicht an die datenschutzrechtlichen Vorgaben halten, so die Ergebnisse der E-Mail-Marketing-Benchmarks 2019 [1]. Laut der Studie arbeiten 18,3 Prozent der 5.037 befragten…

IT-Trends des Jahres 2019: DSGVO-Compliance, Privacy by Design, Multi-Faktor-Authentifizierung, BYOx-Security und Security-Automation

Studie: Digitalisierung ausbaufähig, intelligente Technologien im Kommen. Ihren Erfolg bei der Digitalisierung stufen Unternehmen in Deutschland, Österreich und der Schweiz wie im Vorjahr durchschnittlich als mittelmäßig ein [1]. Angesichts der großen Anstrengungen in diesem Bereich und der hohen Ausgaben für die Digitalisierung ist diese Bilanz ernüchternd. Als technologischer Trend zeigt sich, dass mehr als zwei…

Unternehmenswebsites im DSGVO-Dschungel

Warum eine automatisiert erstellte Datenschutzerklärung allein meist nicht ausreicht. Auch wenn die Datenschutzgrundverordnung, kurz DSGVO, bereits seit einigen Monaten gilt, existieren noch immer Unternehmenswebsites, die nicht den aktuellen Bestimmungen entsprechen. Um eine Website gesetzeskonform zu gestalten, reicht es nicht aus, eine allgemeine Datenschutzerklärung irgendwo zu kopieren oder automatisiert generieren zu lassen und dann auf der…

DSGVO von 18 Prozent der Unternehmen noch nicht umgesetzt

Panda Security bietet Datenschutz und fortschrittliche IT-Security in einer gemeinsamen Lösung. »Data Control«-Modul ermöglicht DSGVO-konforme Erfassung, Schutz und benutzerfreundliche Auswertung.   Laut einer Umfrage des Marktforschungsinstituts YouGov [1] ist die Meinung über den Nutzen der DSGVO in Deutschland gespalten. Mehr als die Hälfte der Befragten (56 %) glaubt, dass die neue Regelung keinen Einfluss auf…

DSGVO: Starke Security sorgt für sichere Daten

Rund ein halbes Jahr nach dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) läuft die Schonzeit für Unternehmen mehr als ab. So hat beispielswiese das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) seine Prüfaktivitäten wieder verstärkt aufgenommen und in Bayern mit flächendeckenden Datenschutzkontrollen begonnen. Denn drei Viertel aller Unternehmen in Deutschland haben die Vorgaben der DSGVO demnach bislang noch nicht…

DSGVO und umfassender Datenschutz – wann wird ein Schuh daraus?

Statement zum Europäischen Datenschutztag 2019.   Liviu Arsene, Leitender Bedrohungsanalyst bei Bitdefender Vor einem Dreivierteljahr trat die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Eine wichtige Verordnung, um die Daten von Verbrauchern besser zu schützen. Man könnte annehmen, damit wähnt sich der jährlich mahnende Europäische Datenschutztag an seinem Ziel, erinnert er doch schon zum 13. Mal an das…

Sicherheitstrends 2019: Internet der Dinge und DSGVO stellen Unternehmen vor große Herausforderungen

DNS nimmt immer wichtigere Rolle in Sachen Netzwerksicherheit und Unternehmenserfolg ein. Im Jahr 2018 hat sich gezeigt: So oft wie nie zuvor haben Cyberattacken das Internet in die Knie gezwungen. Unternehmen aller Branchen mussten sich mit den Folgen dieser Angriffe auseinandersetzen, und Millionen sensibler Kundendaten wurden kompromittiert, nicht aber Beste-bonus-code.de und andere Sites. Im aktuellen…

Datendiebstahl bei Marriott: Der erste Mega-Datendiebstahl der DSGVO-Zeit

  Experten-Kommentar von Thomas Ehrlich, Country Manager DACH von Varonis   Die unglaubliche Zahl von bis zu 500 Millionen Kundendaten (einschließlich Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum und Aufenthaltszeitraum) sind der Hotelkette Marriott gestohlen worden. Eine halbe Milliarde Menschen ist nun also in der misslichen Situation, ihre Kreditkartenabrechnungen zu überprüfen, wobei das wahrscheinlich noch der unproblematischste…

Online-Zustimmungsbarometer: Fünf Tipps fürs Einholen von Zustimmung in Zeiten der DSGVO

Commanders Act, Anbieter der ersten europäischen integrierten Consent-Management- (CMP) und Customer-Data-Plattform (CDP), veröffentlicht erstmals ein Online-Zustimmungsbarometer. Mit dieser Studie zu den Herausforderungen des Datenschutzmanagements wird die Performance verschiedener durch die DSGVO geforderter Opt-In-Mechanismen gemessen. Banner, Pop-ups, Bestätigung durch Klick oder Scrollen: Welchen Einfluss hat in Zeiten der DSGVO die Art der Abfrage auf die Zustimmungsrate?…

DSGVO-Tipps für Nachzügler

Wie Unternehmen ein DSGVO-taugliches Datenbewusstsein für die digitale Welt entwickeln. Am 25. November ist es sechs Monate her, dass die Datenschutzgrundverordnung mit Ende der Übergangsfrist endgültig in Kraft getreten ist. Bis zu diesem historischen Datum im Mai diesen Jahres herrschte eine große Verunsicherung bei Organisationen aller Art darüber, inwieweit die neuen Vorschriften ihre Prozesse betreffen…