Die Datenschutzgrundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem Stichtag am 25. Mai herrscht in vielen Unternehmen immer noch Unklarheit. Laut einer aktuellen Bitkom-Studie haben 75 % der deutschen Unternehmen die Frist der DSGVO verfehlt [1]. Lediglich ein Viertel haben ihre Datenverarbeitungsprozesse bereits vor Gültigkeit der Verordnung vollständig an die neuen Datenschutzregeln angepasst. Doch eventuelle anstehende Abmahnwellen und die hohen Strafen bei Verstößen gegen die DSGVO erhöhen nun den Druck auf Unternehmen, die die Frist verpasst haben.
Ein Kommentar von Uwe Gries, Country Manager DACH bei Stormshield
Es herrscht immer noch starke Unsicherheit in Unternehmen, und es kommen viele Fragen bei der Umsetzung der DSGVO-Anforderungen auf. Welche Bereiche sind betroffen? Dabei fängt es schon bei einfachen Kontaktformularen auf der Unternehmens-Website an. Hier werden personenbezogene Daten wie Name und E-Mail-Adresse abgefragt und verarbeitet. Konkret heißt das für Unternehmen: Sie müssen die User von vornherein über Art, Umfang und Zweck der Erhebung sowie über die Verarbeitung der Daten informieren. Die einfachste Möglichkeit, dies zu tun, ist eine vollständige Datenschutzerklärung, der die Nutzer zustimmen müssen.
Wann benötigt ein Unternehmen einen Datenschutzbeauftragten? Viele Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen: Das gilt ab einer Anzahl von neun Mitarbeitern, die regelmäßig mit elektronischer Datenverarbeitung zu tun haben, sowie ab 20 Personen bei nicht elektronischer Verarbeitung. Außerdem trifft diese Regelung bei Unternehmen zu, die sehr persönliche Daten wie beispielsweise religiöse Überzeugungen oder Herkunft bearbeiten, sowie bei der geschäftsmäßigen Verarbeitung von personenbezogenen Daten, unabhängig von der Anzahl der Mitarbeiter. Unternehmen, die mit Risiken verbundene Daten verarbeiten, müssen bereits im Vorfeld mögliche Folgen für den Schutz personenbezogener Daten einschätzen.
An Bedeutung gewinnt das sogenannte »Privacy by Design«. Dabei geht es um den Schutz von personenbezogenen Daten durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOMs) im Entwicklungsstadium. So lässt sich die Sicherheit der Daten zu jedem Zeitpunkt gewährleisten: zum Zeitpunkt der Konzipierung der Datenverarbeitung, auf Ebene der Daten und des Netzwerks, aber auch an den Arbeitsplätzen der für die personenbezogenen Daten verantwortlichen Personen.
Dokumentation und Meldepflicht
Die neue Datenschutzreform bringt einen wirklichen Fortschritt für den Schutz unser aller Daten, aber auch einen grundlegenden Wandel für die Unternehmen, die aufgrund dessen tiefgreifende Änderungen vornehmen müssen. Langsam wird kleinen und mittelständischen Unternehmen bewusst, dass auch sie von der DSGVO betroffen sind. Alle Beteiligten, die in irgendeiner Weise personenbezogene Daten verarbeiten, sind zur Erfüllung der gesetzlichen Vorgaben verpflichtet. Ob es sich dabei um die Daten der eigenen Mitarbeiter oder um persönliche Kundeninformationen handelt, spielt dabei keine Rolle.
Viele Unternehmen betreiben die Pflege und Dokumentationen ihrer Daten noch immer manuell – oftmals mit Word oder Excel. Lösungen im Eigenmanagement sind jedoch zeit- und personalintensiv. Sie verursachen hohe Kosten, und zudem schleichen sich häufig Fehler ein. Eine DSGVO-konforme Security-Lösung wie eine UTM-Firewall schafft hier Abhilfe. Zuerst einmal schützt sie die IT-Systeme und damit die Daten. Sie kann auch bei der erhöhten Dokumentations- und Nachweispflicht unterstützen. Datenverarbeitungsprozesse müssen ausführlich protokolliert werden. Verletzungen des Datenschutzes sind innerhalb von 72 Stunden der zuständigen Datenschutzbehörde zu melden. Bei besonders schweren Fällen muss außerdem die betroffene Person benachrichtigt werden. Hier dürfen die Verantwortlichen also keine Zeit verlieren und benötigen schnellstmöglich Zugriff auf alle wichtigen Informationen.
Der neue Datenschutz als Chance
In der Theorie erscheinen diese Maßnahmen ganz klar. Tatsächlich aber haben viele Unternehmen noch immer Mühe, die Anforderungen der neuen Regelungen auch in der Praxis umzusetzen. Insbesondere auf kleine und mittelständische Unternehmen kommt einiges zu. Um die Anforderungen möglichst schnell und einfach umzusetzen, bieten Spezialisten DSGVO-konforme Softwarelösungen an, die die Umsetzung deutlich vereinfachen sollen. Zudem empfiehlt es sich, einen erfahrenen Experten zur Seite zu holen, der bei der Auswahl der richtigen Lösung hilft und den gesamten Prozess unterstützend begleitet. Obwohl die DSGVO mit viel Arbeit verbunden ist, sollte sie als Chance betrachtet werden, denn sie hebt den europäischen Datenschutz auf ein höheres Niveau. Die Datenschutzgrundverordnung erhöht den Schutz und die Vertraulichkeit unserer persönlichen Daten – und das sollte im Interesse von uns allen liegen.
Keine Panik – 5 Last-Minute-Tipps zur EU-DSGVO
Wie Sie die schlimmsten Lücken noch rechtzeitig schließen und anfangen, den Datenschutz im Unternehmen ordentlich aufzusetzen.
Es bleiben nur noch wenige Tage bis zum 25. Mai 2018 – dann tritt die EU-weite Datenschutzgrundverordnung in Kraft (engl.: GDPR). Sie betrifft alle Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten. Ab Ende Mai droht den Unternehmen, die dieses Thema bisher erfolgreich ignoriert haben, Post vom Abmahnanwalt oder Schlimmeres: die neue Verordnung sieht millionenschwere Strafen vor. Was können Verantwortliche jetzt noch tun, um das zu verhindern?
Zu allererst: keine Panik. Die DSGVO erlaubt auch weiterhin jede Verarbeitung von Daten. Die EU-Verordnung regelt im Wesentlichen in der Europäischen Union die Rechte der Verbraucher, d.h. der von der Datenverarbeitung Betroffenen, neu. Zudem erschließt die DSGVO nicht nur Neuland: das bisher gültige Bundesdatenschutzgesetz (BDSG) hat die meisten Punkte bereits abgedeckt. Zu beachten sind aber vor allem zwei Neuerungen: das Recht auf Widerspruch bei automatisierter Fallentscheidung (Artikel 22) und die Datenportabilität (Artikel 20).
Es ist auch nicht zu erwarten, dass allen Unternehmen kurzfristig heftige Strafen drohen. Vieles an der neuen Richtlinie muss sich erst im Einsatz bewähren. Experten erwarten, dass es zuerst eine begrenzte Anzahl prominenter Unternehmen treffen wird, an denen sich Anwälte, Datenschutzexperten und schließlich Gerichte abarbeiten werden.
Zunächst kein Grund für schlaflose Nächte also, aber spätestens jetzt ist es an der Zeit, sofort zu handeln. Diese fünf Punkte können als Erste-Hilfe-Maßnahmen umgesetzt werden, bis die Unternehmensprozesse ordentlich angepasst oder umgestellt sind:
- Schaffen Sie Awareness in der Geschäftsführung und beginnen Sie den Wandel in ihrer Unternehmensstruktur. Die Auflagen der DSGVO kann man nicht nebenher erfüllen. Es müssen das Team und die Mittel bereitgestellt werden, um einen Change-Management-Prozess durchzuführen. Machen Sie der Geschäftsführung die Tragweite der Aufgabe, ihre Bedeutung und die möglichen Folgen klar. Zeigen Sie konkret auf, wo aktuell Handeln Not tut. Verdeutlichen Sie, dass die DSGVO nicht nur ein einzelnes Projekt erfordert, sondern einen Wandel in den Unternehmensprozessen. In Zukunft muss der Datenschutz bei jedem Prozess mit bedacht werden. Die Compliance liegt damit in der Verantwortung von Business Owner und Process Owner, nicht mehr eines Project Owner DSGVO. Ebenso ist es nötig, bei allen Mitarbeitern das Bewusstsein für die Vorgaben und Hintergründe der Verordnung zu schaffen. An entsprechenden Schulungen wird kein Weg dran vorbeiführen, machen Sie auch dies der Geschäftsführung und der Personalabteilung klar.
- Klären Sie, ob Sie einen Datenschutzbeauftragten (DSB) brauchen. Nötig wird dieser nach BDSG neu, sobald mehr als zehn Personen regelmäßig mit personenrelevanten Daten arbeiten. Eine regelmäßige personenrelevante Datenverarbeitung stellt dabei schon die tägliche Nutzung eines E-Mail-Programms wie Outlook dar. Näheres zur Rolle des DSB findet sich auf der Seite der Gesellschaft für Datenschutz und Datensicherheit e.V. Auch die Nutzung eines DSB »as-a-Service« ist zulässig, enthebt Sie beziehungsweise Ihr Unternehmen jedoch nicht der Verantwortung.
- Richten Sie ein Datenschutz-Management-System ein. Dazu können Sie spezielle Tools nutzen oder eigene Prozesse mittels der üblichen Office-Programme aufsetzen. Anbieter wie Neupart, Crisam (modulare Lösung), OneTrust (webbasiert) oder Otris (deutscher Anbieter) verfolgen verschiedene Ansätze. Beim Einsatz eines Datenschutz-Management-Systems unterstützt es Sie bei der Erfassung ihrer Business-Prozesse und sonstigen Verarbeitungstätigkeiten. Außerdem bestimmen Sie damit, welche personenbezogenen Daten Sie in diesen verarbeiten, welche Informationsobjekte vorhanden sind, welche IT-Systeme genutzt werden, und wohin die personenbezogenen Daten übertragen werden, so etwa zu einem Auftragsdatenverarbeiter außerhalb der EU. Das Verzeichnis der Verarbeitungstätigkeiten bringt die nötige Transparenz um festzustellen, welche Verarbeitungstätigkeiten anzupassen sind um gesetzeskonform gegenüber der Datenschutzgrundverordnung zu sein. Im Übrigen stellt das Fehlen des Verzeichnisses der Verarbeitungstätigkeiten lediglich einen kleinen Verstoß dar, welcher mit bis zu zwei Prozent des weltweiten Vorjahresumsatzes der Konzerngruppe oder mit bis zu zehn Millionen Euro geahndet wird. Vorlage für ein Verzeichnis der Verarbeitungstätigkeiten bietet die GDD e.V. oder für kleine Unternehmen (Handwerksbetriebe, Vereine, Arztpraxen etc.) das Bayerisches Landesamt für Datenschutzaufsicht.
- Fokussieren Sie auf die Verarbeitungstätigkeiten mit Außenwirkung. Dies betrifft alle Stellen mit Kundenkontakt, wie den Newsletter, Formulare oder Kommentarfelder, Kontakt mir Bewerbern, Interessenten usw. Haben Sie aber auch in jedem Fall ein Augenmerk auf Verarbeitungstätigkeiten welche besonderen Kategorien von personenbezogenen Daten verarbeiten, wie es gerade im HR-Bereich vorkommt. Unter besondere Kategorien von personenbezogenen Daten fallen unter anderem Daten wie Zugehörigkeit zu Religionsgruppen, mentale oder körperliche Beeinträchtigungen etc. (Artikel 9 DSGVO). Artikel 13 und 14 der DSGVO legen die Informationspflichten gegenüber den Betroffenen fest und damit auch die Aufklärung gegenüber dem Betroffenen, was mit seinen personenbezogenen Daten passiert und welche Rechte er gegenüber Ihrem Unternehmen hat. Im Übrigen, bei nicht Einhaltung dieser Informationspflichten handelt es sich um einen großen Verstoß, welcher mit bis zu vier Prozent des weltweiten Vorjahresumsatzes der Konzerngruppe oder mit bis zu 20 Millionen Euro geahndet wird. Mit dieser Kenntnis der Daten und ihrer Verwendung prüfen Sie dann ihre Verarbeitungstätigkeiten auf die Wahrung der Betroffenenrechte. Wenn Sie Ihre Verarbeitungstätigkeiten bereits vorab dokumentiert haben, sparen Sie hier Zeit. Ihre Website ist von diesem Prozess nur zu einem bestimmten Maß betroffen: hier greift allerdings ab etwa 2019 die neue ePrivacy-Verordnung, daher sollten Sie die Verordnung gleich mit implementieren. Die Aktualität Ihrer Datenschutzerklärung sollten Sie jedoch sicherstellen.
- Sichern Sie die Verarbeitungstätigkeiten, bei denen die Verarbeitung von Daten durch Dritte geschieht. Dies könnte etwa bei Anbietern von CRM-Services der Fall sein. Vorlagen für die »Auftragsdatenverarbeitung« bietet einmal mehr die Gesellschaft für Datenschutz und Datensicherheit e.V.
Offene Fragen
Was ist mit Österreich und der Schweiz?
Österreich und alle anderen Länder der EU sind von der DSGVO genauso betroffen. Die Schweiz muss (wie andere Nicht-EU-Länder, die dem EWR angehören, auch) belegen, dass ihre Datenschutzgesetze beziehungsweise ihr Datenschutzniveau dem in der EU mindestens entspricht, damit sie von der EU einen Angemessenheitsbeschluss erhält. Deswegen wurde das Schweizer Datenschutzgesetz einer totalen Revision unterzogen und übernimmt weite Teile der GDPR. Diese »Kleine GDPR« erfüllt zukünftig die Forderung des gleichen Datenschutzniveaus. Darüber hinaus gelten die Regeln der DSGVO für alle Unternehmen, die Waren oder Dienstleistungen in der EU anbieten, oder personenbezogene Daten von in der EU befindlichen Personen zum Zwecke der Verhaltensanalyse verarbeiten.
Muss ich ein Portal für die Dateninhaber/Betroffenen einrichten?
Nicht zwingend – die Form, in der Sie den Betroffenenrechte der DSGVO nachkommen, ist nicht festgelegt – per Portal, auf Nachfrage oder wie auch immer Sie es gestalten wollen. Es ist ausreichend, wenn der Kunde/Betroffene bei jeder Einwilligung über die Kontaktdaten des DSB oder Datenschutzkoordinators informiert wird. Allerdings hilft ein Portal bei der Verarbeitung der Anfragen seitens der Kunden.
Zu guter Letzt noch ein kleines Trostpflaster für alle, die sich mit der DSGVO bisher nicht beschäftigt haben, und denen jetzt der Abmahnanwalt droht. Der 25. Mai 2018 ist ein Freitag – und vor Montag, den 28. geht kein Schreiben raus. Sie haben also drei Tage gewonnen, um die fünf Last-Minute-Tipps zur DSGVO umzusetzen.
Christian Golz, Senior Consultant & Datenschutzbeauftragter beim IT-Dienstleister Trivadis
Quellen für hilfreiche Materialien:
https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo
https://www.lda.bayern.de/de/infoblaetter.html
https://www.datenschutz-praxis.de/praxishilfen/filter/dsgvo-papiere/
https://www.datenschutz-praxis.de/praxishilfen/filter/checklisten/
DSGVO: Tipps für die Vorbereitung
Vor der Verabschiedung der neuen Datenschutzbestimmungen für die EU wurde viel diskutiert. Zuletzt war es eher ruhig um die DSGVO. Jetzt droht Hektik aufzukommen, denn ab 25. Mai gilt die Verordnung EU-weit. Christian Zöhrlaut, Director Products Central Europe bei Sage, gibt Tipps, worauf Unternehmen achten sollten, um sich und ihre Abläufe rechtzeitig auf die neue Rechtslage einzustellen.
Sicher ist: ab 25. Mai 2018 gilt die Datenschutzgrundverordnung der Europäischen Union (DSGVO). Sicher ist auch, dass viele Unternehmen noch nicht darauf vorbereitet sind. Beispielsweise stellte der Digitalverband Bitkom noch im September 2017 bei einer Umfrage fest, dass gerade einmal 13 Prozent der Unternehmen entsprechende Maßnahmen eingeleitet haben. Sicher ist schließlich ebenfalls, dass Unkenntnis der neuen Bestimmungen nicht vor Sanktionen schützt. Und die fallen künftig drastisch höher aus als bislang: Bis zu vier Prozent vom Jahreseinkommen oder 20 Millionen Euro kann ein Verstoß gegen das Datenschutzrecht künftig kosten.
Was also ist zu tun? Bei der Antwort auf diese Frage sind sich die meisten Unternehmen und ihre Entscheider alles andere als sicher. Grund genug für Sage, nicht nur ihre Softwareprodukte und Cloud-Services DSGVO-bereit zu gestalten, sondern auch eine Sammlung von Checklisten, Leitfäden und weiterführenden Informationen zum Thema bereitzustellen [1]. Die folgenden Tipps für den Umgang mit der DSGVO basieren auf diesem Informationspool und geben eine erste Orientierung:
- Datenschutz ist Chefsache
Datenschutz liegt in vielen Unternehmen in den Händen der IT. Je nach Art und Größe des Unternehmens gibt es außerdem einen speziellen Datenschutzbeauftragten. Doch wer im Zuge der Umstellung auf die DSGVO wofür verantwortlich ist, weiß häufig niemand genau. Die Verantwortung wird wie ein Schwarzer Peter herumgereicht. Das Problem dabei: Im Falle einer Datenschutzverletzung in einem kleinen Teil eines Unternehmens muss sich das betroffene Unternehmen insgesamt verantworten. Ergreifen Sie deshalb jetzt die Initiative: Steuern Sie die Maßnahmen zur Anwendung der DSGVO in Ihrem Unternehmen selbst. - Team zur Umsetzung der DSGVO zusammenstellen
Datenschutz betrifft alle, die mit personenbezogenen Daten arbeiten. Holen Sie deshalb Führungskräfte aus den Abteilungen IT, Personal (HR), Marketing und Vertrieb sowie Finanz- und Rechnungswesen ins Team. - Informieren Sie sich gründlich
Im Zeitalter der Digitalisierung ist Datenschutz eine strategische Aufgabe, um eines der wichtigsten Unternehmens-Assets zu sichern: Die Daten Ihrer Kunden. Aber was bedeutet eigentlich Datenschutz? Was sind personenbezogene Daten und wann dürfen sie verarbeitet werden? Wie wirken sich die Grundsätze der Zweckbindung, Transparenz, Datenminimierung und Richtigkeit in der Praxis aus? Nehmen Sie sich Zeit, die neuen Vorschriften und ihre Folgen zu verstehen. Alles Wissenswerte zum Thema DSGVO finden Sie beispielsweise in E-Books zum Thema [2]. - Analysieren Sie den Status Quo
Die DSGVO verlangt eine Datenschutzorganisation für den gesamten Lebenszyklus personenbezogener Daten. Das Ziel: Datenschutzverletzung von vornherein vermeiden. Das erfordert technische und organisatorische Maßnahmen auf dem Stand der aktuell verfügbaren Technik. Von der Konzeption bis zur Überwachung sind alle Prozesse jeweils »State of the Art« zu gestalten. Dazu gehören alle bisherigen Abläufe in den datenverarbeitenden Abteilungen auf den Prüfstand:
– Technisch
– Organisatorisch
– Personell
- Straffes Projektmanagement einführen
Erstellen Sie einen Fahrplan zur Umsetzung der DSGVO in Ihrem Unternehmen. Verteilen Sie die anstehenden Aufgaben. Beispielsweise sind viele Verträge zu überarbeiten: Auftragsdatenverarbeitung, Allgemeine Geschäftsbedingungen, Betriebsvereinbarungen und Arbeitsverträge. Außerdem müssen Mitarbeiter im korrekten Umgang mit personenbezogenen Daten geschult werden. Überprüfen Sie die Fortschritte regelmäßig und zeitnah. Der Stichtag 25. Mai 2018 lässt keinen Spielraum für Verzögerungen. Suchen Sie Unterstützung bei der Vorbereitung auf die DSGVO mit rollenspezifischen Checklisten für Geschäftsführer, HR-Verantwortliche und Buchhaltung. - Dokumentieren Sie ausführlich
Dokumentieren Sie Ihre bestehenden Datenschutzmaßnahmen und halten Sie fest, welche neuen technischen und organisatorischen Maßnahmen Ihr Unternehmen ergriffen hat. Neben der Änderung der Datenschutzerklärung sowie der Einwilligungserklärungen gehören dazu unter anderem klar definierte Prozesse für
– den Widerruf einer Einwilligung,
– Korrekturen und Löschbegehren (Recht auf vergessen werden) und
– Reaktion bei einer Datenschutzverletzung.
- Entlasten Sie Ihre IT
Unternehmenssoftware in Buchhaltung und Personalwesen verarbeitet täglich eine Unmenge an personenbezogenen Daten. Die dafür nötigen Sicherheitsstandards einzuhalten, wird in einer zunehmend vernetzten Welt immer schwieriger für die IT-Abteilung. IT-Sicherheitsexperten sind für Anwenderunternehmen infolge des Fachkräftemangels kaum noch zu finden. Aber auch der physische Schutz der Rechnersysteme erfordert einen Aufwand, der von mittelständischen Firmen wirtschaftlich kaum zu leisten ist. Cloud-Dienstleister verfügen sowohl über das erforderliche Know-how, als auch über zertifizierte Rechenzentren, die alle Anforderungen der DSGVO erfüllen. Darüber hinaus profitieren Anwender von Cloud-Services von kurzen Bereitstellungszeiten ohne hohe Anfangsinvestitionen. Und während sich der Cloud-Dienstleister um den Betrieb der Systeme kümmert, haben Ihre Mitarbeiter Zeit, Prozesse für Datenzugang und -verarbeitung mit Rollen und Rechten zu definieren und umzusetzen.
[1] https://blog.sage.de/digitaletrends/eu-dsgvo/
[2] https://blog.sage.de/digitaletrends/eu-dsgvo/dsgvo-die-grundprinzipien-der-europaeischen-datenschutz-grundverordnung-im-ueberblick/
DSGVO gilt auch für stoffliche Dokumente: Toxische Papiere gefährden Datenschutz
Big Data treibt Nachfrage nach IT-Freelancern – EU-DSGVO erleichtert Projekte