Datenschutz in Deutschland – das sollten Sie wissen
Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (EU-DSGVO). Das bisherige Bundesdatenschutzgesetz (BDSG) tritt damit außer Kraft, was für den Datenschutz in Deutschland einige Änderungen mit sich bringt.
In Zeiten von Paperless Workflow, Automatisierung von Prozessen und einem wachsenden Sicherheitsbedürfnis auf Kundenseite gewinnt die Position des Datenschutzes im Unternehmen zunehmend an Bedeutung.
Spezielles Datenschutz-Wissen ermöglicht dabei die Kontrolle und Optimierung der Verarbeitung persönlicher Daten in Unternehmen nach aktuellen gesetzlichen Vorgaben, wodurch sich Datendiebstahl und mögliche Imageschäden verhindern lassen.
Die wichtigsten Punkte, warum es für Unternehmen von Bedeutung ist, sich mit dem Thema EU-Datenschutz-Grundverordnung zu beschäftigen:
- Im Mai 2016 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten
- 2018 ersetzt die EU-Datenschutz-Grundverordnung (EU-DSGVO) das Bundesdatenschutzgesetz (BDSG) nach 2-jähriger Übergangsfrist
- Die rechtliche Grundlage Ihrer betrieblichen Datenschutz-Organisation ändert sich
- Bei Verstößen gegen die EU-DSGVO ist mit hohen Strafen zu rechnen
Datenschutz im Unternehmen – aktuelle Entwicklungen
Mit dem Inkrafttreten der EU-DSGVO bleiben die wesentlichen datenschutzrechtlichen Grundprinzipien erhalten. Dennoch gibt es einige Änderungen, die sich im Zuge der Gesetzesumstellung ergeben. Deshalb möchten wir Ihnen aktuelle Themen zum Datenschutz genauer erläutern.
Die Zukunft des Datenschutzes
Interview mit dem Datenschutz-Experten Karsten Schulz
Karsten Schulz: „Überprüfen Sie umgehend alle Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden. Dabei sollte Ihr Hauptaugenmerk auf der Rechtmäßigkeit der Verarbeitung, der Organisation, den Abläufen und den Verarbeitungssystemen liegen. Aus dieser Betrachtung ergibt sich der notwendige Handlungsbedarf. Wie hoch der Aufwand für die Umstellung auf die DSGVO ist, hängt vor allem davon ab, wie gut der Datenschutz bereits heute bei Ihnen verankert ist. Viele Unternehmen haben da leider inakzeptable Defizite. Handeln ist angesagt!“
Karsten Schulz: „Der hat mit hohen Strafen zu rechnen. Verstöße können mit bis zu 20 Millionen Euro oder mit bis zu 4 Prozent des globalen Umsatzes geahndet werden. Bei Rechtsverletzungen haftet übrigens nicht immer das Unternehmen. Durch persönliche Fehler oder Unterlassungen können auch Geschäftsführer oder einzelne Mitarbeiter zur Zielscheibe werden.“
Karsten Schulz: "Es sind strengere Vorgaben und engere Rahmenbedingungen für den Umgang mit personenbezogenen Daten durchgesetzt worden. So muss zum Beispiel die bekannte Vorabkontrolle durch die differenziertere Risiko- und Folgenabschätzung abgelöst werden. Wir erleben zudem straffere Vorgaben bei den Meldepflichten. Vorhandene Abläufe müssen optimiert werden. Auf der anderen Seite ergeben sich für Unternehmen auch neue Freiheiten, da zum Beispiel die Zweckbindung bei der Verarbeitung aufgeweicht wird. Es ist wirtschaftlich wichtig und vorteilhaft, neue Möglichkeiten und Chancen schnell zu erkennen und legitim umzusetzen. Durch die EU-DSGVO ändert sich auch die Situation für unsere nationalen Aufsichtsbehörden und diese werden sich ebenfalls neu ausrichten. Je nachdem, welche Schwerpunkte die Aufsichtsbehörden für ihre künftige Tätigkeit setzen, kommen auf Unternehmen unterschiedliche Prioritäten zu. In der Delta-Schulung "Umstellung auf die EU-Grundverordnung" haben wir die Möglichkeit, aktuelle Entwicklungen zu berücksichtigen."
Karsten Schulz: „Bevor wir über den Datenschutzbeauftragten sprechen, möchte ich mit einem weitverbreiteten Missverständnis aufräumen: Viele Unternehmer und Vereinsvorstände denken, dass die DSGVO für sie nicht gilt. Das ist falsch. Die Grundverordnung ist von jeder geschäftsmäßig tätigen Organisation einzuhalten. Egal ob es sich um ein Kleinunternehmen, um einen Konzern oder um einen gemeinnützigen Verein handelt.“
Karsten Schulz: „Jeder Vorstand, jeder Geschäftsführer, jeder Vereinsvorsitzende und jeder Einzelunternehmer hat die DSGVO in seiner Organisation umzusetzen. Unternehmen, die mehr als 20 Mitarbeiter beschäftigen und personenbezogene Daten verarbeiten, sind verpflichtet, einen Datenschutzbeauftragten zu benennen. Personenbezogene Daten verarbeiten ist übrigens schon beim Versand oder Empfang von E-Mails der Fall.“
Karsten Schulz: „Die DSFA ist ein intensiver Analyseprozess der Datenverarbeitung, um die Risiken für die betroffenen Personen zu ermitteln und zu behandeln. Das Ergebnis dieser Analyse besteht aus detaillierten Angaben zur Verarbeitung und einem Katalog von ermittelten Schutzmaßnahmen. Der Verantwortliche beschreibt unter anderem genau, wie einzelne Verarbeitungsschritte ablaufen und warum sie erforderlich und angemessen sind. Die Aufgabe des DSB ist es, den Verantwortlichen in diesem Prozess zu beraten und dabei die Perspektive der Betroffenen einzunehmen. Zusammenfassend kann man sagen, dass im Unternehmen mindestens zwei Personen die Abläufe einer Folgenabschätzung beherrschen: Ein Mitarbeiter, der die DSFA durchführt, und der DSB, der sie begleitet.“
Karsten Schulz: „In jedem Unternehmen muss es jemanden geben, der sich mit dem Datenschutz auskennt. Genauso, wie sich irgendjemand mit der Buchhaltung oder mit Steuerfragen auskennen muss. Es ist die Entscheidung des Unternehmers, ob er einen Angestellten mit diesen Aufgaben betraut oder ob er einen externen Experten beauftragt. Die gleiche Wahl hat er beim Datenschutz. Bei der Berufsbezeichnung „Datenschutzbeauftragter“ handelt es sich aber nicht um einen geschützten Begriff. Deshalb ist es wichtig, genau zu schauen, wen man da beauftragt. Lassen Sie sich Qualifikationsnachweise und Referenzen zeigen. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD), die Gesellschaft für Datenschutz und Datensicherheit (GDD) und auch der TÜV NORD helfen da zum Beispiel weiter.“
Karsten Schulz: „Ich schlage Unternehmen immer eine Checkliste mit sechs Punkten vor. Dazu gehört es, Projektteams aus verschiedenen organisatorischen Einheiten zu bilden. In der Folge sind klare Projektziele zu definieren und angemessene Budgets einzuplanen. Dann folgt eine gründliche Risikoanalyse der Datenverarbeitungen sowie der Abgleich zwischen Istzustand und Sollzustand. Mitarbeiter sind entsprechend ihrer Zuständigkeit zu schulen.“
Karsten Schulz: „Um mehr Rechtssicherheit zu bekommen, können Geschäftsführer und Vorstände die Datenschutzverarbeitung ihres Unternehmens künftig zertifizieren lassen. Denn sie müssen seit Mai 2018 nachweisen, dass sie die Verpflichtungen aus der Verordnung erfüllen. Das kann künftig im Rahmen einer Zertifizierung geschehen. Diese Möglichkeit sieht die DSGVO ausdrücklich vor.“
Unsere Empfehlungen für Sie
Haben Sie Fragen?
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42
Fax: +49 201 31955-70
mbraunschweig@tuev-nord.de