Die umfangreichen Vorschriften der Datenschutzgrundverordnung (DSGVO) bereiten gerade kleinen und mittleren Unternehmen Umsetzungsschwierigkeiten. Nach einer aktuellen IDC Studie haben 44 Prozent der befragten Organisationen noch keine konkreten Maßnahmen zur Erfüllung der neuen Anforderungen gestartet. Darüber hinaus fehlt vielen immer noch der ganzheitliche Blick auf alle personenbezogenen Daten im Unternehmen. Und 83 Prozent der Befragten beschäftigen bislang noch keinen Datenschutzbeauftragten, der die Einhaltung der DSGVO überwachen soll.
An den Ergebnissen lässt sich ablesen, dass die DSGVO offenkundig nicht von allen Unternehmen gleichermaßen als wichtige Umsetzung in 2018 betrachtet wird. Viele Entscheider sind sich der Tragweite eines Verstoßes demnach noch nicht bewusst. Dabei sind die Bußgelder bei Verfehlungen empfindlich erhöht worden. Die nationalen Datenschutzbehörden können jetzt Bußgelder bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. Euro bei bestimmten Verstößen (z.B. bei Missachtungen gegen die grundlegenden Prinzipien für die Verarbeitung von personenbezogenen Daten, zu denen die Einwilligung der betroffenen Person gehört) erheben.
Die DSGVO soll, besser als bisher, erhobene Daten besser schützen. Das gilt insbesondere für sensible Kundendaten (übrigens auch von Mitarbeitern) wie Namen, Telefonnummern, Adressen, E-Mail-Adressen und Kfz-Kennzeichen oder Fahrgestellnummern, sofern sich darüber die Identität einer natürlichen Person ermitteln lässt. So können grundsätzlich alle Autohändler (auch Kleinunternehmen) von der DSGVO betroffen sein insofern, dass künftig jeder Kunde oder auch Geschäftspartner seine (Datenschutz-) Rechte geltend machen und auf sein Recht auf Auskunft pochen kann, um zu erfahren, welche Daten von ihm gespeichert sind. In dieser Sache müssen alle Unternehmen innerhalb von vier Wochen reagieren.
Überall, wo zur Erledigung von Aufträgen personenbezogene Daten erhoben und gespeichert werden, ist daher künftig noch mehr Sorgfalt gefragt. Unternehmen müssen künftig jederzeit nachweisen können, dass sie verwendete Daten rechtmäßig verarbeiten.
Was ist zu beachten?
Unterrichtungspflicht: Kunden, insbesondere Neukunden, muss einfach, klar und verständlich dargelegt werden: Wofür werden ihre Daten verwendet? Wo und wie lange werden sie gespeichert? An wen werden sie übermittelt? Wie kann der Kunde seine Daten berichtigen, einschränken oder löschen lassen?
Die Dokumentations- und Nachweispflicht für Unternehmen wurde ausgeweitet: Alle personenbezogenen Datenverarbeitungstätigkeiten im Unternehmen müssen sorgfältig dokumentiert und jederzeit auf Verlangen der Datenschutzbehörde vorgelegt werden können. Dazu gehört auch ein Verfahrensverzeichnis: Welche Mitarbeiter oder externen Dienstleister haben in welchem Umfang Zugriff auf die gesammelten Daten?
Eine grundlegende Änderung ist die Einführung der Rechenschaftspflicht: Danach sind Unternehmen dazu verpflichtet, die Einhaltung der DSGVO nachzuweisen.
Hackerangriffe auf Server oder Datenbanken müssen sofort (binnen 72 Stunden) der zuständigen Landesdatenschutzbehörde gemeldet werden. Ebenso sind die potenziell Betroffenen unverzüglich zu informieren.
Auch externe Dienstleister wie beispielsweise E-Mailing-Dienste müssen nach der DSGVO arbeiten. Das muss vom Auftraggeber geprüft werden.
Recht auf Vergessenwerden: Dieses Recht wurde verschärft. Die Fristen zum Löschen personenbezogener Daten müssen unbedingt eingehalten werden.
Das Recht auf Datenportabilität stellt neue Anforderungen an die Praxis beim Umgang mit personenbezogenen Daten. Die DSGVO gibt jeder natürlichen Person das Recht, die sie betreffenden und von ihr bereitgestellten personenbezogenen Daten in einem strukturierten Format zu erhalten oder transferieren zu lassen. Wie dies in der Praxis funktionieren kann, ist teilweise noch unklar.
Nach wie vor müssen Unternehmen, in denen mehr als neun Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen.
Der ganzheitliche Überblick über personenbezogene Daten im Unternehmen fehlt in vielen Betrieben
Datentransparenz ist die Basis für eine sichere Verarbeitung und die Einhaltung der DSGVO. Umso alarmierender, dass 23 Prozent der Befragten der Studie nicht wissen, wo die gewonnenen Daten im Unternehmen gespeichert werden und 27 Prozent können nicht sagen, wer genau Zugriff auf personenbezogene Daten hat.
Es ist also an der Zeit, seine Datenschutzpraxis zu überprüfen und das Datenschutzmanagement bis zum 25. Mai 2018 nach den Vorgaben der DSGVO anzupassen und weiterzuentwickeln.
Unternehmen sollten sich jetzt fragen:
Wie stehen meine aktuellen Maßnahmen (Richtlinien, Prozesse, Dokumentationen) zum neuen Gesetz?
Welche Maßnahmen zur Datensicherung gibt es bereits im Unternehmen?
Verfügt das Unternehmen über einen betrieblichen Datenschutzbeauftragten?
Wie lösche ich Daten DSGVO-konform und protokolliere dies korrekt?
Was passiert mit aufzubewahrenden Daten?
Wurden Mitarbeiter und Lieferanten darüber informiert, wie sie mit datenschutzrechtlich relevanten Informationen im Rahmen der DSGVO umgehen?
Sind die Einwilligungserklärungen für Kunden an die Anforderungen der DSGVO bereits angepasst worden?
Gibt es für jede Verarbeitungstätigkeit Nachweise, um die Rechtmäßigkeit seiner Verarbeitung nachweisen kann?
Ist sichergestellt, dass die Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde möglich ist?
Gibt es bereits ein Verfahren, um Anträgen von betroffenen Personen auf Auskunft zu den über sie gespeicherten Informationen nachkommen zu können?
Die DSGVO verlangt von allen betroffenen Unternehmen, geeignete technische Maßnahmen zur Gewährleistung von Datenschutz und -sicherheit. Aber der Datenschutz in Deutschland war schon immer ein sehr wichtiges Thema und daher für viele Unternehmen nicht neu. Wer als Unternehmen bisher gut aufgestellt war, wird auch mit der Umsetzung der neuen Verordnungen keine großen Probleme haben. Sie müssen nur die bestehenden Richtlinien an die neuen Strukturen anpassen. Für Unternehmen, die bisher den Datenschutz eher auf die leichte Schulter genommen haben, ist es unumgänglich, seine Datenschutzpraxis zu überprüfen und das Datenschutzmanagement bis zum 25. Mai 2018 nach den Vorgaben der DSGVO anzupassen und weiterzuentwickeln.
Die LDB Gruppe hat im Rahmen der neuen Datenschutzverordnung die CXBox bereits jetzt gesetzeskonform aufgestellt. Dies betrifft einerseits die IT-Sicherheit und andererseits das Handling von Datenschutzfällen. Unsere Kunden sind damit bereits auf der sicheren Seite. Weiterhin haben wir die Annahme, Verarbeitung, Aufbereitung und Auswertung von Daten mit unterstützender Softwareentwicklung und IT-Betrieb nach ISO 27001:2013 erfolgreich zertifiziert. Das Zertifikat zeigt, auf welchem hohen Stellenwert die Informationssicherheit unserer Kunden und für unsere Systeme, Daten und interne Prozesse bei uns ist.
Links:
Was Unternehmen jetzt wissen müssen…
10 Mythen zur DSGVO