Über­all wird dar­auf hin­ge­wie­sen: am 25. Mai 2018 erlangt die EU-DSGVO Gel­tung. Wäh­rend eini­ge Unter­neh­men bereits in Panik gera­ten, neh­men ande­re die The­ma­tik auf die leich­te Schul­ter. So viel ist klar: wenn die gesetz­li­chen Vor­ga­ben der DSGVO nicht ein­ge­hal­ten wer­den, kön­nen alle Ver­ant­wort­li­chen – nicht nur die Geschäfts­füh­rer und ITler – per­sön­lich zur Haf­tung her­an­ge­zo­gen wer­den. Die ange­droh­ten Stra­fen sind dra­ko­nisch! Grund genug, das The­ma in allen Abtei­lun­gen des Unter­neh­mens ernst zu neh­men! Vogel Strauß ist jetzt ein schlech­ter Rat­ge­ber. Wir zei­gen Ihnen 7 häu­fi­ge Denk­feh­ler zur neu­en Daten­schutz­grund­ver­ord­nung.  Zusätz­lich haben wir für Sie eine Kurz-Check­lis­te und eine Link-Samm­lung zur wei­ter­ge­hen­den Infor­ma­tio­nen beigefügt.

In Deutsch­land wird der Daten­schutz bereits sehr ernst genom­men. Im Ver­gleich zu ande­ren euro­päi­schen Län­dern haben wir schon stren­ge Rege­lun­gen – und den­noch gibt es eine gan­ze Rei­he neu­er Auf­ga­ben und Verpflichtungen.

Wenn die gesetz­li­chen Vor­ga­ben der DSGVO nicht ein­ge­hal­ten wer­den, kön­nen alle Ver­ant­wort­li­chen – nicht nur die Geschäfts­füh­rer – per­sön­lich zur Haf­tung her­an­ge­zo­gen werden.

7 Irrtümer zur DSGVO

Nach­fol­gend fin­den Sie eine Zusam­men­stel­lung von 7 häu­fi­gen Irr­tü­mern zur DSGO. Es gibt jedoch noch eini­ge mehr…

1.   Wir verarbeiten doch gar keine personenbezogenen Daten. Wir verkaufen [setzen Sie hier Ihr Produkt ein].

So ein­fach ist es nicht. Denn Sie spei­chern doch die Daten Ihrer Mit­ar­bei­ter, oder? Und Sie haben eine Kun­den-Daten­bank! Außer­dem lesen/schreiben Sie E‑Mails an Per­so­nen. Der Ein­kauf pflegt sei­ne Ansprech­part­ner. Und das Kon­takt­for­mu­lar im Inter­net wird von Men­schen aus­ge­füllt. Auf Ihrem Betriebs­hof wer­den Per­so­nen von der Video­über­wa­chung erfasst. Allein schon die­se Bei­spie­le ver­deut­li­chen: JEDES Unter­neh­men ver­ar­bei­tet per­so­nen­be­zo­ge­ne Daten und muss die DSGVO erfüllen.

2.   Nerven behalten. Nichts wird so heiß gegessen wie es gekocht wird!

Die Auf­sichts­be­hör­den las­sen nicht erken­nen, dass sie erst­mal kei­ne Buß­gel­der ver­hän­gen wür­den. Im Gegen­teil: der Arti­kel 83 scheibt vor: “Geld­bu­ßen müs­sen in jedem Ein­zel­fall wirk­sam und abschre­ckend” sein.

3.   Nach dem 25.05.2018 gibt es doch erstmal eine Übergangsfrist, damit wir uns vorbereiten können.

Nein, die Frist läuft bereits seit Mai 2016. Inso­fern müs­sen alle Pflich­ten der DSGVO bis zum 25.05.2018 erfüllt sein. Es gibt kei­nen Grund zur Annah­me, dass uns Brüs­sel eine wei­te­re Über­gang­frist gewäh­ren würde.

4.   Die Verordnung ist nur für große Unternehmen geschaffen. Unser Unternehmen ist dafür zu klein.

Es gibt kei­ne Unter­neh­mens-Min­dest­grö­ße für den Daten­schutz. Auch ein Ein-Mann-Unter­neh­men muss die DSGVO in vol­lem Umfang erfül­len. Wenn sich eine betrof­fe­ne Per­son über Ihr Unter­neh­men beschwert, dann MUSS die Auf­sichts­be­hör­de dem nach­ge­hen. Da gibt es kei­nen Bonus für klei­ne Unter­neh­men. Dar­über hin­aus inter­es­sie­ren sich ver­är­ger­te Per­so­nen nicht für Ihre Unter­neh­mens­grö­ße, wenn es dar­um geht, dass Sie Scha­den­er­satz zah­len sollen.

5.   Wir betreiben bereits aktiv Datenschutz. Beispielsweise machen wir Backups.

Dies ist ein häu­fi­ger Ein­wand… ehr­lich! Daten­schutz ist aller­dings nicht gleich­zu­set­zen mit IT-Sicher­heit. Der Daten­schutz ist zu min­des­tens 75% eine juris­ti­sche und orga­ni­sa­to­ri­sche Her­aus­for­de­rung. Die obi­ge “Back­up-Argu­men­ta­ti­on” zeigt, dass der Daten­schutz in sei­nem Kern noch nicht ver­stan­den wur­de. Es geht um PERSÖNLICHKEITSRECHTE, um RISIKEN, um COMPLIANCE und um Plan-Do-Check-Act-Zyklen.

6.   Das ist alles viel zu viel. Da blicke ich nicht durch. Das sitze ich aus.

Eine ver­ständ­li­che Reak­ti­on. Das alte BDSG hat­te (für die Pri­vat­wirt­schaft) einen Umfang von ca. 26 Sei­ten, und nun stür­zen 85 Sei­ten an neu­em Ver­ord­nungs- und Geset­zes­text auf Sie ein. Ange­sichts die­ser Kom­ple­xi­tät über­springt so man­cher Leser die Pha­se der Panik und ver­fällt sofort in eine Lethar­gie. Aber das ist kei­ne Lösung.

7.   Das wird viel zu teuer. Das kann ich mir nicht leisten.

Ja in der Tat: Die Umset­zung von DSGVO und BDSG-neu macht viel Arbeit. Es gilt viel zu durch­den­ken, zu pla­nen, zu han­deln und zu doku­men­tie­ren. Büro­kra­tie pur. Aber was ist die Alter­na­ti­ve? Sie kön­nen doch nicht tau­sen­de Euro an Rück­la­gen bil­den, um even­tu­el­le Buß­gel­der zu zah­len. Abge­se­hen davon: Ein gezahl­tes Buß­geld ent­bin­det Sie nicht von die­sen büro­kra­ti­schen Arbei­ten; denn auch in die­sem Fall wer­den Sie anschlie­ßend die Ein­hal­tung des Daten­schut­zes nach­wei­sen müssen.

DSGVO-Checkliste für Eilige

Was ist die DSGVO und wieso ist sie mein Problem?

Die DSGVO ist eine neue EU-Ver­ord­nung, die den Daten­schutz in der Euro­päi­schen Uni­on ein­heit­lich regelt. Sie ist seit dem 25. Mai 2016 in Kraft. Seit­her haben alle, die im Busi­ness Daten ver­ar­bei­ten, zwei Jah­re – also bis zum 25. Mai 2018 – Zeit, sie umzusetzen.

Die DSGVO gilt für alle Unter­neh­men inner­halb der EU und für alle, die per­so­nen­be­zo­ge­ne Daten von EU-Bür­gern ver­ar­bei­ten. Wer sich in Zukunft nicht dar­an hält, dem dro­hen Abmah­nun­gen und saf­ti­ge Buß­gel­der: Gemäß DSGVO kön­nen die­se bis zu 20 Mil­lio­nen Euro oder vier Pro­zent des welt­wei­ten Jah­res­um­sat­zes betragen.

Kopplungsverbot

Unter­neh­men dür­fen vom Kun­den nur Daten for­dern, die dafür not­wen­dig sind, eine bestimm­te Dienst­leis­tung zu erbrin­gen – Daten die dafür nicht not­wen­dig sind, dür­fen sie auch nicht ver­lan­gen. Ein Bei­spiel: Für das Ver­sen­den eines News­let­ters wird ledig­lich die Email­adres­se des Emp­fän­gers benö­tigt, des­halb darf die Anga­be des Namens bei der Bestel­lung eines News­let­ters kein Pflicht­feld sein.

Verzeichnis von Verarbeitungstätigkeiten

Im Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten müs­sen Sie alle per­so­nen­be­zo­ge­nen Daten, die Sie ver­ar­bei­ten oder spei­chern, auflisten.

Datenschutz-Folgenabschätzung (DSFA)

Sol­len beson­ders sen­si­ble Daten (zum Bei­spiel Anga­ben über poli­ti­sche Mei­nun­gen, welt­an­schau­li­che Über­zeu­gun­gen oder per­sön­li­che Aspek­te von Per­so­nen auf der Grund­la­ge auto­ma­ti­sier­ter Daten­ver­ar­bei­tung) ver­ar­bei­tet wer­den, müs­sen die Fol­gen und Risi­ken die­ser Ver­ar­bei­tung abge­schätzt werden.

Mehr Informationspflichten

Die betrof­fe­nen Per­so­nen müs­sen ab sofort umfang­rei­cher als bis­her dar­über infor­miert wer­den, wann, wie, wer, wo ihre Daten spei­chert und wel­che Rech­te sie dies­be­züg­lich haben.

Recht auf Vergessenwerden (Recht auf Löschung)

Betrof­fe­ne haben das soge­nann­te Recht auf Ver­ges­sen­wer­den ihrer Daten, unter ande­rem dann, wenn deren Spei­che­rung nicht mehr not­wen­dig ist oder sie ihre Ein­wil­li­gung wider­ru­fen haben.

Recht auf Datenübertragbarkeit

Betrof­fe­ne haben das Recht, dass ihre Daten ohne Ver­zö­ge­rung an eine ande­re Stel­le über­mit­telt wer­den. Unter­neh­men müs­sen daher die tech­ni­schen Vor­aus­set­zun­gen schaf­fen, damit Daten­sät­ze por­ta­bel sind.

Rechenschaftspflicht

Auf Auf­for­de­rung einer Auf­sichts­be­hör­de müs­sen Daten­ver­ant­wort­li­che nach­wei­sen kön­nen, dass sie alle Daten­schutz­re­geln einhalten.

Weiterführende Links

privacy-regulation.eu oder dsgvo-gesetz.de/

Die EU Daten­schutz-Grund­ver­ord­nung 2016/679 (DSGVO) wird ab dem 25.05.2018 wirk­sam sein. Lei­der stellt Brüs­sel die 99 Arti­kel und 173 Erwä­gungs­grün­de nicht über­sicht­lich zur Ver­fü­gung. Die­se Lücke wird hier gefüllt (mit Inhalts­ver­zeich­nis, Quer­ver­wei­sen, Her­vor­he­bun­gen, Kor­rek­tu­ren und Dossier-Funktion).

exali.de DSGVO: Alle wich­ti­gen Infos auf einen Blick

Digi­fant-de:   Sind Sie fit für die DSGO?

Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht Online-Test zur Selbsteinschätzung

Info-Gra­fik des Händ­ler­bunds: ein paar Sta­tis­ti­ken zur DSGVO

Ver­brau­cher wol­len Kon­trol­le über ihre Daten Kon­su­men­ten­stu­die des Versicherungsmagazins