Überall wird darauf hingewiesen: am 25. Mai 2018 erlangt die EU-DSGVO Geltung. Während einige Unternehmen bereits in Panik geraten, nehmen andere die Thematik auf die leichte Schulter. So viel ist klar: wenn die gesetzlichen Vorgaben der DSGVO nicht eingehalten werden, können alle Verantwortlichen – nicht nur die Geschäftsführer und ITler – persönlich zur Haftung herangezogen werden. Die angedrohten Strafen sind drakonisch! Grund genug, das Thema in allen Abteilungen des Unternehmens ernst zu nehmen! Vogel Strauß ist jetzt ein schlechter Ratgeber. Wir zeigen Ihnen 7 häufige Denkfehler zur neuen Datenschutzgrundverordnung. Zusätzlich haben wir für Sie eine Kurz-Checkliste und eine Link-Sammlung zur weitergehenden Informationen beigefügt.
In Deutschland wird der Datenschutz bereits sehr ernst genommen. Im Vergleich zu anderen europäischen Ländern haben wir schon strenge Regelungen – und dennoch gibt es eine ganze Reihe neuer Aufgaben und Verpflichtungen.
Wenn die gesetzlichen Vorgaben der DSGVO nicht eingehalten werden, können alle Verantwortlichen – nicht nur die Geschäftsführer – persönlich zur Haftung herangezogen werden.
7 Irrtümer zur DSGVO
Nachfolgend finden Sie eine Zusammenstellung von 7 häufigen Irrtümern zur DSGO. Es gibt jedoch noch einige mehr…
1. Wir verarbeiten doch gar keine personenbezogenen Daten. Wir verkaufen [setzen Sie hier Ihr Produkt ein].
So einfach ist es nicht. Denn Sie speichern doch die Daten Ihrer Mitarbeiter, oder? Und Sie haben eine Kunden-Datenbank! Außerdem lesen/schreiben Sie E‑Mails an Personen. Der Einkauf pflegt seine Ansprechpartner. Und das Kontaktformular im Internet wird von Menschen ausgefüllt. Auf Ihrem Betriebshof werden Personen von der Videoüberwachung erfasst. Allein schon diese Beispiele verdeutlichen: JEDES Unternehmen verarbeitet personenbezogene Daten und muss die DSGVO erfüllen.
2. Nerven behalten. Nichts wird so heiß gegessen wie es gekocht wird!
Die Aufsichtsbehörden lassen nicht erkennen, dass sie erstmal keine Bußgelder verhängen würden. Im Gegenteil: der Artikel 83 scheibt vor: “Geldbußen müssen in jedem Einzelfall wirksam und abschreckend” sein.
3. Nach dem 25.05.2018 gibt es doch erstmal eine Übergangsfrist, damit wir uns vorbereiten können.
Nein, die Frist läuft bereits seit Mai 2016. Insofern müssen alle Pflichten der DSGVO bis zum 25.05.2018 erfüllt sein. Es gibt keinen Grund zur Annahme, dass uns Brüssel eine weitere Übergangfrist gewähren würde.
4. Die Verordnung ist nur für große Unternehmen geschaffen. Unser Unternehmen ist dafür zu klein.
Es gibt keine Unternehmens-Mindestgröße für den Datenschutz. Auch ein Ein-Mann-Unternehmen muss die DSGVO in vollem Umfang erfüllen. Wenn sich eine betroffene Person über Ihr Unternehmen beschwert, dann MUSS die Aufsichtsbehörde dem nachgehen. Da gibt es keinen Bonus für kleine Unternehmen. Darüber hinaus interessieren sich verärgerte Personen nicht für Ihre Unternehmensgröße, wenn es darum geht, dass Sie Schadenersatz zahlen sollen.
5. Wir betreiben bereits aktiv Datenschutz. Beispielsweise machen wir Backups.
Dies ist ein häufiger Einwand… ehrlich! Datenschutz ist allerdings nicht gleichzusetzen mit IT-Sicherheit. Der Datenschutz ist zu mindestens 75% eine juristische und organisatorische Herausforderung. Die obige “Backup-Argumentation” zeigt, dass der Datenschutz in seinem Kern noch nicht verstanden wurde. Es geht um PERSÖNLICHKEITSRECHTE, um RISIKEN, um COMPLIANCE und um Plan-Do-Check-Act-Zyklen.
6. Das ist alles viel zu viel. Da blicke ich nicht durch. Das sitze ich aus.
Eine verständliche Reaktion. Das alte BDSG hatte (für die Privatwirtschaft) einen Umfang von ca. 26 Seiten, und nun stürzen 85 Seiten an neuem Verordnungs- und Gesetzestext auf Sie ein. Angesichts dieser Komplexität überspringt so mancher Leser die Phase der Panik und verfällt sofort in eine Lethargie. Aber das ist keine Lösung.
7. Das wird viel zu teuer. Das kann ich mir nicht leisten.
Ja in der Tat: Die Umsetzung von DSGVO und BDSG-neu macht viel Arbeit. Es gilt viel zu durchdenken, zu planen, zu handeln und zu dokumentieren. Bürokratie pur. Aber was ist die Alternative? Sie können doch nicht tausende Euro an Rücklagen bilden, um eventuelle Bußgelder zu zahlen. Abgesehen davon: Ein gezahltes Bußgeld entbindet Sie nicht von diesen bürokratischen Arbeiten; denn auch in diesem Fall werden Sie anschließend die Einhaltung des Datenschutzes nachweisen müssen.
DSGVO-Checkliste für Eilige
Was ist die DSGVO und wieso ist sie mein Problem?
Die DSGVO ist eine neue EU-Verordnung, die den Datenschutz in der Europäischen Union einheitlich regelt. Sie ist seit dem 25. Mai 2016 in Kraft. Seither haben alle, die im Business Daten verarbeiten, zwei Jahre – also bis zum 25. Mai 2018 – Zeit, sie umzusetzen.
Die DSGVO gilt für alle Unternehmen innerhalb der EU und für alle, die personenbezogene Daten von EU-Bürgern verarbeiten. Wer sich in Zukunft nicht daran hält, dem drohen Abmahnungen und saftige Bußgelder: Gemäß DSGVO können diese bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen.
Kopplungsverbot
Unternehmen dürfen vom Kunden nur Daten fordern, die dafür notwendig sind, eine bestimmte Dienstleistung zu erbringen – Daten die dafür nicht notwendig sind, dürfen sie auch nicht verlangen. Ein Beispiel: Für das Versenden eines Newsletters wird lediglich die Emailadresse des Empfängers benötigt, deshalb darf die Angabe des Namens bei der Bestellung eines Newsletters kein Pflichtfeld sein.
Verzeichnis von Verarbeitungstätigkeiten
Im Verzeichnis von Verarbeitungstätigkeiten müssen Sie alle personenbezogenen Daten, die Sie verarbeiten oder speichern, auflisten.
Datenschutz-Folgenabschätzung (DSFA)
Sollen besonders sensible Daten (zum Beispiel Angaben über politische Meinungen, weltanschauliche Überzeugungen oder persönliche Aspekte von Personen auf der Grundlage automatisierter Datenverarbeitung) verarbeitet werden, müssen die Folgen und Risiken dieser Verarbeitung abgeschätzt werden.
Mehr Informationspflichten
Die betroffenen Personen müssen ab sofort umfangreicher als bisher darüber informiert werden, wann, wie, wer, wo ihre Daten speichert und welche Rechte sie diesbezüglich haben.
Recht auf Vergessenwerden (Recht auf Löschung)
Betroffene haben das sogenannte Recht auf Vergessenwerden ihrer Daten, unter anderem dann, wenn deren Speicherung nicht mehr notwendig ist oder sie ihre Einwilligung widerrufen haben.
Recht auf Datenübertragbarkeit
Betroffene haben das Recht, dass ihre Daten ohne Verzögerung an eine andere Stelle übermittelt werden. Unternehmen müssen daher die technischen Voraussetzungen schaffen, damit Datensätze portabel sind.
Rechenschaftspflicht
Auf Aufforderung einer Aufsichtsbehörde müssen Datenverantwortliche nachweisen können, dass sie alle Datenschutzregeln einhalten.
Weiterführende Links
privacy-regulation.eu oder dsgvo-gesetz.de/
Die EU Datenschutz-Grundverordnung 2016/679 (DSGVO) wird ab dem 25.05.2018 wirksam sein. Leider stellt Brüssel die 99 Artikel und 173 Erwägungsgründe nicht übersichtlich zur Verfügung. Diese Lücke wird hier gefüllt (mit Inhaltsverzeichnis, Querverweisen, Hervorhebungen, Korrekturen und Dossier-Funktion).
exali.de DSGVO: Alle wichtigen Infos auf einen Blick
Digifant-de: Sind Sie fit für die DSGO?
Bayerisches Landesamt für Datenschutzaufsicht Online-Test zur Selbsteinschätzung
Info-Grafik des Händlerbunds: ein paar Statistiken zur DSGVO
Verbraucher wollen Kontrolle über ihre Daten Konsumentenstudie des Versicherungsmagazins
- SWOT-Analyse: Ein Leitfaden zur strategischen Unternehmensentwicklung – 30. Mai 2024
- Ransomware – Seuche der Neuzeit – 9. Februar 2024
- Working-Capital-Management – 6. November 2023
