Am 26. Mai 2018 – an diesem Wochenende vor einem Jahr – wurde die EU-Datenschutzgrundverordnung (DSGVO) wirksam. Sie werden sich vermutlich erinnern: allerorts wurden Schreckgespenster wie Abmahnwellen oder Bußgelder in aberwitziger Millionenhöhe in den schrillsten Farben illustriert. Die Branche der Datenschutz-Dienstleister wurde regelrecht überrannt von einem Heer schlecht qualifizierter Neulinge, die im DSGVO-Rausch verunsicherten Kunden überteuerte und oft unsinnige Leistungen verkauften. Für Verantwortliche in Organisationen aller Größen und Ausrichtungen war erhebliche Rechtsunsicherheit entstanden, da sie sich von der Politik nicht im Mindesten auf die neuen Anforderungen vorbereitet fühlten.
Neue Anforderungen, Rechtsunsicherheit bei Verantwortlichen und absurde Schlagzeilen
Ergänzt wurde die Situation durch absurde Schlagzeilen wie geschwärzte Fotos aus Kindertagesstätten, das Verbot, Namen auf Klingelschilder zu schreiben oder die Verunsicherung bei Live-Übertragungen von Gottesdiensten ins Internet. Kurz: Für den „normalen Menschen“ entstand erhebliche Rechtsunsicherheit und ein immenses Stresspotenzial. Verantwortliche in Organisationen aller Größen und Ausrichtungen waren völlig verunsichert, da sie sich von der Politik nicht im Mindesten auf die neuen Anforderungen vorbereitet fühlten.
Doch was ist von der Verunsicherung geblieben, die im Rahmen der DSGVO entstanden ist?
Zunächst eine positive Nachricht: die weithin befürchtete Abmahnwelle ist tatsächlich ausgeblieben. Die deutschen Aufsichtsbehörden haben im ersten Jahr der DSGVO Bußgelder von 500.000 EUR ausgesprochen, gehen dabei aber mit erfreulichem Augenmaß vor. So wurde berücksichtigt, dass gerade kleine Organisationen nicht ausreichend auf die neuen Anforderungen vorbereitet waren. Allerdings ist auch klar: Die Schonzeit ist jetzt vorbei. Jeder Verantwortliche hatte mittlerweile hinreichend Zeit, die Anforderungen kennenzulernen und umzusetzen. Es gibt somit keinen hinreichenden Grund mehr, nicht DSGVO-konform zu arbeiten.
Die Schonzeit ist jetzt vorbei.
Bußgelder von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen EUR (der höhere Wert ist relevant) sind in der Verordnung klar verankert. Art. 83 regelt außerdem, dass Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein müssen.
In diesem Kontext haben die deutschen Aufsichtsbehörden Anfang diesen Jahres angekündigt, ihre Beratungen aus Kapazitätsgründen zukünftig auf ein Minimum zu beschränken und stattdessen die Einhaltung der gesetzlichen Anforderungen konsequenter zu überwachen und dem entsprechend auch vermehrt Bußgelder auszusprechen. So können beispielsweise gegen Unternehmen, die zur benennung eines Datenschutzbeauftragen rechtlich verpflichtet sind und dieser Verpflichtung nicht nachkommen, gem. Art. 83 DSGVO Geldbußen von bis zu 10 Mio. EUR bzw. 2% des Jahresumsatzes verhängt werden.
Nicht jeder muss einen Datenschutzbeauftragten benennen. Aber jede Organisation muss sich zwingend mit der DSGVO auseinandersetzen und die gesetzlichen Anforderungen umsetzen. Wer das Thema ignoriert befindet sich im Bußgeldrisiko.
Doch die Umsetzung der Datenschutz-Anforderungen in der Organisation hat oft viele weitere positive Effekte. In unserer Beratungspraxis stellen wir fest, dass viele Kunden zwar zunächst die Aufwände scheuen, die mit dem Datenschutz verbunden sein können. Diese Einstellung ändert sich in der Regel recht schnell, wenn klar wird, wie leicht mit einer strukturierten Anleitung das Thema Datenschutz gehandhabt werden kann und welche Einsparungen sich tatsächlich ergeben können.
Die Arbeit am Datenschutzkonzept einer Organisation birgt durch Klärung von Fehlinformationen oder Missverständnissen oft enorme Verbesserungsmöglichkeiten.
Beispielsweise besteht ein offenbar weit verbreiteter Irrglaube, dass bestimmte Daten 30 Jahre aufbewahrt werden müssen. Hierdurch entstehen teilweise immense Kosten für Lagerung und Archivierung. Bei der Umsetzung der DSGVO-Anforderungen wird dann festgestellt, dass oft das exakte Gegenteil der Fall ist und Daten oft gar nicht so lange aufbewahrt werden dürfen. Somit können Aufwände für Langzeitarchivierung und Lagerung usw. eingespart werden.
10 Punkte, um in der Organisation datenschutzkonform zu arbeiten
- Sie müssen sich mit der DSGVO beschäftigen. Daran führt kein Weg vorbei.
- Prüfen Sie, ob Sie zur Benennung eines Datenschutzbeauftragten verpflichtet sind. Wenn Sie einen Datenschutzbeauftragten benennen, stellen Sie sicher, dass dieser über die Qualifikation und das Fachwissen verfügt, um der Aufgabe gerecht zu werden (Art. 37 DSGVO) und keine Interessenskonflikte vorliegen (Personen mit gleichzeitiger Verantwortung in Geschäftsleitung, Personal oder IT sind als DSB grundsätzlich ungeeignet)
- Erstellen Sie die grundlegenden Pflichtdokumentationen: Verzeichnis von Verarbeitungstätigkeiten, Technische und organisatorische Maßnahmen, usw.
- Definieren Sie Datenschutz-Prozesse: Auskunftsprozess, Notfallprozess bei Datenschutzvorfällen
- Machen Sie sich mit den Grundsätzen der Verarbeitung vertraut (Art. 5 DSGVO).
- Prüfen Sie die Rechtsgrundlagen, bspw. Einwilligungen von Kunden, Partnern, Mitarbeitern zu bestimmten Verarbeitungstätigkeiten (Art. 6 DSGVO).
- Erstellen Sie ein Aufbewahrungskonzept und ein Löschkonzept auf der Basis von Datenarten und -Kategorien
- Erstellen Sie ein Berechtigungskonzept: Wer hat Zugriff auf welche Daten? Wer darf wem worüber Auskunft erteilen?
- Erarbeiten Sie Kommunikations-Richtlinien zur Nutzung von E-Mail, Internet und Social Media, Telefon, Messenger-Diensten. (Ein Hinweis am Rande: WhatsApp ist in der betrieblichen Kommunikation grundsätzlich kritisch zu betrachten – bitte erwägen Sie die Nutzung sicherer Alternativen.)
- Führen Sie die jährliche Datenschutzunterweisung für Mitarbeiter durch.
Datenschutzkonformes Arbeiten ist mit dem richtigen Konzept kein Problem, wenngleich nicht verschwiegen werden darf, dass die Umsetzung eines Datenschutzkonzeptes durchaus einigen Aufwand verursacht.