Datenschutzgrundverordnung: Unternehmern drohen hohe Bußgelder, wenn sie sich nicht ausreichend vorbereiten!

Bis zum 25. Mai 2018 müssen Unternehmen ihre Prozesse an die EU Datenschutzgrundverordnung (DSGVO) und an das neue Bundesdatenschutzgesetz anpassen. Für Unternehmen bedeutet dies  unter Umständen einen immens hohen Arbeitsaufwand. Als Unternehmer sollten Sie diesen Aufwand jedoch nicht scheuen, es drohen Ihnen empfindlich hohe Strafen. Nicht nur für Datenschutz- und IT-Sicherheitsbeauftragte ist es daher wichtig, sich jetzt auf den aktuellen Stand zu bringen, sondern auch für den Unternehmer selbst. Letztlich trägt er die Verantwortung.

 

Datenschutzgrundverordnung – Worum geht es?

 

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Mit der Verordnung wird das Datenschutzrecht EU-weit vereinheitlicht. Die Verordnung regelt unter anderem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Die bereits geltenden Betroffenenrechte werden erweitert und um neue Rechte ergänzt (z.B. um das Recht auf Datenportabilität). Das Recht auf Datenlöschung wird in der Verordnung auch als „Recht auf Vergessenwerden“ bezeichnet. Dies kennen wir bereits aus der jüngeren Vergangenheit, wo es zu Klagen gegen Suchmaschinenbetreibern wie Google kam. Suchergebnisse müssen seitdem durch Google aus dem Such-Index gelöscht werden, wenn dies ein Betroffener wünscht.

Durch die DSGVO ändern sich nun eine Vielzahl von Details im Verarbeitungsprozess von personenbezogenen Daten. Es beginnt allein schon bei der Definition, was „personenbezogene Daten“ eigentlich sind. Neue Erlaubnispflichten greifen bei der Nutzung von Kundendaten und schließlich muss sich der Unternehmer an neue Informationspflichten halten. Wo und wie werden Kundendaten verarbeitet, gespeichert und genutzt? Die Betroffenen erlangen neue Rechte. So hat der Kunde z.B. das Recht, Daten zu löschen, anpassen zu lassen oder auch digital „mitzunehmen“. „Datenportabilität“ spielt hier eine entscheidende Rolle.

Eine zentrale Neuerung der DSGVO ist die Rechenschaftspflicht (Accounability). Sie erfordert die Erweiterung der Compliance-Anforderungen in Unternehmen um die Komponente der Dokumentation von Daten-Verarbeitungsprozessen. Unternehmen müssen jederzeit in der Lage sein, klar und eindeutig Auskunft zu geben über verarbeitete Personendaten.

 

Welche Konsequenzen drohen?

 

Verstöße gegen die Datenschutzgrundverordnung werden drastisch geahndet. Der Bußgeldrahmen wird bis auf 20 Millionen Euro, bzw. vier Prozent des Jahresumsatzes je Unternehmen (weltweit) erhöht und Datenschutzbehörden werden angehalten, Bußgelder effektiver zu verhängen.

Aber nicht nur das: Die Haftungsverschärfung greift auch auf natürliche Personen über. Im Fokus stehen hier nicht nur Datenschutz- oder IT-Sicherheitsbeauftragte, sondern auch die Geschäftsführer und sogar der einzelne Mitarbeiter. Bei Verstößen im Umgang mit personenbezogenen Daten drohen ihnen über die genannten Geldbußen hinaus strafrechtliche Sanktionen, wie eine Freiheitsstrafe von bis zu drei Jahren.

 

Was sollten Unternehmen jetzt tun?

 

Zunächst einmal ist es überaus wichtig, die interne Aufmerksamkeit im Unternehmen auf das Thema zu lenken – und zwar nicht nur, indem die Verantwortung zur Umsetzung und Anpassung auf den Datenschutzverantwortlichen abgeschoben wird. Die Verantwortung trägt der Geschäftsführer und er sollte das Thema maßgeblich vorantreiben. Zum gegenwärtigen Zeitpunkt verbleiben kaum noch zehn Monate Zeit.

 

DSGVO - Was müssen Unternehmen jetzt tun?

 

 

Unternehmer sollten dringend mit der Umsetzung von entsprechenden internen Prozessen, konkreten Grundsätzen und Maßnahmen beginnen, um die neuen erweiterten Datenschutzregeln einzuhalten. Es gilt zunächst zu ermitteln, welche Daten verarbeitet werden und wo sie vorgehalten werden. Die Verwaltung der Daten muss geregelt werden. Wer hat Zugriff und wer darf die Daten wie verwenden? Der Schutz der Daten hat höchste Priorität. So müssen Prozesse für Sicherheitskontrollen aufgesetzt werden, um Sicherheitslücken zu verhindern und Datenverlust zu vermeiden. Nur so ist man in der Lage mögliche Verstöße und Vorfälle rechtzeitig zu erkennen und zu reagieren. Schließlich ist ein Berichtswesen zu etablieren, das eine detaillierte Dokumentation und die Verwaltung von Anfragen ermöglicht und das Unternehmen in die Lage versetzt, Sicherheitsprobleme effizient zu melden.

 

Eine große Aufgabe – wie kann man sie meistern?

 

Wer sich bereits in der Vergangenheit um den Datenschutz gekümmert hat, ist hier im Vorteil. Dennoch gilt es genau hinzuschauen und sich zu hinterfragen. Holen Sie sich Hilfe und Informationen bei Experten und lassen Sie sich beraten. Setzen Sie auf moderne Systeme und Lösungen, die Sie bei der Einhaltung der DSGVO unterstützen.

Für unsere Kunden, die heute bereits Office 365 einsetzen oder auch andere Microsoft Cloud-Dienste, wie Azure, Dynamics CRM und weitere nutzen, gilt: Microsoft hat sich offiziell verpflichtet zum Stichtag am 25.05.2018 die Konformität all seiner Microsoft Cloud-Dienste zu garantieren.

Doch auch die Nutzer der Microsoft Cloud-Dienste müssen ihre Prozesse anpassen und die Tools entsprechend richtig einsetzen.

In den kommenden Wochen werden wir hier auf dem Blog weitere Informationen zur Datenschutzgrundverordnung veröffentlichen und bei der Beantwortung Ihrer Fragen mit Rat und Tat zur Seite stehen.