Mythos: Geringe Strafen werden nicht eingezogen Häufige Irrtümer bei der DS-GVO-Vorbereitung

9. Juli 2017

Sobald die Europäische Datenschutz-Grundverordnung (EU-DSGVO) am 25. Mai 2018 europaweit in Kraft tritt, müssen Unternehmen die darin angeführten Anforderungen erfüllen. Das bedeutet, dass viele Firmen bis dahin umfassende Änderungen an ihren internen Vorgängen und Verfahren vornehmen müssen. Doch nicht nur Unternehmen mit Hauptsitz in Europa sind betroffen, sondern jeder, der persönliche Identifikationsdaten von Bürgern der EU verarbeitet.

Opt-in oder Opt-out?

Es gibt kaum ein Unternehmen, das in den letzten Jahren keine personenbezogenen Daten gesammelt hat. Vor der Ankündigung der Europäischen Datenschutz-Grundverordnung hatten sie grünes Licht für die Erfassung dieser Informationen. Ab Inkrafttreten der neuen EU-Regelung dürfen sie diese jedoch nicht mehr ohne weiteres verwenden. Personenbezogene Daten dürfen nämlich nur dann verarbeitet werden, wenn es eine Zustimmung für die spezifisch geplante Verwendung der Informationen gibt. Genehmigungen der Nutzer müssen dafür regelmäßig erneuert werden.

Anzeige
cs espresso series

Zahlreiche Firmen verwenden außerdem Opt-out-Modelle, um an personenbezogene Daten zu gelangen. Besucher müssen bei diesem Verfahren explizit mitteilen, dass ihre Daten nicht verwendet werden dürfen. Geschieht das nicht, bedeutet das automatisch, dass das Unternehmen die Informationen nutzen kann. Das Verfahren ist immer noch Standard in Deutschland, führt allerdings jetzt durch die EU-DSGVO zu Problemen. Im Rahmen der alten Regelungen war das Opt-out-Modell ausreichend, allerdings ist der neue Standard innerhalb der EU jetzt das Opt-in-Modell. Das bedeutet, dass von jedem Besucher eine spezifische und aktive Zustimmung eingeholt werden muss, ehe Daten verwendet werden dürfen.

Ein weit verbreiteter Irrtum ist die Annahme, dass eine E-Mail an die Datenbank ausreicht, um eine Zustimmung der Besucher zu erhalten. Zwar scheint der Ansatz vernünftig, jedoch dürfen wirklich nur die Personen kontaktiert werden, die ihre explizite Zustimmung für diesen Zweck gegeben haben. Können Unternehmen nicht beweisen, dass sie für die Kontaktaufnahme mit Personen zu Marketingzwecken auch deren spezifische Zustimmung haben, können sie von den Datenschutzbehörden mit erheblichen Geldstrafen belegt werden.

Personen müssen erfahren können, wie ihre Daten verwendet werden und wie sie ihre Zustimmung zu einem späteren Zeitpunkt wieder zurückziehen können. Daher sollte jedes Unternehmen darauf achten, Antworten und Änderungen zu dokumentieren, damit ein Audit danach leichter gelingt. Außerdem ist auch eine Rechtsberatung sehr hilfreich, damit weitere Vorgänge sorglos durchgeführt werden können.

Altbestände

Der Datenspeicher ist voll, aber das Wissen über die persönlichen Informationen darin ist gering. Häufig ist in Unternehmen nicht einheitlich festgelegt, wo sich diese Daten befinden und wer für die allgemeine Speicherung zuständig ist. Ein Problem, mit dem sich viele Firmen konfrontiert sehen. Dennoch ist es nicht möglich, einfach mit den neuen Daten fortzufahren und die alten nicht zu berücksichtigen. Alle personenbezogenen Informationen in einem großen Unternehmen ausfindig zu machen, gleicht einem Mammutprojekt.

Firmen sollten diesen komplizierten Prozess deshalb nicht auf die leichte Schulter nehmen. Denn sie sind aufgrund der gespeicherten und ungenutzten Daten einem hohen Risiko für Sicherheitsverletzungen und einer Haftung unter EU-DSGVO ausgesetzt. Anstrengungen diese nicht verwendeten Daten zu finden und zu löschen, können im Ernstfall die Strafen erheblich reduzieren.

Wacker hält sich auch das Gerücht, dass die Strafen nicht allzu hoch oder in manchen Fällen gar nicht eingezogen werden. Doch das ist eine Fehlannahme, die ganz schön teuer werden kann. Strafen können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes ausmachen. Mit der Gnade der Behörden zu rechnen und darauf zu spekulieren, dass sie vielleicht ein Auge zudrücken, wäre bei allem was auf dem Spiel steht, fatal.

Auch für Unternehmen mit Hauptsitz außerhalb der EU muss das Thema EU-DSGVO Priorität haben. Denn alle weltweit agierenden juristischen Personen, die personenbezogene Daten erfassen, müssen diese Regelungen befolgen. Auch politische Gegebenheiten wie der Brexit bedeuten für Unternehmen in Großbritannien nicht, dass ihnen diese Regulierungen gleichgültig sein können.

EU-DSGVO-Umsetzung

Die Vorbereitung auf EU-DSGVO steigert außerhalb von Unternehmen die Glaubwürdigkeit bei Kunden und Regulierungsbehörden. Dadurch können sich Unternehmen als verlässliche und vertrauenswürdige Partner positionieren. Viele Firmen setzen bei den Vorbereitungen auf Datenlösungen, um Informationen besser darstellen, verwalten und regeln zu können.

Durch die Enterprise-Data-Intelligence-Lösung von ASG Technologies lassen sich beispielsweise Datenbestände durchscannen und DSVGO relevante Felder markieren. Die ASG-Content-Lösungen können die Lebensdauer von personenbezogenen Daten verwalten und zugleich die Zustimmung einer Person erfassen. Eine solide Technologie-Plattform stellt die Basis für Compliance dar. Alle Bemühungen zur Einhaltung der Regelungen lassen sich einfach aufzeigen und nachweisen, sollten die Behörden tatsächlich mal an die Tür klopfen.

Jan Falkenstein

ist Senior Solutions Engineer bei ASG Technologies.

Hier geht es zu ASG Technologies

Lesen Sie auch