Mit großen Schritten Richtung Transparenz Überblick behalten im DSGVO-Dschungel
9. März 2018Nach zwei Jahren Übergangszeit ist es ab dem 25. Mai so weit: Die Europäische Datenschutzgrundverordnung (EU-DSGVO, auch als DSGVO abgekürzt) tritt vollends mit allen Konsequenzen in Kraft. Bisher hatten Manager und Führungskräfte die Möglichkeit, sich auf die modernen gesetzlichen Regelungen einzustellen und interne Prozesse sowie Gegebenheiten anzupassen. Da mittlerweile fast jedes Unternehmen mit personenbezogenen Daten arbeitet sowie im Internet aktiv ist und beispielsweise Newsletter, Nutzer-Tracking oder Werbung verwendet, ist die neue Vorschrift für Betriebe jeder Größenordnung relevant. Das gilt sowohl für alle in Europa ansässigen Unternehmen als auch für jene, die zwar außerhalb der Europäischen Union sitzen, aber dennoch mit Daten von EU-Bürgern in Berührung kommen. Halten sie die Bestimmungen nicht ein, drohen massive Bußgelder – und im schlimmsten Fall ein erheblicher Imageschaden.
Mehr Rechte für Betroffene
Bereits seit einigen Jahren gewinnt das Thema Daten in Zusammenhang mit Digitalisierung für Medien, Unternehmen und Haushalte an Relevanz. Eine einheitliche Regelung des Umgangs mit den Informationen war demnach nur eine Frage der Zeit. Die DSGVO räumt den Betroffenen mehr Rechte in Bezug auf ihre Daten ein, allem voran im Hinblick auf Korrektur und Löschung. Damit besitzen sie gegenüber Unternehmen das Recht auf Auskunft über die Herkunft der Angaben sowie das Recht auf Änderung und Entfernung.
Datenhoheit lautet das Stichwort, denn nicht der Schutz, sondern vielmehr die Selbstbestimmung der betroffenen Personen darüber, was mit ihren Daten geschieht, steht nun im Fokus. Es liegt im Aufgabenbereich der Unternehmen, unwissentliche Datenerhebungen, -speicherungen, -nutzungen sowie -weitergaben zu unterbinden. Doch es gibt auch Ausnahmeregelungen, die eine Verwendung personenbezogener Informationen erlauben. Beispielsweise die gesetzliche Grundlage, die die Speicherung von Mitarbeiterdaten zur Meldung beim Finanzamt oder bei der Sozialversicherung vorsieht.
Neben den Betroffenen bekommen auch die Unternehmen selbst die positiven Auswirkungen der DSGVO zu spüren. So entsteht durch die einheitliche Regelung allem voran mehr Transparenz, auch in Bezug auf den europäischen Markt. Denn die zuvor oftmals vorherrschende Wettbewerbsverzerrung, die durch weniger strenge Datenschutzrichtlinien in anderen Ländern Europas entstanden ist, entfällt nun. Mithilfe der gemeinschaftlichen rechtlichen Basis wird zudem die Zusammenarbeit vereinfacht – sowohl zwischen den Unternehmen als auch mit der Aufsichtsbehörde im eigenen Land.
Zusätzlich verringert sich so der Aufwand an Bürokratie. Tritt ein Schadensfall ein, müssen die zuständigen Aufsichtsbehörden der EU-Staaten Abhilfe leisten. Eine besondere Neuerung betrifft vor allem Großkonzerne: Mit der DSGVO haben die Verantwortlichen auch den Begriff „Unternehmensgruppe“ eingeführt. Darunter zu verstehen ist eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Betrieben besteht. Dieses Kollektiv verfügt nun über ein sogenanntes Konzernprivileg und weist eine vereinfachte Datenweitergabe innerhalb der Unternehmensgruppe auf. Das geschieht jedoch wiederum nur unter besonderen Voraussetzungen, wie beispielsweise einem hohen Datenschutzniveau, unter anderem durch interne vertragliche Regelungen.
Datenverarbeitung prüfen
Während das Bundesdatenschutzgesetz (BDSG), das nun von der DSGVO abgelöst und durch sie erweitert wird, noch anderen Gesetzen untergeordnet war, kann die Datenschutzgrundverordnung nicht von anderweitigen gesetzlichen Regeln im Land überstimmt werden. Die Verordnung gilt demnach überall. Neben dem BDSG haben somit auch andere mit Datenschutz in Verbindung stehende rechtliche Bestimmungen keine Kraft mehr.
So fällt beispielsweise das Subsidiaritätsprinzip vollständig weg. Dabei helfen Unternehmen schon kleine Tipps bei der Einhaltung der DSGVO. Das beginnt mit der stetigen Prüfung der Datenverarbeitung sowie möglicher Aktualisierungen und geht weiter bis zur Verschlüsselung von Daten. Regelmäßige Back-ups bieten Unternehmen im Falle eines Datenausfalls die Chance, schnell und sicher den abgesicherten Zustand wiederherstellen zu können. Es liegt in der Verantwortung der Führungskräfte, die Systeme stets vertraulich, verfügbar, belastbar und auf aktuellem Stand zu halten.
Fest steht: Die Verantwortlichen müssen sich über die nahenden Änderungen im Klaren sein, für geeignete technische sowie organisatorische Möglichkeiten sorgen und ihre IT-Systeme optimieren. Sonst ist eine Einhaltung der DSGVO kaum möglich. Auch kurz vor Vollendung der Übergangszeit ist Vorbereitung noch immer das A und O. Eine Bestandsaufnahme darüber, wo im Unternehmen personenbezogene Daten erhoben, gespeichert und verarbeitet werden, bildet die Grundlage für weitere Schritte.
Auch wer mit diesen Informationen arbeitet, sollte bekannt sein, um Transparenz zu schaffen sowie die zuständigen Personen vorher entsprechend zu schulen. Hinsichtlich der DSGVO sind grundsätzlich alle personenbezogenen Informationen relevant, darunter ebenso Kunden-, Mitarbeiter- und Bewerberdaten. Doch auch Angaben von und zu Interessenten und aus E-Mail-Verteilern sowie gesammelte Visitenkarten, die ins CRM eingepflegt werden, zählen hierzu. Liegen diese Informationen vor, folgt eine umfassende Analyse darüber, in welchen Prozessen die Daten überall eine Rolle spielen. Diese gilt es detailliert zu dokumentieren, denn mit der DSGVO gehen auch Änderungen in der Dokumentationspflicht einher.
Unternehmen sind demnach angehalten, jederzeit nachweisen zu können, dass sie die Daten rechtmäßig erhoben und verarbeitet haben. Aber Achtung: Informationen können noch so regelkonform gesammelt werden – fehlt die Dokumentation, drohen dennoch erhebliche Bußgelder. Aus diesem Grund ist es sinnvoll, die von der DSGVO geforderten Formate des Verarbeitungsverzeichnisses von Beginn an zu verwenden, um sich Doppelarbeit zu ersparen.
Nicht nur von offiziellen Organen, sondern auch von Privatpersonen können Unternehmen bezüglich eines Verstoßes belangt werden. Ein Beispiel liefern die Bewerberdaten. So können einzelne Bewerberinnen und Bewerber nun auch Verstöße gegen die neuen Regelungen anmerken und im schlimmsten Fall auf Schadenersatz klagen. Eine weitere Gefahrenquelle bildet der unsachgemäße Umgang mit E-Mail-Werbung und Newslettern.
Generell können Unternehmen vor allem von zwei Bereichen von Anfragen zur Änderung und Löschung von Daten betroffen sein: „Data Protection by Design“ sowie „Protection by Default“. Bei der ersten Anfrage spielt Datenschutz in puncto Technikgestaltung eine übergeordnete Rolle: Diese besagt, dass das Speichern von personenbezogenen Daten möglichst an einer oder zumindest nur wenigen Stellen auftreten darf. Zudem sind die Systeme vor unbefugtem Zugriff zu schützen. „Protection by Default“ tangiert den Datenschutz durch datenschutzfreundliche Voreinstellungen. Das bedeutet, Unternehmen müssen in ihren Kontaktformularen darauf achten, die Zustimmung zu einer Verarbeitung der Daten klar und verständlich zu kennzeichnen. Das Einverständnis muss explizit von den Betroffenen aktiviert werden.
Folgen bewerten
Ebenfalls eine wichtige Rolle spielt die Datenschutz-Folgenabschätzung. Sie ist vergleichbar mit der im zuvor gültigen BDSG bekannten Vorabkontrolle und besagt, dass Risiken und mögliche Folgen für die persönlichen Rechte der Betroffenen im Voraus bewertet werden müssen. Hierfür müssen jedoch zuvor spezielle Kriterien erfüllt sein.
Das ist beispielsweise der Fall, wenn das Unternehmen eine systematische und umfassende Bewertung persönlicher Aspekte vornimmt. Ebenfalls als zutreffendes Kriterium gelten bestimmte Kategorien personenbezogener Daten, wie beispielsweise sexuelle Orientierung, Religion, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten oder auch strafrechtliche Verurteilungen sowie Straftaten. In diesen Momenten greift der sogenannte Datenschutzbeauftragte ein, schätzt Risiken sowie Folgen ab und gibt eine entsprechende Bewertung an den Vorgesetzten durch.
Die Einführung der DSGVO erfordert einen Wandel, auch innerhalb der Unternehmen. Zwar verfügen manche Betriebe intern über die notwendigen Kompetenzen sowie Kapazitäten der Mitarbeiter, um Analyse und Dokumentation selbst zu übernehmen – allerdings macht dies nur einen geringen Anteil aus. Oftmals fehlen entsprechendes Know-how und Zeit in den eigenen Reihen. In diesem Fall sollten Unternehmen nicht zögern und externe Unterstützung in Anspruch nehmen.
Berater wie beispielsweise von der readypartner GmbH sind auf Datenschutz sowie Datensicherheit spezialisiert und können als Datenschutzbeauftragte neben ihrer beratenden Funktion auch konkrete Aufgaben übernehmen. Dazu zählen unter anderem die Auswahl der notwendigen Maßnahmen sowie auch die Unterstützung bei der Umsetzung. Vor allem Betriebe von geringer Größe profitieren hiervon, denn oftmals sind sie zu klein, um einen hauseigenen Datenschutzbeauftragten voll auszulasten.
Doch auch für mittelständische und Großunternehmen hat diese externe Dienstleistung einen besonderen Vorteil: In seiner Rolle als betrieblicher Datenschutzbeauftragter ist er weisungsbefugt und berichtet direkt der Unternehmensleitung. Übernehmen interne Mitarbeiter dies, können Konflikte mit anderen Aufgaben aus dem Tagesgeschäft sowie auch zwischen dem Mitarbeiter und dem Vorgesetzten bei der Durchsetzung der Datenschutzziele entstehen. Externe Dienstleister vermeiden diese problematischen Situationen und geben den Unternehmensverantwortlichen die Sicherheit, dass sie über die notwendigen Qualifikationen und Kompetenzen verfügt.
Die Grundlage, um sich mit Datensicherheit beschäftigen zu können, bildet die zuvor erstellte Analyse darüber, welche Daten wo im Unternehmen wie verwendet werden. In Zeiten der Digitalisierung und des stetigen Wandels ist jedoch die Gewährleistung eines hundertprozentigen Schutzes eine große Herausforderung. Die Verantwortlichen sind deshalb angehalten, die Krisenkommunikation um eine Lösungsstrategie für den Fall zu erweitern, dass die DSGVO tangiert wird.
Dabei gilt es, die Frist für die Informationspflicht von 72 Stunden einzuhalten. Die Strategie sollte dabei unter anderem folgende Punkte abdecken: Wie werden die Betroffenen informiert? Wer spricht mit der Aufsichtsbehörde? Wie wird die Öffentlichkeit informiert? Und wie kann der Schaden eingegrenzt werden? Grundsätzlich sollten Manager ihre Mitarbeiter für die Themen Datenschutz und Datensicherheit sensibilisieren, beispielsweise in Form von Schulungen. Das verringert die Anzahl an Datenschutzvorfällen merklich, denn häufig ist Leichtsinn oder Unachtsamkeit von Arbeitnehmern die Ursache für solche Vorfälle.
Björn Blatt
ist Geschäftsführer der readypartner GmbH mit Sitz in Leonberg. Er ist Experte für Digital-Strategie und digitale Wirtschaft, Spezialist für Cloud- und Kommunikationsservices sowie Software-Asset-Management-Strategie. Auf diesem Gebiet wurde Blatt bereits 2014 sowie 2015 mit dem SAMS Europe Award ausgezeichnet und 2017 mit dem Global SAM-Strategie Award der EFSAM. Der studierte Wirtschaftsinformatiker verfügt über langjährige Erfahrungen im IT-Bereich und war unter anderem als Interimsmanager einer Bank des WestLB-Konzerns sowie als Head of Software License Management bei einem Logistikdienstleister tätig. 2014 zählte er bei der SAMS zu den Keynote-Speakern. Zudem teilte Blatt seine Erfahrungen bereits auf dem Future-Banking-Kongress in Genf sowie auf den Cloud-Services-Days in Kopenhagen und bei der Podiumsdiskussion zum Thema „Digitalisierung – Fluch oder Segen?“ in Zürich.