Die Einführung der neuen Datenschutz-Grundverordnung (DSGVO) hat viele hart erwischt. Sowohl Privatleute als auch Unternehmen kämpfen mit den Veränderungen, die der Datenschutz mit sich bringt.
Terminal Y hat sich mit der Unternehmensberaterin Nathalie Briege von der Managementberatung Briege getroffen und mit ihr über die DSGVO gesprochen und was die DSVGO für Unternehmen bedeutet.
Terminal Y (TY): „Frau Briege, wie beeinflusst die Datenschutz-Grundverordnung Unternehmen und Betriebe?“
Nathalie Briege (NB): „Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist betroffen und muss die neuen Anforderungen ab dem 25.05.2018 umsetzen. Es ist dann ein unmittelbares Recht.
Viele kleinere Unternehmen haben sich bisher mit dem Thema Datenschutz zu wenig auseinandergesetzt. Erst jetzt, wo die Bußgelder sich erheblich erhöhen werden und damit auch sehr viel ‚Werbung‘ gemacht wird, rückt das Thema mehr in das Bewusstsein der Unternehmen.“
Auch Bloggern ist in letzter Minute klar geworden, dass sie, wenn sie keine hohen Strafen zahlen wollen, ihre Leser informieren müssen. Für einige ein K.o.-Kriterium und das Ende ihres geliebten Blogs, für anderen eine schwere Auseinandersetzung mit einem unbekannten Thema. Aber warum sind Blogger überhaupt von der DSGVO betroffen? Weil die meisten GoolgeAnalytics zum Tracken ihrer Besucherzahlen benutzten und sie sich dadurch mit personenbezogene Daten beschäftigen.
Für viele Unternehmen und Privatpersonen, wie Bloggern und Webseitenbesitzern, entsteht ein erheblicher Aufwand, um die Anforderungen zu erfüllen.
TY: „Was für Maßnahmen müssen u.a. eingeleitet oder aktualisiert werden?“
NB: „1. Die Website muss angepasst werden. D.h. eine Datenschutzerklärung muss veröffentlicht werden, welche von allen Seiten der Homepage aus erreichbar sein muss.
Hier bieten einige Rechtsanwälte auf ihren Websites kostenfreie Tools an zur Erstellung der Datenschutzerklärung, z.B. Der kostenlose Generator von den Rechtsanwälten Wilde, Beuger, Solmecke.
2. In einem Unternehmen muss geklärt werden, ob ein Datenschutzbeauftragter gestellt werden muss, wenn ja, diesen ernennen und an die zuständige Aufsichtsbehörde melden. Zudem muss die Belegschaft zum Thema Datenschutz und Datenschutzrichtlinien geschult werden.
3. Wenn personenbezogene Daten im Auftrag durch Dritte erledigt werden (Auftragsdatenverarbeiter), muss eine entsprechende Vereinbarung mit diesen geschlossen werden. Ggf. müssen Datenschutzrichtlinien für das Unternehmen festgelegt werden.
4. Ein Unternehmen muss zusätzlich Technisch-Organisatorische Maßnahmen (TOM) festlegen, die die Rechte von Betroffenen schützen. Die Auskunftsfähigkeit des Unternehmens sollte auch sichergestellt werden, falls Anträge von Betroffenen kommen.
Neben den genannten Regelungen, müssen noch weitere wichtige Prozesse vorgenommen werden. Unternehmen können sich zum Thema DSVGO selbst belesen oder sie engagieren einen Experten, der ihnen bei der Umsetzung behilflich ist.
Die Überprüfung, ob die Vorgaben korrekt umgesetzt worden sind oder ob noch weitere Maßnahmen getroffen werden müssen, können mit Datenschutz-Audits durchgeführt werden.“
Für viele kam die neue Regelung überrumpelnd und Unternehmen versanken in den letzten Tagen im Anpassungs-Chaos, obwohl seit zwei Jahren fest steht, dass die DSGVO Ende Mai das BDSG ablöst. Es wurde verplant, die Webseiten zu überarbeiten und die Kunden auf die bevorstehenden Änderungen hinzuweisen. So eine große Umstellung bringt, ob kurz- oder langfristig, ihre Probleme und Hürden mit sich.
TY: „Worin sehen Sie die aktuellen Schwierigkeiten für Unternehmen und Privatleute?“
NB: „Das größte Problem in den Unternehmen – besonders in den kleineren – ist die Frage: Wie setze ich die Anforderung korrekt um? Hier besteht immer noch viel Unsicherheit.
Eine große Hürde ist auch die Umsetzung der TOM (Technisch-organisatorischen Maßnahmen). Zum einen sollen die Maßnahmen ein dem Risiko angemessenes Schutzniveau sicherstellen und zum anderen sollen sich diese immer auf dem aktuellen Stand der Technik befinden.
Hier ist neben dem monetären Aufwand auch die Frage: woher die entsprechenden Experten nehmen, die bei den o.g. Fragen weiterhelfen. Externe Datenschützer und IT-Fachleute sind derzeit sehr gefragt und nur noch schwer zu kriegen.“
Das Einführen einer neuen Datenschutz-Grundverordnung macht nur herzlich wenig Sinn, wenn sich keiner daran hält. Bis vor kurzem lagen die Strafen für einen Verstoß von Datenschutz-Regelungen zwischen 50.000 und 300.000 Euro.
TY: „Hat sich mit der DSGVO etwas an den Folgen für Unternehmen geändert?“
NB: „Die Bußgelder sind in die Höhe gestiegen. Sollte ein Unternehmen die neuen Regelungen nicht ernst nehmen oder diese nicht einhakten, kann es zu einer Geldstrafe von 10 Mio. – 20 Mio. Euro kommen. Organisation sind noch einmal stärker betroffen. Diese können sogar von 2% bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Jahres als Buße zur Kasse gebeten werden.“
Die Datenschutz-Grundverordnung lässt niemanden aus. Egal ob Firmen, Schulen, Vereine oder Privatpersonen, die z.B. einen Blog betreiben – Sie alle sind der DSGVO untergeordnet und müssen folge leisten. Für das Besitzen oder Analysieren personenbezogener Daten muss eine Datenschutzerklärung für den Besucher zugänglich sein. Viele Maßnahmen müssen eingeleitet, gepflegt und aktualisiert werden. Die DSGVO hat gerade einmal angefangen und wird noch einen langen Weg vor sich haben, bis sich das Chaos gelegt hat und die neue Verordnung zur Norm geworden ist.
Von Alina Pfänder