Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

DSGVO GDPR Schatten 1078414328 700(1)

Gerade in den letzten Monaten hat sich der Austausch über die DSGVO auf nationalen und europäischen Veranstaltungen intensiviert. Im Rahmen der GDPR-Ready-Initiative gilt es nun klarzustellen, was es für Unternehmen wirklich zu beachten gibt und auf einige entstehende Mythen hinzuweisen.

Die neue Datenschutz-Grundverordnung – kurz: DSGVO und im internationalen Sprachgebrauch vor allem als GDPR bekannt ist – ist eine Verordnung der EU, mit der die Regeln für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen europaweit vereinheitlicht werden sollen. Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Ziel der neuen Verordnung ist es, den Schutz von personenbezogenen Daten, sowie den freien Datenverkehr innerhalb des Europäischen Binnenmarktes besser zu gewährleisten. Was gibt es für Unternehmen da zu beachten? Und was ist nur Panikmache?

Das Thema Datenschutz spielt in Deutschland eine wichtige Rolle. Dennoch sind die Gesetze zum Datenschutz recht jung und womöglich aus diesem Grund mit dem Hauch des Unerklärlichen behaftet. Sicher gab es schon seit Jahrzehnten Verordnungen wie das Postgeheimnis oder eine Verschwiegenheitspflicht, aber tatsächlich lieferte erst 1970 das Land Hessen das erste Datenschutzgesetz der Welt, woraufhin der Bund 1977 für ganz Deutschland folgte – und daraufhin der Rest der Welt. Da verwundert es nicht, dass gerade deutsche Unternehmen im Vergleich zu anderen Staaten einen hohen Anspruch an den Schutz personenbezogener Daten haben. Leider bringt ein hohes Datenschutzniveau auf nationaler Ebene aber nicht viel, wenn es um den internationalen Datenaustausch und um das Internet geht. Mit der GDPR wird das Datenschutzrecht nun immerhin europäisch. Inkrafttreten wird es am 25. Mai 2018.

Studien zeigen, dass ein Teil der deutschen Unternehmen sich immer noch schwertut, die neuen Datenschutzbestimmungen in ihre IT-Infrastruktur und HR-Abteilungen aufzunehmen. Nach Zahlen der IDC-Studie, die in Zusammenarbeit mit Cornerstone OnDemand entstanden ist, haben sich 44 Prozent der befragten Manager noch nicht mit der GDPR beschäftigt. Mit solchen Zahlen und dem neuen Bußgeldrahmen wird gerne die Hysterie im Netz befeuert.

Manche Software- und Service Nutzer spüren womöglich deshalb besonderen Druck, die Umsetzung der Grundverordnung jetzt schnellstmöglich einfach nur nachzuweisen. Als Abkürzung kann man natürlich von seinem Provider verlangen, die Compliance mit der DSGVO zu bestätigen. Der Schutz der personenbezogenen Daten verkommt in diesen Fällen aber zum Papiertiger. Mittelfristig erfolgreicher und vom Grundgedanken notwendig ist dagegen der offene Austausch zwischen den beteiligten Unternehmen, um die Verantwortlichkeiten für personenbezogene Daten, entstehende Risiken für Betroffene und angemessene Schutzmaßnahmen in enger Zusammenarbeit zu steuern. So könnten auch alle von den „best practices“ profitieren.

Datenschutz als Geheimhaltung von personenbezogenen Daten?

Die DSGVO wie auch ergänzende nationale Datenschutznormen sind nämlich eher Abwägungen des Gesetzgebers über Sachverhalte, in welchen Fällen zum Beispiel welche Daten zu welchem Zweck erlaubt sind. Wenn also ein Gesetz die Verarbeitung personenbezogener Daten erlaubt, ist eine Einwilligung nicht notwendig und vor allem für den Betroffenen irreführend, denn er glaubt ja gerade mit der Einwilligung selbst eine gewisse Kontrolle zu haben, die Einwilligungen jederzeit widerrufen zu können. Ein solcher Widerruf wird aber Unternehmen, die beispielsweise Bewerberdaten zur Auswahl der besten Kandidaten speichern, in Schwierigkeiten bringen, sollte die Auswahlentscheidung auf Einhaltung des Gleichbehandlungs-Grundsatzes überprüft werden.

Wann immer ein Unternehmen vor Gericht, Behörden oder Vertragspartnern bestimmte Sachverhalte nachweisen muss, wird das Unternehmen die Informationen zum Sachverhalt speichern müssen, deshalb schafft der Gesetzgeber hier auch bestimmte Rechtsgrundlagen. Wohl am deutlichsten wird dies in steuerrechtlichen Sachverhalten, wo Unternehmen wie Privatpersonen kaum Spielraum haben; sie müssen nachweisen können, wer Kosten verursacht hat, beispielsweise Reise- oder Fortbildungskosten von Mitarbeitern. Um die Betroffenen wirklich transparent über die Verarbeitung personenbezogener Daten aufzuklären, sollten keine unnötigen Einwilligungen eingeholt werden, aber in der Datenschutzerklärung auf diese rechtlich erforderlichen Verarbeitungsschritte hingewiesen werden.

Datenschutz wird zuweilen als die Geheimhaltung von personenbezogenen Daten dargestellt. Mit diesem Mythos werden jedoch zwei weitere Schutzziele vernachlässigt. Als Betroffene hat man in verschiedenen Szenarien ein besonderes Interesse daran, dass die personenbezogenen Daten verfügbar sind und der Realität entsprechen. Die Grundverordnung spricht hier von Integrität und Verfügbarkeit der personenbezogenen Daten. Die Beispiele aus dem vorherigen Mythos lassen sich hier nahtlos fortführen. Man stelle sich beispielsweise den Kandidaten vor, der Anzeichen für eine Benachteiligung erkennt, diese aber nicht geltend machen kann, weil die Daten der anderen Bewerber nicht mehr verfügbar sind.

Unterm Strich

Über die GDPR gab und gibt es unterschiedliche Meinungen, auch zwischen Theorie und Praxis gibt es seit jeher Differenzen, wie zwischen Behörden und Unternehmen. Ähnlich verläuft es auch zwischen den Mitgliedsländern der EU. Mit dem Text der DSGVO haben wir eine gute Grundlage, um praktikable Lösungen zu finden, wenn wir uns offen über den Schutz personenbezogener Daten austauschen.

cornerstoneondemand.de

GRID LIST
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…