Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

DSGVO Zahnrad 1368981509 700

Es ist noch nicht allzu lange her, da war die Datenschutz-Grundverordnung (DSGVO) in aller Munde und sorgte für reichlich Aufregung in Unternehmen und Behörden. Am 25. Mai jährt sich zum ersten Mal die Einführung der EU-Richtlinie. Welche zentralen Erkenntnisse lassen sich ein Jahr nach Einführung aus dem Praxisalltag gewinnen? Mit welchen wichtigen Fragestellungen gelingt die Einhaltung der Richtlinien im Unternehmen?

2018 war die neue DSGVO ein ganz heißes Eisen. Und offenbar haben Unternehmen weiterhin Sorgen hinsichtlich der Einhaltung der Vorschriften sowie der Umstellungen innerbetrieblicher Abläufe und Strukturen. Jüngste Umfragen zeigen, dass nur ein Viertel der Unternehmen (24%) die Vorschriften vollständig, 40% weitgehend und 30% teilweise umgesetzt haben. Fünf Prozent der Unternehmen haben erst damit begonnen, den Vorgang in die Wege zu leiten. Gleichzeitig besagt eine aktuelle Studie von techconsult, dass 18 % der befragten Unternehmen und öffentlichen Verwaltungen in Deutschland noch nicht einmal mit der Umsetzung begonnen haben.

Es steht außer Frage: Die DSGVO war für in der EU tätige Unternehmen ein entscheidender Wendepunkt im Umgang mit Daten. Sie hat die Messlatte für die Datenerfassung und -verarbeitung gegenüber der vorhergehenden Datenschutzrichtlinie deutlich angehoben und große, mittelständische und kleine Unternehmen gleichermaßen an ein einziges Regelwerk gebunden.

Ebenso wie andere Länder, wird auch Deutschland das nationale Datenschutzrecht anpassen. Aktuell wird dazu ein Gesetzentwurf diskutiert, der die EU-Richtlinie in deutsches Recht umsetzen soll. Diese geplanten Änderungen und die immer länger werdende Liste der Klagen gegen Unternehmen deuten darauf hin, dass auch die deutschen Datenschutzbehörden die EU-Richtlinie streng durchzusetzen wollen. Einen Hinweis darauf geben auch die 41 Bußgeldbescheide, die bis Anfang des Jahres wegen Verstößen gegen das DSGVO verhängt wurden. Wenngleich sich einer Umfrage des Handelsblatt zufolge manche Bundesländer bislang noch zurückhalten – die Strafen von bis zu 4 % des Jahresumsatzes können vor allem kleine und mittlere Unternehmen hart treffen.

Für viele Unternehmen gilt die DSGVO deshalb immer noch als Schreckgespenst - es besteht weiterhin viel Klärungsbedarf. Dabei muss die Umsetzung der DSGVO keine kostenintensive oder zeitaufwendige Angelegenheit sein, sondern bedarf lediglich einer Überprüfung der Abläufe bzw. einer Anpassung an die neuen Rahmenbedingungen. Für einen sorgsamen, DSGVO-konformen und gesicherten Umgang mit Daten sind folgende Aspekte im Blick zu halten:

Welche personenbezogenen Daten werden im Unternehmen verarbeitet?

Dies ist der vorrangige und entscheidende Bereich der DSGVO und betrifft alle Unternehmen. Daher sollte sich ein Unternehmen bereits in der Startphase darüber im Klaren sein, dass fortan die Verpflichtung besteht, sämtliche Interaktionen mit Auftraggebern und Kunden zu erfassen, zu speichern und die Verarbeitung von personenbezogenen Daten jederzeit nachvollziehen zu können. Da diese oft zahlreiche Geschäftsvorgänge durchlaufen, ist es wichtig, dass die Arbeitsabläufe korrekt erfasst werden. Wie kommen personenbezogene Daten in das Unternehmen? Was passiert mit den Daten im Unternehmensprozess? Wo sind sie (überall) gespeichert? Damit kann ein Unternehmen nachweisen, dass es die Mindestanforderungen (DSGVO Art. 30) für diesen Bereich erfüllt und so das Auffinden der Daten im Falle einer Nachfrage möglich ist.

Es ist zudem wichtig, auch unstrukturierte Webdaten – etwa Posts in sozialen Medien, Profilbilder von Kunden, die IP-Adressen ihrer Geräte, ihre geografischen Standorte usw. in jede Datenzuordnung einzubeziehen, da auch das in den Bereich der gesetzlichen Bestimmungen fällt.

Der auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit veröffentlichte Leitfaden ist ein guter Ausgangspunkt für eine strukturierte Vorgehensweise bei der Ermittlung, wo genau Daten in Betriebsabläufen zu finden sind.

Welche rechtlichen Grundlagen bestehen für die Datenverarbeitung?

Eine wesentliche Folge der DSGVO-Regelung zwingt Unternehmen dazu, eine rechtmäßige Grundlage für die Erfassung und Verarbeitung personenbezogener Daten nachzuweisen. Das häufigste Kriterium ist die Einwilligung, die jedoch widerrufen oder verweigert werden kann. Daher sollten bei der Entscheidung über die Rechtsgrundlage auch das Geschäftsfeld und das Unternehmensmodell sorgfältig berücksichtigt werden.

Eine einfache Möglichkeit, die geeignete Rechtsgrundlage für die Verwendung der Einwilligung zu bestimmen, bietet zum Beispiel die Anwendung eines Filters mit den Optionen „BENÖTIGT / GEWÜNSCHT / LÖSCHEN“.

Wenn ein Unternehmen die personenbezogenen Daten für eine entscheidende Geschäftsaktivität „benötigt“ und die Tätigkeit nicht ohne sie durchführen kann, dann sollte von der Einwilligung als gesetzliche Grundlage Abstand genommen und auf eine andere Grundlage wie z.B. „Vertragserfüllung“ zurückgegriffen werden. Wenn das Unternehmen die personenbezogenen Daten - etwa für Marketingzwecke - „wünscht“, dann ist die Zustimmung eine geeignete Rechtsgrundlage. Wenn das Unternehmen jedoch die personenbezogenen Daten möchte, aber keine rechtmäßige Grundlage für deren Erfassung oder Verarbeitung finden kann, muss es diese Daten „löschen“.

GRID LIST
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…