Datenschutz: Countdown zur DSGVO läuft
Noch einen Monat, dann gilt in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO). In vielen kleinen und mittleren Unternehmen ist das neue Datenschutzrecht aber immer noch nicht richtig angekommen. Hier ein Überblick über wesentliche Neuerungen – und Handlungsempfehlungen für KMU in Sachen DSGVO.
Zahlreiche kleine und mittlere Unternehmen werden es nicht schaffen, bis zum Stichtag die Vorgaben der DSGVO zu erfüllen. Woran liegt es? Schließlich endet am 25. Mai 2018 eine zweijährige Übergangsphase – genug Zeit also, sich des Themas anzunehmen. Offenbar haben viele Unternehmensverantwortliche die Neuerungen im Datenschutzrecht lange erfolgreich ignoriert bzw. die Tragweite der Änderungen unterschätzt. Auch nahmen wohl viele an, dass die DSGVO ihr Unternehmen nicht beträfe, weil man ja gar keine personenbezogenen Daten verarbeite. Doch diese Annahme ist in den meisten Fällen falsch.
Die DSGVO zielt auf den Schutz sämtlicher Daten, die irgendeine Information zu einer natürlichen Person in der EU enthalten. Wer Beschäftige hat, verarbeitet also zwangsläufig auch personenbezogene Daten – und sei es bloß eine E-Mail von der Krankenkasse eines Arbeitnehmers. Darüber hinaus fällt die elektronische Verarbeitung und Speicherung von Kundendaten sowie von Angaben zu Mitarbeitern von Lieferanten und Dienstleistern unter die DSGVO (z. B. Namen, personalisierte E-Mail-Adressen, Telefondurchwahlen).
Die DSGVO erhöht die Anforderungen und die Strafen
Die DSGVO orientiert sich zwar in vielen Punkten am bisherigen (alten) Bundesdatenschutzgesetz (BDSG), doch in zahlreichen Punkten erlegt sie Unternehmen deutlich umfangreichere Pflichten auf:
Auch bei den Strafen, die bei Verstößen verhängt werden können, zieht die DSGVO die Zügel drastisch an: Ab dem 25. Mai 2018 können die Aufsichtsbehörden pro Datenschutzverstoß bis zu 20 Millionen Euro oder – wenn höher – 4 Prozent des weltweit erzielten Jahresumsatzes als Geldbuße verhängen. Bislang liegt der Maximalrahmen in Deutschland bei lediglich 300.000 Euro.
Tipp für DSGVO-Nachzügler: Umsetzungsschritte priorisieren
Unternehmen, die die Umsetzung der DSGVO-Vorgaben noch nicht weitgehend abgeschlossen haben, sollten unverzüglich ihre nächsten Schritte planen und priorisieren.
Erste Orientierung kann zum Beispiel ein Fragebogen geben, den das Bayerische Landesamt für Datenschutzaufsicht zum Download bereitstellt.
Ganz oben auf der Prioritätenliste sollte die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten stehen. Ein solches Verzeichnis ist für die Umsetzung eines funktionierenden DSGVO-konformen Datenschutzkonzepts unverzichtbar. Es zu erstellen erfordert jedoch einigen Aufwand. Daher sollten Unternehmen hier keine Zeit verlieren und mit der Erstellung zumindest beginnen.
Überhaupt ist es wichtig, dass man sämtliche Schritte, die in Richtung DSGVO bereits gemacht wurden bzw. geplant sind, dokumentiert. Eine gute Dokumentation kann möglicherweise strafmildernd wirken, wenn ein Betrieb die rechtlichen Anforderungen auch nach dem 25. Mai 2018 nur teilweise erfüllt, kann eine gute Dokumentation möglicherweise strafmildernd wirken. Darauf verlassen können sich Unternehmen allerdings nicht.
DSGVO-Nachzügler sollten sich daher – ggf. mit externer Unterstützung – jetzt vor allem den datenschutzrechtlichen Bereichen widmen, die von den Aufsichtsbehörden wahrscheinlich als erstes geprüft werden. Hierzu dürften nach Einschätzung von Rechtsexperten wie dem Hamburger Rechtsanwalt André Schmidt neben dem erwähnten Verzeichnis der Verarbeitungstätigkeiten unter anderem Einwilligungserklärungen, Informationspflichten, Datenschutzbelehrungen und Direktmarketing-Maßnahmen zählen.
Bildquelle: ihorzigor/iStockphoto.com