Skip to main content

07.05.2018 | Risikomanagement | Schwerpunkt | Online-Artikel

DSGVO-Wissen kurz vor knapp

verfasst von: Michaela Paefgen-Laß

4:30 Min. Lesedauer

Aktivieren Sie unsere intelligente Suche um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Am 25. Mai löst die EU-Datenschutz-Grundverordnung die seit 1995 geltende Datenschutzrichtlinie ab. Datenpannen können Unternehmen künftig durch Haftungserweiterungen und erhöhte Bußgelder teuer zu stehen kommen. 

Geht es um ihre persönliche Daten, reagieren die Deutschen empfindlich. Seit jeher. Lautstark protestierten sie 1987 gegen Datensammler, die mit dem Auftrag, das Volk zu zählen, von Haustür zu Haustür zogen. Gut 30 Jahre später braucht es längst keine händisch ausgefüllten Umfragebögen mehr, um an personenbezogene Daten zu kommen. Die landen entweder bereitwillig im Netz oder werden unachtsam hinterlassen. Die Vorsicht aber ist geblieben. Im aktuellen Consumer Barometer von den Beratungen KPMG und IFH Köln machten 84 Prozent der Befragten deutlich, dass ihnen der Schutz persönlicher Daten im Internet wichtig sei. Andererseits: Für Treuepunkte auf der Kundenkarte scheinen 87 Prozent ihre Vorbehalte zu relativieren. Bei Fitness und Bewegung lassen sich 34 Prozent tracken und 21 Prozent nutzen Tools zum Aufzeichnen von Gesundheitsdaten. Konsequent klingt anders, oder? 

Empfehlung der Redaktion

2018 | OriginalPaper | Buchkapitel

Das neue Datenschutzrecht und die Organhaftung bei Datenschutzverletzungen

Mit der Datenschutz-Grundverordnung (DS-GVO) und dem Datenschutz-Anpassungs- und Umsetzungsgesetz EU wird ab Mai 2018 für Unternehmen, Behörden und sonstige Organisationen europaweit ein neues Datenschutzregime Geltung erlangen.

Wer anvertraute Daten nicht schützt, bezahlt

Widersprüchlichkeiten im Nutzverhalten haben Unternehmen und Institutionen nicht zu scheren. Ihre oberste Aufgabe ist der Schutz aller persönlichen Daten, die durch kunden- oder mitarbeiterbezogene Aktivitäten erhoben werden oder anfallen. Verletzungen der Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt, können mit bis zu 20 Millionen Euro Bußgeld geahndet werden, oder vier Prozent des weltweit erzielten Jahresumsatzes betragen. Aus gutem Grund, wie die Springer-Autoren Paul Voigt und Axel von dem Bussche die Anforderungen an Datenschutzorganisationen erklären: "Da Datenverarbeitungen in Grundrechte der betroffenen Personen eingreifen, müssen die legitimen Interessen an deren Durchführung mit dem Interesse an einem effektiven Datenschutz in Einklang gebracht werden" (Seite 50). 

Die DSGVO unterscheidet nicht mehr zwischen Unternehmen und Behörden und auch nicht zwischen automatisiert und nicht-automatisiert erhobenen Daten. Artikel 5 fordert, dass sämtliche personenbezogenen Daten nach den Grundsätzen "Rechtmäßigkeit, Treu und Glauben, Transparenz" verarbeitet werden. Die Daten dürfen weiterhin nur für "eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden". Das betrifft Patienteninformationen im Hängeregister des Heilpraktikers genauso wie Mitarbeiterdaten des Global Players. Bei Verstößen gilt für beide: Die "Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein" (Art. 83 DSGVO). 

Wo Daten in guten Händen sind

Grundsätzlich akzeptieren die Deutschen, dass der technologische Fortschritt in ihre Privatsphäre eindringt. Von den 500 für den Consumer Barometer befragten Personen, nehmen 59 Prozent die Preisgabe persönlicher Daten als Begleiterscheinung  der modernen Kommunikation in Kauf. Ihr Vertrauen verteilen sie aber nicht blindlings, sondern schenken es den Unternehmen, bei denen es zumindest die Möglichkeit zum persönlichen Kontakt gibt. So glauben 87 Prozent ihre Daten bei der eigenen Krankenkasse und der Hausbank in guten Händen, 82 Prozent bei bekannten Zahlungsanbietern und 78 Prozent beim Händler mit Ladengeschäft. Dem Online-Handel vertrauen immerhin noch 70 Prozent. Beim Kauferlebnis im Netz ist der Ruf nach Datenschutz besonders hoch: 98 Prozent fordern sichere Zahlungsmethoden, 92 Prozent eine hohe Datensicherheit und 90 Prozent nachvollziehbare Datenschutzbestimmungen und AGBs. Darum kümmert sich nun die DSGVO.

Jetzt noch schnell Hausaufgaben machen

Nach dem 25. Mai werden sich nicht nur Onlinehändler datenschutzkonforme Webseiten liefern und sich mit der Frage nach einem Datenschutzbeauftragten beschäftigen müssen. Heilpraktiker, Ärzte, Unternehmen mit kleinem wie großem Mitarbeiterstamm, Behörden, Vereine, Konzerne, Gemeinden sind gleichermaßen aufgerufen. In Artikel 32 fordert die DSGVO zur Sicherheit der Datenverarbeitung sowohl vom Auftragegeber als auch vom Dienstleiter "geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Wer das noch nicht getan hat, muss sich jetzt beeilen und nachbessern. Was zu tun ist um ein angemessenes Datenschutzniveau zu garantieren, erklären Paul Voigt und Axel von dem Bussche auf Seite 48:

  • Minimierung der Verarbeitung personenbezogener Daten
  • Pseudonymisierung (so früh wie möglich) 
  • Der betroffenen Person ermöglichen, die Verarbeitungsvorgänge zu überprüfen
  • Schaffung und Verbesserung von Sicherheitsfeatures
  • Die präventiven Schutzkonzepte Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen 
  • Bauliche Maßnahmen zur Verhinderung eines unbefugten physischen Zugriffs auf personenbezogene Daten, wie gesicherte Räume, Wachpersonal, passwortgesicherter Zugang oder Mitarbeiterkennungsmaßnahmen
  • Regelmäßige Schulungen von Angestellten im Hinblick auf Datenschutz
  • Kodierte Datentransfers
  • Regelmäßige Überprüfungen des Datenschutzniveaus

Wer einen Datenschutzbeauftragten braucht

Die meisten Unternehmen müssen ab dem 25. Mai einen Datenschutzbeauftragten bestellen. Sonderreglungen gelten für kleine Betriebe, in denen weniger als neun Mitarbeiter regelmäßig am Computer sitzen. Zum Datenschützer können externe Experten oder laufend geschulte Mitarbeiter ernannt werden. Diese sind einzig dem Datenschutz verpflichtet und müssen ihre Aufgabe unabhängig erfüllen können. Interne Datenschutzbeauftragte dürfen vom "Verantwortlichen/Auftragsverarbeiter wegen der Erfüllung ihrer Aufgaben nicht abberufen oder benachteiligt werden" (Seite 76). Wegen möglicher Interessenskonflikte dürfen aber weder IT-Mitarbeiter noch Mitglieder der Geschäftsleitung diese Funktion übernehmen. Denn gerade diese soll der Datenschutzbeauftragte ja beaufsichtigen. Somit gilt auch beim Thema Datenschutz die Regel: Man darf den Bock nicht zum Gärtner machen. 

Doch rund vier Wochen vor Inkrafttreten der Datenschutzgrundverrodnung herrscht noch erschreckende Unkenntnis in mittelständischen Unternehmen, hat eine Forsa-Umfrage unter mehr als 500 Teilnehmern ermittelt. 36 Prozent geben an, von dieser neuen Regelung noch nichts gehört zu haben, 20 Prozent haben noch nichts für die Umsetzung vorbereitet.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

26.04.2018 | Compliance | Infografik | Online-Artikel

Wenige Unternehmen sind fit für die DSGVO

19.04.2018 | Compliance | Schwerpunkt | Online-Artikel

Big Brother im Büro