DSGVO – die Behörden prüfen

In den letzten Wochen hat es immer wieder Meldungen gegeben, dass die Datenschutzaufsichtsbehörden der Bundesländer ihren Kontrollaufgaben nicht gewachsen sind. Fakt ist, dass schon zu Zeiten des BDSG-aF kontrolliert wurde. Und nachdem sich inzwischen die erste Aufregung um die DSGVO seit ihrem Inkrafttreten am 25. Mai gelegt hat, ist mit Prüfungen durch die Behörden zu rechnen.

Die Dokumentationspflichten nach DSGVO sind wesentlich umfassender als noch zu Zeiten des BDSG-aF. Auch die Bußgelder bei Verstößen gegen die DSGVO sind empfindlich. Daher sind Unternehmen gut beraten, fit für die DSGVO zu sein.

Niedersachsen prüft

So prüft die niedersächsische Landesbeauftragte für den Datenschutz, Barbara Thiel seit Ende Juni 50 Unternehmen „Ich möchte mir zunächst einen Überblick darüber verschaffen, wie die Firmen die zweijährige Übergangszeit bis zur Geltung der DSGVO genutzt haben“ erläutert die Datenschutzbeauftragte und weiter – „Mein Hauptanliegen dabei ist es zu identifizieren, ob es bei den verantwortlichen Stellen noch Nachholbedarf gibt. Außerdem möchte ich mit dieser Prüfung das Bewusstsein für Datenschutz im Allgemeinen und die Vorschriften der DSGVO im Speziellen stärken. Es geht zum jetzigen Zeitpunkt also nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Stattdessen möchten wir aufklären, sensibilisieren und wertvolle Hinweise geben. Trotzdem kann es natürlich zu einem entsprechenden Verfahren kommen, wenn wir während der Prüfung Verstöße gegen die DSGVO feststellen.“ Auf der Website der niedersächsischen Landesbeauftragten sind die weiteren Informationen nachzulesen und Downloads der Fragebögen.

Der bayerische Löwe ist unterwegs

Auch in Bayern schlafen die Behörden nicht. Zum Teil plant das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) sogar Kontroll-Besuche der zuvor schriftlich überprüften Unternehmen. Zwanzig Online-Shops wurden auf die Verwendung von veralteten eCommerce-Systemen überprüft. Auch Ärzte in Bayern dürfen mit Kontrollen des BayLDA  rechnen. Das große Thema bei den Medizinern sind Verschlüsselungstrojaner. Darüber hinaus stehen drei Großkonzerne auf der Liste. Sie haben erst einmal je 50 Fragen erhalten, ob in den Unternehmen eine datenschutzkonforme Verarbeitung personenbezogener Daten stattfindet und wie mit Betroffenenrechten umgegangen wird. Weiter prüft das BayLDA bei 15 zufällig ausgewählten Vereinen und Unternehmen, ob und wie die Informationspflichten in Bewerbungsverfahren eingehalten werden. Und schließlich werden kleine und mittlere Unternehmen überprüft, von denen etwa die Hälfte durch Beschwerden aufgefallen ist. Auch hier sind die detaillierten Information sowie Fragebögen auf der Website der Behörde hinterlegt.

Autor – Daniela Maria Hübsch
Bild –  Freistaat Bayern – Bayerisches Staatsministerium

100 Tage DSGVO

So schlimm war es doch gar nicht! Die nach Inkrafttreten der DSGVO in einigen Medien befürchteten Szenarien von Abmahnwellen oder massenweise Verhängungen von Bußgeldern durch die Behörden sind glücklicherweise ausgeblieben.

Aber es hat sich auch gezeigt, dass die Bürger ihre Rechte nach der DSGVO wahrnehmen! Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff stellte 100 Tage nach Einführung der DSGVO eine signifikante Steigerung von Datenschutz-Eingänge fest: „So erreichten mein Haus seit dem 25. Mai bis Mitte August insgesamt 1.020 Beschwerden und 1.453 Allgemeine Anfragen. Auch die in meinen Zuständigkeitsbereich fallenden Institutionen nehmen ihre Pflichten ernst, meldeten im vorgenannten Zeitraum 4.254 potentielle Datenschutzverstöße und baten darüber hinaus um Beratung.“

DSGVO ist Betroffenenrecht

Die DSGVO will unter anderem die Betroffenenrechte von 500 Millionen EU-Bürgern nachhaltig stärken, denn persönliche Daten sind ein außerordentlich begehrtes Handelsgut. So stellt die DSGVO hohe Anforderungen an die Transparenz von Unternehmen und Behörden. Gleichzeitig haben diese umfangreiche Informations- und Benachrichtigungspflichten gegenüber den Betroffenen. Sinn und Zweck ist, dass Bürger leichter Konsequenzen und Reichweite der Datenverarbeitung absehen und ihre Rechte besser in Anspruch nehmen können.

Ruhe vor dem Sturm

Dass die Kontrolle und Durchsetzung der DSGVO für Unternehmen weiterhin so vor sich hinplätschert, ist unwahrscheinlich. Es hat ja auch vereinzelte Abmahnungen gegeben. Dabei wurden Entschädigungszahlungen bis zu 12.500 Euro für die Verletzung des Rechts auf Datenhoheit und einen Verstoß gegen die informelle Selbstbestimmung, fällig. Die Aufsichtsbehörden haben die ersten Anstürme nun langsam aber sicher abgearbeitet, neue Mitarbeiter eingestellt, soweit notwendig geschult und es ist davon auszugehen, dass die Kontrollen auf Einhaltung der DSGVO zunehmen.

Gutes Datenschutzmanagement ist auch Unternehmensschutz

Betriebe, die sich für die DSGVO rüsten, sichern sich wesentliche Vorteile, nicht nur den Aufsichtsbehörden gegenüber! Denn in Zukunft kommt kein Geschäftsmodell mehr ohne die automatisierte Verarbeitung personenbezogener Daten aus. Und genau hier liegt die Achillesferse: Ungenügend strukturierte und gesicherte Daten machen angreifbar und in vielerlei Hinsicht nachhaltig verwundbar. Jedes zweite Unternehmen in Deutschland war schon Opfer von digitaler Sabotage, Spionage oder Datenklau. Die betroffenen Unternehmen haben bei solchen GAU nicht nur finanziellen Schaden, sondern müssen sich in- und extern mit hohen Vertrauensverlusten auseinandersetzen.

Auch aus diesen Gründen macht die Implementierung zuverlässiger, sicherer und rechtskonformer Datenschutz-Management-Systeme Sinn.

Autor – Daniela Maria Hübsch
Bild – Thinkstock

Datenschutz als Chance

Seit 25. Mai 2018 muss die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt werden. In allen EU-Mitgliedsstaaten sollen „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art 4 Nr. 1 DSGVO), künftig einheitlich erfasst, verarbeitet, gespeichert, verwendet und gelöscht werden. Die Verordnung gilt für sämtliche Unternehmen, die in der EU tätig sind und Daten von EU-Bürgern verarbeiten.

Auf die meisten Unternehmen kommt jetzt erst einmal viel Arbeit zu. Prozesse, bei denen personenbezogene Daten verarbeitet werden, müssen durchleuchtet, dokumentiert, teilweise  angepasst oder gar vollkommen verändert werden. Daten wie Namen und Mailadressen von Kunden und Geschäftspartnern, Beschäftigtendaten, Gesundheits- und Zahlungsdaten, Konto- und Kreditkartennummern dürfen nur noch eindeutig zweckgebunden verwendet werden. Für jede Verwendung muss die Rechtmäßigkeit nachweisbar vor-liegen. Selbst eine IP-Adresse ist nun ein personenbezogen-es Datum. Es gibt feste Löschvorgaben,  umfassende Informationspflichten …und das ist lange noch nicht alles.

Hohe Geldbußen bei Verstößen

Wer das aussitzen möchte und auf eine baldige Änderung der Gesetzgebung hofft, wird womöglich schmerzhaft eines Besseren belehrt, denn Datenschutzverstöße sind nun richtig teuer. Aber nicht nur deswegen lohnt es sich, die neue Richtlinie im eigenen Unternehmen umzusetzen.

Vorteil Prozessoptimierung

Der ganze Aufwand hat nämlich durchaus Vorteile. Wer seine Daten zentralisiert, kann sie besser  handhaben und Analysen leichter automatisieren. Er kann pseudonymisierte Daten künftig zum Beispiel für Tests verwerten und an Dritte weitergeben – also auch für Zwecke, denen der Kunde ursprünglich nicht zugestimmt hat. Er ist auch in der Lage, Betrugsmuster schneller zu erkennen und prompt auf Kundenanfragen zu reagieren. Weniger Daten verringern Speicherplatz – damit sinkt auch die Wahrscheinlichkeit, Opfer einer Cyberattacke zu werden.

Compliance als Kundenbindungsmaßnahme

Last but not least schafft effektiver Datenschutz Vertrauen.  Mitarbeiter Kunden und Lieferanten rechnen es einem Unter-nehmen hoch an, wenn es verantwortungsvoll mit persönlich-en Informationen umgeht. Wer seinen Kunden die Kontrolle über ihre Daten zurückgibt und das Recht ermöglicht, auch wieder vergessen zu werden, kann sich damit einen nicht zu unterschätzenden Wettbewerbsvorteil schaffen.

Autor: Daniela Maria Hübsch
Bild: Daniela Maria Hübsch