Stichtag 25. Mai 2018

DSGVO setzt unter Handlungsdruck

| Autor / Redakteur: Frank M. Esser / Dr. Andreas Bergler

Bis die DSGVO Geltung erlangt, bleibt den Unternehmen weniger als ein halbes Jahr.
Bis die DSGVO Geltung erlangt, bleibt den Unternehmen weniger als ein halbes Jahr. (Bild: momius - stock.adobe.com)

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) setzt viele Unternehmen unter Zugzwang. Bis zu ihrem Gültigkeitsdatum am 25. Mai 2018 müssen Unternehmen einen Weg finden, die neuen Anforderungen an den Datenschutz zu erfüllen.

Ab 25. Mai 2018 gelten auch für Unternehmen die Bestimmungen der EU-Datenschutz-Grundverordnung. Erfüllen Unternehmen diese Anforderungen nicht, drohen nicht nur empfindliche Bußgelder bis zu vier Prozent des weltweit erzielten Jahresumsatzes oder bis zu 20 Millionen Euro. Behörden werden laut EU-DSGVO auch Datenschutzüberprüfungen in Unternehmen vor Ort durchführen, Zugang zu deren Geschäftsräumen verlangen, bei Datenschutzverletzungen auch Verarbeitungen von Daten einschränken können und vieles mehr. Um den anstehenden Veränderungen Sorge zu tragen, müssen Unternehmen sich ausführlich und ganzheitlich mit dem Thema Datenschutz beschäftigen.

DSGVO betrifft fast alle

Zahlreiche Unternehmen sind der Meinung, vom Thema Datenschutz nicht betroffen zu sein, beispielsweise wenn weil sie nur Kontakte mit Partnerunternehmen pflegen. Diese Annahme ist falsch. Nahezu alle Unternehmen haben beispielsweise Informationen über ihre Mitarbeiter und neue Bewerber gespeichert oder horten in sonstigen Datenhalden personenbezogene Daten. So umfasst der Begriff der Verarbeitung aus der EU-DSGVO auch die bloße Erhebung oder Speicherung von personenbezogenen Daten. Damit können auch Unternehmen, die via Webseite technische Daten von Besuchern erheben, betroffen sein. Vor wenigen Monaten hatte der Europäische Gerichtshof (EuGH) entschieden, dass selbst dynamische IP-Adressen regelmäßig als personenbezogene Daten einzuordnen sind. Somit hat nahezu jedes Unternehmen mit personenbezogenen Daten zu tun, die unter die EU-DSGVO fallen.

Für eine Verarbeitung personenbezogener Daten gilt der sogenannte Erlaubnisvorbehalt, nach dem jede Verarbeitung dieser Daten grundsätzlich verboten ist, solange nicht eine gesetzliche Erlaubnis oder eine explizite Einwilligung des Betroffenen in die konkrete Datenverarbeitung vorliegt. Selbst eine Einwilligung des Betroffenen muss stets strengen Grundsätzen folgen; Wurden diese Grundsätze bei Erhebung der Einwilligungen nicht beachtet, sind sämtliche bereits erteilten Einwilligungen ungültig und Datenverarbeitungen damit rechtswidrig.

Datenschutz-Herausforderungen im Betriebsalltag

Die Relevanz des Themas im Alltag zeigt sich bereits an einfachen Beispielen. Mitarbeiter tauschen im Team mit Dritten über eine WhatsApp-Gruppe Daten aus. Da WhatsApp das Adressbuch des Telefons ausliest, auf dem die App installiert ist, stehen somit auch personenbezogene Daten von Dritten über deren Kontakte im Telefonadressbuch im Zugriff. Diese Personen haben aber weder einer Weitergabe personenbezogener Daten zugestimmt, noch müssen sie Vertragspartner von WhatsApp sein.

Speichert das Unternehmen personenbezogene Daten in der Cloud (Dropbox, iCloud, Microsoft OneDrive & Co.), ist die Ausgangslage ebenso problematisch. Zwar hat beispielsweise Dropbox erst kürzlich angekündigt, Daten von deutschen Nutzern zukünftig in Deutschland zu speichern, um deutschen Nutzern beim Datenschutz entgegenzukommen. Allerdings ist alleine die Tatsache, dass personenbezogene Daten auf fremden Servern liegen, problematisch. Zudem sind viele Cloud-Dienste unverschlüsselt, was auch aus dem Blickwinkel der Datensicherheit sehr bedenklich ist.

Und was, wenn die Mitarbeiter den geschäftlichen E-Mail-Account auch privat nutzen dürfen? Fällt dann ein Mitarbeiter länger aus und greift zwischenzeitlich ein anderer Mitarbeiter des Unternehmens auf seine Nachrichten im E-Mail-Postfach zu, kann dies datenschutzrechtliche Konsequenzen haben. Falls berufliche und private Nachrichten im selben Postfach liegen, können Zugriffe auf das Postfach eine Verletzung des Fernmeldegeheimnisses darstellen. Sie wären somit strafbar.

Wie sich der Herausforderung stellen?

Um sich für die anstehenden Änderungen im Datenschutz zu wappnen, ist es unumgänglich, sich im Unternehmen zunächst einen Überblick über sämtliche Prozesse, Systeme und Datenflüsse zu verschaffen und zu prüfen, ob darüber personenbezogene Daten verarbeitet werden. Mit Blick auf die Datensicherheit sollte in diesem Zusammenhang frühzeitig die IT-Sicherheitsabteilung in die Risikoanalysen einbezogen werden.

Aus diesen Informationen ist ein Verfahrensverzeichnis zu erstellen, indem jeder Prozess, über den personenbezogene Daten verarbeitet werden, zu dokumentieren ist. Neben den gesetzlichen Anforderungen sollten darin auch andere Risiken und Maßnahmen aufgelistet werden. Sollte es später zu einer Überprüfung durch die Behörden kommen, wird ein vorliegendes, stets aktuelles Verfahrensverzeichnis von fundamentaler Bedeutung sein.

Der Weg zur Erfüllung der bereits bestehenden und hinzukommenden Datenschutzanforderungen ist mit vielen Stolpersteinen gepflastert. Eine Aufsichtsbehörde wird aber nicht sofort die höchsten Bußgelder verhängen, wenn ein Unternehmen aufzeigen kann, dass es sich mit dem Thema Datenschutz beschäftigt hat und zumindest die grundsätzlichen Maßnahmen getroffen hat.

* Frank M. Esser ist Consultant bei BridgingIT.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45062721 / Recht)