Skip to main content

Sind Sie bereit für die Datenschutzgrundverordnung (DSGVO)?

Sind Sie bereit für die Datenschutzgrundverordnung (DSGVO)

Vielen Managern und Datenschutzverantwortlichen in mittelständischen Firmen brennt das Thema DSGVO unter den Nägeln. Die Sorge ist begründet, denn die Zeit drängt: Am 25. Mai 2018 tritt die Datenschutzgrundverordnung in allen Mitgliedsstaaten in Kraft. 

Nur jedes fünfte Unternehmen glaubt, die neuen Datenschutz-Regelungen fristgerecht umsetzen zu können. Alarmierende Zahlen, denn wer seine Hausaufgaben nicht macht, riskiert einen Konflikt mit dem Gesetz – und Unternehmen, die sich der Hoffnung hingeben, dass Verstöße nicht geahndet werden, irren gewaltig: Die zuständigen Aufsichtsbehörden rüsten ihren Personalbestand derzeit massiv auf und machen sich bereit für regelmäßige Kontrollen.

Für wen gilt die DSGVO?

Betroffen von der Datenschutzgrundverordnung sind alle Unternehmen, die personenbezogene Daten von EU-Bürgern erheben, verarbeiten, kontrollieren, hosten oder weiterleiten. Ausnahmeregelungen für kleine Unternehmen gibt es nicht. Wer also beispielsweise eine Kundendatenbank pflegt, Mailings verschickt und Rechnungen schreibt, muss den betrieblichen Datenschutz 2018 entsprechend anpassen.

Wichtig: Es reicht nicht aus, die Vorschriften des aktuell geltenden BDSG zu erfüllen, denn die neuen Datenschutz-Regelungen sind in Teilbereichen deutlich strenger!

Was passiert bei Verstößen gegen die DSGVO?

Zuwiderhandlungen gegen die neue DSGVO sollen „wirksam, verhältnismäßig und abschreckend“ geahndet werden. Entsprechend drastisch fallen künftig auch die Strafen aus: Wer bislang bei einem Verstoß gegen das BDSG mit einer Maximalstrafe von 300.000 Euro rechnen musste, riskiert ab Mai 2018 Bußgelder bis zu 20 Millionen Euro (oder bis zu vier Prozent des globalen jährlichen Umsatzes). Neu sind in der Datenschutzgrundverordnung außerdem Schadensersatzzahlungen bei immateriellen Schäden, beispielsweise in Fällen von Identitätsdiebstahl oder Rufschädigung.

Was ändert sich durch die DSGVO konkret?

Um die Regelungen der Datenschutzgrundverordnung zu erfüllen, sollten alle Unternehmen ihre Arbeitsabläufe und IT-Systeme prüfen, ob sie die Anforderungen der DSGVO hinsichtlich Transparenz und Dokumentation erfüllen. Im Wesentlichen sind ab Mai 2018 zehn Aspekte relevant:

  1. Beweislast-Umkehr und Rechenschaftspflicht
    Jedes Unternehmen muss künftig nachweisen können, dass es geeignete technische und organisatorische Maßnahmen für die Datensicherheit ergriffen und umgesetzt hat. Es ist nicht ausreichend, neue Prozesse für die Verarbeitung personenbezogener Daten einzuführen, sondern es müssen Kontrollen durchgeführt und deren Ergebnisse dokumentiert werden. 
  2. Rechtmäßigkeit, Zweckbindung und Datenminimierung 
    Unternehmen, die persönliche Daten speichern, müssen die Einwilligung der entsprechenden Personen einholen. Zudem muss der jeweilige Zweck der Datenverarbeitung eindeutig definiert und der Umfang der gespeicherten Daten diesem Zweck entsprechend beschränkt werden.
  3. Transparenz und Integrität
    Unternehmen müssen nicht nur dokumentieren, wie personenbezogene Daten verarbeitet werden, sondern sie müssen natürliche Personen auch über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung ihrer Daten informieren. Bei der Verarbeitung personenbezogener Daten muss gemäß DSGVO eine angemessene Sicherheit vor unbefugtem Zugriff und Zerstörung der Daten gewährleistet sein.
  4. Koppelungsverbot
    Das aus dem alten BDSG bekannte Koppelungsverbot wird in der DSGVO strenger: Zusatzleistungen dürfen nicht davon abhängig gemacht werden, dass die betroffene Person in die Verarbeitung der Daten einwilligt – beispielsweise Gewinnspiele, welche die Eintragung in Newsletter-Verteiler voraussetzen.
  5. Recht auf Korrektur, „Vergessenwerden“ und Übertragung
    Jeder kann aktiv verlangen, dass die über ihn gespeicherten Daten korrigiert, gelöscht oder an Dritte übertragen werden. Dabei ist immer sicherzustellen, dass keine Spuren im System verbleiben (Links oder Duplikate).
  6. Datenschutz-Folgenabschätzung
    Werden besonders sensible Daten verarbeitet, sieht die Datenschutzgrundverordnung eine sogenannte Datenschutz-Folgenabschätzung vor. Konkret muss der Datenschutzbeauftragte die Risiken für die Persönlichkeitsrechte des Betroffenen prüfen und eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung abgeben. Typische Fälle sind beispielsweise Angaben zur Religion, ethnischer Herkunft, politischen Meinungen oder Gesundheitsdaten, ebenso wie automatisierte Scoring-Verfahren, Bonitätsauskünfte und die umstrittene Videoüberwachung öffentlicher Räume.
  7. One-Stop-Shop-Prinzip
    Unternehmen arbeiten künftig ausschließlich mit der Datenschutzbehörde des Mitgliedsstaates zusammen, in dem sich der Hauptsitz des Unternehmens befindet.
  8. Meldepflicht 
    Verletzungen der Datenschutzverordnung müssen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Behörde gemeldet werden. Sofern der Vorfall ein hohes Risiko für die persönlichen Rechte der Betroffenen haben könnte, sind diese Personen ebenfalls zu informieren.
  9. Stärkung des Datenschutzbeauftragten
    Mit dem Inkrafttreten der DSGVO wird die Pflicht zur Ernennung eines Datenschutzbeauftragten erstmals auf ganz Europa ausgedehnt. Über eine Öffnungsklausel hat der deutsche Gesetzgeber diese Pflicht konkretisiert: Ein Datenschutzbeauftragter ist – wie bereits im BDSG – nur bei Unternehmen vorgeschrieben, bei denen mindestens zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Erweitert wird dieser Kreis aber um alle Unternehmen, die der Datenschutz-Folgenabschätzung unterliegen oder die Daten nur im Auftrag Dritter verarbeiten (wie beispielsweise Cloud-Anbieter). Wichtig: Laut DSGVO hat der Datenschutzbeauftragte künftig nicht mehr nur eine beratende und unterstützende Funktion, sondern „umfassende Überwachungspflichten“ mit persönlicher Haftung!
  10. Technischer Datenschutz
    Fakt ist: Eine rechtskonforme Umsetzung der Datenschutzgrundverordnung erfordert IT-Systeme, welche die Einhaltung der neuen Datenschutz-Regelungen unterstützen. Die DSGVO befasst sich unter anderem in einem eigenen Artikel mit den IT-Konzepten „Privacy by Design“ und „Privacy by Default“, sodass der Datenschutz künftig bereits in der Softwareentwicklung deutlich stärker berücksichtigt werden muss, beispielsweise in Form von datenschutzfreundlichen Voreinstellungen wie automatischen Speicherfristen oder Features, die den unerlaubten Zugriff auf Daten verhindern.

Wie wird die DSGVO effizient umgesetzt?

Je nachdem, wie gut die bisherigen Datenschutz-Regelungen des alten BDSG bereits in den Unternehmensprozessen verankert sind, kann die Umsetzung der DSGVO erhebliche Ressourcen binden. Grundsätzlich verläuft die Anpassung der Compliance in drei Phasen:

  • Schritt 1: Projektvorbereitung
    Neben dem Commitment des Managements müssen die benötigten Ressourcen bereitgestellt und das nötige Know-how im Unternehmen aufgebaut (oder über externe Berater eingekauft) werden.
  • Schritt 2: Umsetzung
    Alle Prozesse, in denen personenbezogene Daten erhoben, verarbeitet und gespeichert werden, kommen auf den Prüfstand und werden mit den Vorschriften der DSGVO Für identifizierte Schwachstellen wird ein Maßnahmenplan aufgestellt, der bis zum 25. Mai 2018 umgesetzt werden muss.
  • Schritt 3: Laufender Datenschutz
    Ab 25. Mai 2018 sind regelmäßige Kontrollen sowie Audits sicherzustellen und die vorgeschriebenen Verzeichnisse zu pflegen.

Empfehlenswert ist es, einen kontinuierlichen Wissenstransfer rund um das Thema Datenschutz aufzubauen. Nur so ist gewährleistet, dass der Datenschutz nicht nur zum 25. Mai 2018 auf dem aktuellen Stand der DSGVO ist, sondern dauerhaft rechtskonform bleibt. Auch wenn die Unternehmensgröße keinen Datenschutzbeauftragten vorschreibt, sollte sich deshalb ein Datenschutzverantwortlicher über gesetzliche Änderungen auf dem Laufenden halten und prüfen, welche Auswirkungen diese auf interne Abläufe oder die technische Infrastruktur haben.

kostenloses ebook bereit fuer die datenschutzgrundverordnung

© Bild: istockphoto.com / scyther5 / Bildnummer: 516607038

0721 / 96723-263
+43 1 319 15 19
+49 721 96 72 30
703-444-2500
+38 061 21 37 855
+420 241 931 544
+31 (0)85 3033 555
+421 903 717 980
+55 - 11 5054 - 5500
+852-2793-3317
+91 77559 04373
+62 (21) 293 19 366
+603-56124999
++94 76 666 9070
+66 81 6297375
+359 2 423 61 56

Kontakt

Diese Einwilligung können Sie jederzeit durch eine Nachricht an [email protected] widerrufen. Wir versichern Ihnen, dass die Angaben streng vertraulich und nur von der abas Software GmbH sowie den abas Software Partnern gemäß unserer Datenschutzerklärung genutzt werden.

abas Hauptsitz

0721 / 96723-263
abas Software AG
Gartenstraße 67
76135 Karlsruhe
Deutschland

Nittmann und Pekoll GesmbH

+43-1-319-15-19
abas Austria
Rufgasse 9/25
1090 Wien
0721 / 96723-263
abas Software AG
Gartenstraße 67
76135 Karlsruhe
Deutschland

North American Headquarters

703-444-2500
abas USA
45999 Center Oak Plaza
Suite 150
Sterling, VA20166

Infocom Ltd.

+38 061 21 37 855
bul. t. Shevchenko, 56
Zaporozheye
69001

amotIQ sro

+420 241 931 544
Belnická 603
252 42 Jesenice u Prahy

ABAS Business Solutions Nederland BV

+31 (0)85 3033 555
abas Netherlands
Beilerstraat 24
9401 PL Assen

amotIQ sro

+421 903 717 980
amotIQ sro
Palarikova 36
900 28 Ivanka pri Dunaji

SHP Informática Ltda

+55 - 11 5054 - 5500
SHP Informática Ltda
Alameda dos Jurupis, 452, 7°andar - Conjunto 73/74
Sao Paulo - SP 04088-001

abas Business Solutions Limited

+852- 2793-3317
abas Hong Kong
1621, New Tech Plaza
34 Tai Yau Street
Hong Kong

abas Force India Pvt. Ltd.

+91-77559-04373
abas India
303, Aspiro Complex, Opp. Thyssenkrupp,
Pimpri Stn. Road, Pimpri,
Pune 411018

PT. abas Information Systems

+62 (21) 293 19 366
abas Indonesia
11620 Taman Aries, Jakarta barat Jakarta
Grand Aries Niaga G1-2H

Synchro RKK Sdn Bhd

+603-56124999
abas Malaysia
Sunway Geo Avenue,
Jalan Lagoon Selatan
Sunway South Quay,
Bandar Sunway
Subang Jaya Selangor 47500

Providence Global Pvt Limited

+94 770415387
Providence Global Pvt Limited
752/1
Dr De Silva Mawatha
Colombo 09

Wisdom Information Systems

+66-29340451/52/53
Wisdom Information Systems
208/5 Ladprao Soi 126
Bangkok 10310

abas Бизнес Сълюшънс България ООД

+359 2 423 61 56
abas Бизнес Сълюшънс България ООД
жк. Младост 1А, бл.553А, офис 1
1729 София