Überblick
Empfehlungen
Nächste Schritte
Soziale Medien
Wie die DSGVO unser Verständnis von Datenschutz verändert hat
Die aktuelle, wenn auch nicht mehr ganz neue EU-Datenschutzverordnung (DSGVO) trat am 25. Mai 2018 in Kraft und hat unser Verständnis von Datenschutz von Grund auf verändert. Ob Privatperson oder Unternehmen, fast jeder und jede von uns ist bereits mit der DSGVO in Berührung gekommen: wenn man der Nutzung seiner Daten für Marketingzwecke zustimmt, auswählt, welche Cookies man zulässt, oder wenn man für sein Unternehmen im Zuge eines DSGVO-Projekts die Vorgaben der Verordnung umsetzt, womit oft eine lange und turbulente Reise durch das Datenschutzuniversum beginnt.
Um es mit den Worten des ehemaligen stellvertretenden US-Generalstaatsanwalts Paul McNulty zu sagen: „Sie halten Compliance für kostspielig? Dann probieren Sie es doch einmal mit Non-Compliance.“
Für Unternehmen, die dem Geltungsbereich der DSGVO unterliegen, ist die Befolgung der Auflagen nicht Kür, sondern Pflicht. Verschiedene Aufsichtsbehörden verfolgen unterschiedliche Ansätze dabei, Strafen zu erlassen und deren Höhe festzulegen. Die in der DSGVO festgelegten Geldbußen sind unterteilt in Bußen für weniger gravierende Datenschutzverletzungen (z. B. hinsichtlich Pflichten von Verantwortlichen und Auftragsverarbeiter*innen), die bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes des Unternehmens betragen können, und Geldstrafen für grobe Übertretungen (wie etwa die Verletzung von Rechten der betroffenen Person oder Grundsätzen der Verarbeitung oder die Übermittlung personenbezogener Daten an Empfänger*innen in einem Drittland), die bis zu 20 Millionen Euro oder 4% des konzernweiten Jahresumsatzes ausmachen können; in beiden Fällen kommt dabei die höhere Geldstrafe zur Anwendung.
Die einfache Antwort: Halten Sie sich an die Regeln. Im Zuge der Umsetzung der DSGVO-Auflagen wurde zahlreichen Unternehmen bewusst, dass sie keine klare Vorstellung davon hatten, welche Schritte zur Erfüllung der Verordnung erforderlich waren. Die DSGVO beinhaltet nur Angaben zu den Rahmenbedingungen; da sie jedoch in unterschiedlichen Ländern und Branchen zum Einsatz kommt, regelt sie die konkrete Umsetzung nicht. Vor diesem Hintergrund ist eine Auseinandersetzung mit einer breiten Palette an Informationsquellen notwendig, wie etwa Handreichungen zuständiger Behörden und Organisationen, kontextspezifische anwendbare Gesetze sowie Marktgepflogenheiten und Normen, um aus den einzelnen Puzzlestücken ein Gesamtbild zusammensetzen und das gewünschte Ergebnis erzielen zu können. Es zeigt sich, dass auch die vermeintlich einfache Antwort alles andere als simpel ist.
Die komplexe Antwort: Es hängt von den betroffenen Personen und den verarbeiteten Daten ab. Warum das so ist? Eine wichtige Komponente bei der Umsetzung der DSGVO ist es, die betroffene Person nicht aus den Augen zu verlieren. Die Berücksichtigung ihrer Rechte stellt einen grundsätzlichen Unterschied zur früheren Datenschutzrechtsprechung dar und für diesen Bereich sind auch die höchsten Geldbußen vorgesehen. Nicht ohne Grund meinen viele, dass die Verordnung nicht Daten schützt, sondern die Personen, deren Daten verarbeitet werden. Ein eingehendes Verständnis der betroffenen Personen (sowie ihrer Daten, die Sie verarbeiten) und ein ernst gemeintes Interesse daran, ihre Rechte zu schützen, ist ein verlässlicher Erfolgsfaktor bei der Umsetzung Ihres Datenschutzprogramms. Beschäftigen Sie sich mit den Erwartungen der betroffenen Personen. Entwickeln Sie ein eingehendes Verständnis der Businessstrategie Ihres Unternehmens, da diese im engen Zusammenhang mit Ihrer Datenschutzstrategie steht. Denken Sie in Prozessen, beachten Sie branchenspezifische Besonderheiten sowie den rechtlichen und regulatorischen Rahmen. Die Geschäftsführung muss konsequent hinter der Strategie stehen, aber auch die IT- und Informationssicherheitsexpert*innen des Unternehmens sollten unbedingt an Bord sein. Dabei ist es wichtig, eine gemeinsame Sprache zu sprechen, da Datenschutz ohne umfassende Informationssicherheit nicht umsetzbar ist. Bauen Sie Ihr Datenschutzsystem auf diesen Elementen auf und unterschätzen Sie dabei nicht, wie wichtig in diesem Zusammenhang das Problembewusstsein der Mitarbeiter*innen ist und welche Risiken und Bedrohungen mit halbherzigen Datenschutzmaßnahmen einhergehen: Jede Organisation ist nur so stark wie ihr schwächstes Glied. Die Notwendigkeit regelmäßiger Überprüfungen und Audits sowie laufender Überwachung und kontinuierlicher Optimierung steht nicht zur Debatte, denn Datenschutz ist keine Eintagsfliege. Dieses Thema wird uns auch in Zukunft intensiv beschäftigen.
Wenn Sie mehr über das Thema Cyber Security und Cybercrime erfahren wollen, klicken Sie bitte hier.