8 Tipps Was Sie jetzt über die DSGVO wissen müssen

Autor / Redakteur: Esther Niederhammer / Robert Horn

Am 25. Mai 2018 endet die Übergangsfrist für die Europäische Datenschutzgrundverordnung (EU-DSGVO). Damit werden die Datenschutzregeln für Unternehmen und Behörden deutlich strenger. Viele bisherige Datenschutzmaßnahmen müssen hinterfragt, aktualisiert oder erweitert werden.

Firmen zum Thema

Am 25. Mai 2018 endet die Übergangsfrist für die europäische Datenschutz-Grundverordnung. Betroffen sind alle europäischen Unternehmen.
Am 25. Mai 2018 endet die Übergangsfrist für die europäische Datenschutz-Grundverordnung. Betroffen sind alle europäischen Unternehmen.
(Bild: Pixabay / CC0 )

Ohne Daten geht in der modernen Wirtschaft gar nichts: keine Bestellung, keine Produktion, kein Verkauf, kein Kundenservice, keine Werbung von Neukunden und auch keine Mitarbeiterverwaltung. Erhebung und Verarbeitung von personenbezogenen Daten sind also ein „must“. Da diese Daten so wichtig sind, sind sie auch begehrt. In den letzten beiden Jahren ist jedes zweite Unternehmen in Deutschland Opfer von Datenverlust, Datendiebstahl, Wirtschaftskriminalität oder Sabotage geworden (53 %; Quelle: Bitkom). Der entstandene Schaden wird mit 55 Mrd. Euro jährlich beziffert.

Bildergalerie

Datenmissbrauch passiert täglich und kann jeden treffen. Er entsteht aber nicht nur durch Cyberangriffe oder Wirtschaftsspionage, sondern häufig durch fahrlässigen Umgang mit Daten, zum Beispiel wenn kein oder ein unprofessionelles Datenmanagement betrieben wird.

Unternehmen sind schlecht vorbereitet

Eine im Juni 2017 veröffentlichte Umfrage des IT-Verbands Bitkom unter IT- und Digitalunternehmen zeigt, dass bislang nur jedes dritte Unternehmen mit der Umsetzung der DSGVO begonnen hat. „Zum Teil sind Datenschutzbeauftragte unsicher, wie sie den Aufwand richtig abschätzen können, und zögern deshalb“, sagt Susanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit beim Bitkom. „Zum Teil sind es auch Führungsfehler. Es ist Aufgabe der Geschäftsleitung, dafür zu sorgen, dass jemand im Unternehmen die nötigen Ressourcen hat, um die Vorgaben der EU-DSGVO auch umzusetzen. Jetzt wird die Zeit knapp.“

Julian Totzek-Hallhuber, Solution Architect beim Spezialisten für Anwendungssicherheit Veracode, bestätigt, dass die deutschen Unternehmer nur langsam in Gang kommen und fügt hinzu: „Ich glaube, dass vielfach noch nicht verstanden wurde, worum es geht. Doch die Strafen, die auf Unternehmen zukommen, sind horrend. Wenn ich ein Unternehmen führen müsste, wäre ich extrem alarmiert. Besonders, weil der Begriff der personenbezogenen Daten erheblich erweitert wurde. Einzelne E-Mail-Adressen und Logfiles von Applikationen gehören dazu.“

Jedes europäische Unternehmen ist betroffen

Wer glaubt, die EU-DSGVO ginge ihn nichts an oder nur die IT-Branche sei gefordert, täuscht sich. Die Regelung betrifft alle Unternehmen, die in der EU ansässig sind, unabhängig von der Größe und Branche: Vom Handwerker, der Dienstleistungen anbietet, bis hin zum Unternehmer, der eine Website betreibt, Newsletter verschickt, Produktionsstätten in verschiedenen Ländern hat, mit elektronischen Signaturen arbeitet, mit Daten von internetfähigen Geräten im Bereich Unterhaltungsmedien oder Smart Living zu tun hat, seine Daten in einer Cloud lagert beziehungsweise Cloud-Dienste anbietet.

Im Gegensatz zur Vorgängerregelung gilt die EU-DSGVO nun zusätzlich für Unternehmen, die ihren Firmenhauptsitz außerhalb der EU-Staaten haben, aber ihr Angebot von einer Niederlassung in der EU an Kunden innerhalb der EU richten, also auch US-Unternehmen wie Google, Amazon und Apple.

Die deutschen Datenschutzregeln waren schon strenger als die vieler EU-Länder. Das darf dennoch nicht dazu verleiten, die Füße hochzulegen nach dem Prinzip: Sollen die andern erst einmal nachziehen. Spätestens mit den Herausforderungen der Arbeitswelt 4.0 werden auch bisher sichere Strukturen verwundbarer. Mit der richtigen Strategie und Führung kann ein vorbildliches Datenschutzmanagement sogar zum Marktvorteil für ein Unternehmen werden. „Im B2B-Bereich gilt das schon jetzt in der Vorbereitung auf die DSGVO“, sagt Totzek-Hallhuber. „Im B2C-Bereich wird das im Laufe des nächsten Jahres kommen oder spätestens, wenn die erste große Datenpanne passiert und erste heftige Bußgelder auch die Endkunden aufhorchen lassen.“

Grundlegendes zur EU-DSGVO

Die DSGVO löst die EU-Richtlinie 95/46/EG aus dem Jahr 1995 ab, die den Rahmen für den Datenschutz der einzelnen Mitgliedsländer bildete und in Deutschland im Bundesdatenschutzgesetz (BDSG) realisiert war. Bisher gab es sehr unterschiedliche Datenschutzstandards in der EU. International agierende Unternehmen konnten mit der gezielten Wahl ihres Firmensitzes in Europa bewusst strengere Datenschutzauflagen umgehen und sich einen Wettbewerbsvorteil verschaffen. Leidtragende waren Kunden und Konkurrenten aus Ländern mit strengeren Auflagen.

Bildergalerie

Die EU-DSGVO setzt genau hier an. Erstmals werden die Regelungen zum Datenschutz europaweit vereinheitlicht. Die neue Verordnung ist auch für alle Länder verbindlich, es handelt sich jetzt um eine „Verordnung“ statt „Richtlinie“. Damit steht die DSGVO über den nationalen Datenschutzregelungen. Zwar gibt es durch sogenannte „Öffnungsklauseln“ noch Spielraum für die einzelnen Mitgliedsländer, allerdings nur bei den im Vorfeld verhandelten Punkten und spezifischen, innenpolitischen Fragen (etwa beim Arbeitnehmerdatenschutz oder bei der Videoüberwachung in öffentlichen Räumen).

Die ländereigenen Datenschutzgesetze müssen im Einklang mit der EU-DSGVO stehen, deutsche Unternehmer sind deshalb auch an das neue BDSG gebunden. Auch mit der DSGVO bleibt es dabei, dass die Erhebung und Nutzung von personenbezogenen Daten grundsätzlich erst einmal verboten ist, bis die betroffene Person die Erlaubnis erteilt (Verbot mit Erlaubnisvorbehalt). Das Recht auf informationelle Selbstbestimmung wird als Grundrecht bestätigt. Ausnahmen gibt es nur für Daten, die für ein gesell- schaftliches Miteinander oder für Verträge unerlässlich sind. Hier beschränken gesetzliche Vorgaben die absolute Selbstbestimmung des Einzelnen.

Es drohen drastische Strafen

Wer die DSGVO unterläuft oder Daten nicht nachweisbar gegen Missbrauch geschützt hat, riskiert jetzt drastische Strafen. Abhängig von der Schwere des Vorfalls können nach Art. 83 DSGVO Bußgelder bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden (vorher maximal 300.000 Euro pro Verstoß, nach altem BDSG). Die Aufsichtsbehörden haben sicherzustellen, dass die Maßnahmen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sind. Zudem werden die Aufsichtsbehörden miteinander verzahnt und durch einen Europäischen Datenschutzausschuss ergänzt (Art. 68 DSGVO). Wichtige Neuerung in diesem Zusammenhang: Bürger können sich bei Beschwerden künftig an die Datenschutzbehörde ihres eigenen Mitgliedstaates wenden, auch wenn ihre Rechte in einem anderen Land verletzt wurden.

Wie kommen Datenschutzlücken oder -pannen ans Licht? Wo kein Kläger, da kein Richter? Falsch. Aufgedeckt werden Missstände beim Datenschutz durch eine Vielzahl von Faktoren:
Durch Kontrollen der Aufsichtsbehörden
Durch Meldungen von unzufriedenen Mitarbeitern (auch ehemaligen Mitarbeitern)
Durch Beschwerden von Kunden oder potenziellen Neukunden
Durch Selbstanzeige des Unternehmens (bei Datenmissbrauch/Datendiebstahl)
Durch die Presse (Investigativrecherchen, anonyme Hinweise)
Weitere Informationen zu Datenschutzthemen finden Sie unter anderem auf der Website www.datenschutzbeauftragter-info.de

Wesentliche Änderungen für Unternehmen

Unter die EU-DSGVO fällt nun jede Information, die direkt oder indirekt, einzeln oder in Kombination mit anderen Daten Rückschlüsse auf die Identität oder das Verhalten einer Person erlaubt. Im Prinzip ist das auf alle Daten anwendbar wie Namen, Geschlecht, Adressen, Standortinformationen, Fotos, E-Mails, Bankdaten, Posts in sozialen Netzwerken, IP-Adressen, Gerätekennungen, Logfiles von Applikationen, biometrische Daten (Gesichtserkennung, Fingerabdruck, Retina-Scan), Gesundheitsdaten (auch aus Gesundheits- und Sport-Apps). Unkritische Daten? Gibt es damit nicht mehr.

Bildergalerie

Prinzip „privacy by design“/„privacy by default“

Programme und Produkte müssen künftig so entwickelt und konfiguriert werden, dass sie datenschutzkonform gestaltet (privacy by design) und datenschutzfreundlich voreingestellt sind (privacy by default). Unternehmen müssen gewährleisten, dass Daten so sparsam wie möglich erhoben und zum frühesten Zeitpunkt nach Stand der Technik geschützt werden, zum Beispiel indem die Weiterleitung technisch unterbunden wird oder die erforderlichen Daten für die Verarbeitung pseudonymisiert werden (strengere Auslegung der alten Prinzipien der Datenminimierung, Zweckgebundenheit und Vertraulichkeit).

Entwickler von Onlineangeboten, Geräten und mobilen Apps müssen radikal umdenken. Viele Geräte wie Smart-TVs, Digitalkameras oder Ladesäulen für Elektroautos dürfen ohne explizite Einwilligung des Nutzers keine persönlichen Daten mehr an die Hersteller übertragen. Die Einwilligung muss freiwillig und vor der Datenerhebung geschehen, widerrufbar sein, schriftlich erfolgen und auch dem Laien eine Möglichkeit der „Folgenabschätzung“ bieten.

Kopplungsverbot wurde verschärft

Der Kunde darf nicht mehr gezwungen werden, der Verarbeitung seiner Daten zu Marketingzwecken zuzustimmen, wenn er eine Dienstleistung nutzen möchte, zum Beispiel einen Newsletter abonnieren oder an einem Gewinnspiel teilnehmen. Laut Bitkom könnte dies bedeuten, dass Unternehmen ihre Dienstleistung einmal mit und einmal ohne Einwilligung zur Datenweiterverarbeitung anbieten müssen.

Informations- und Auskunftspflicht erweitert

Die Kunden müssen sofort und noch eindeutiger informiert werden, wenn Daten von ihnen erhoben werden. Es muss klar benannt werden, welche Daten genutzt werden, auf welcher Rechtsgrundlage dies geschieht und an welchen Zweck die Verarbeitung gebunden ist. Die Informationspflicht ist eine Bringschuld des Unternehmens, die Datenschutzinformationen müssen dem Kunden unaufgefordert bereitgestellt werden.

Möchte ein Kunde zu einem späteren Zeitpunkt wissen, welche Daten gespeichert sind, muss das Unternehmen diese Daten zeitnah vorweisen. Falsche Daten müssen berichtigt, für zu großzügig erhobene Daten muss auf Wunsch die Nutzung eingeschränkt werden. Zur Informationspflicht gehört auch der Hinweis auf das Widerrufs- und erweiterte Widerspruchsrecht.

Recht auf „Vergessenwerden“/Löschung

Mit der DSGVO wird auch das Recht auf „Vergessenwerden“ eingeführt. Die Löschung muss „unverzüglich“ geschehen, wenn sich der Kunde auf eine der in der DSGVO festgelegten Situationen beruft (Art. 17). Wurden Daten an Dritte weitergegeben, zum Beispiel an Dienstleister oder Geschäftspartner in Unternehmensgruppen, muss der Löschauftrag auch den Drittnutzern mitgeteilt werden (Art. 19).

Recht auf Datenübertragbarkeit/Portabilität

Persönliche Daten müssen dem Kunden auf Wunsch „in einem strukturierten, gängigen und maschinenlesbaren Format“ zur Verfügung gestellt werden, wenn dieser den Anbieter wechseln möchte (Art. 20). Auch um die direkte Übermittlung an einen Dritten (etwa den neuen Anbieter) kann der Kunde bitten. Hierauf muss die Technik künftig eingerichtet sein.

Umfassende Dokumentationspflichten

Jedes Unternehmen muss eine Risikoanalyse im Sinne des Datenschutzes vornehmen, sein Datenmanagement an die EU-DSGVO anpassen und alle Prozesse systematisch und umfassend dokumentieren, unter anderem in einem „Verzeichnis der Verarbeitungstätigkeiten“ (Art. 30). Die stark ausgeweiteten Dokumentationspflichten sind sehr ernst zu nehmen, auch in Hinblick auf eine Überprüfung oder Datenpanne. Im Ernstfall hilft die Dokumentation, nachzuweisen, dass Sie alle erdenklichen Maßnahmen ergriffen haben, um Datenmissbrauch zu unterbinden. Nur so können Bußgelder reduziert oder vermieden werden.

Datenschutz-Folgenabschätzung

Unternehmen, die viele oder besonders sensible Daten automatisiert verarbeiten oder Profiling betreiben (Verhaltens- und Bewegungsmuster), sind zusätzlich zu einer „Datenschutz-Folgenabschätzung“ verpflichtet (Art. 35). Ob das auf Ihr Unternehmen zutrifft, sagt Ihnen die Aufsichtsbehörde. Beachten Sie, dass damit der Aufwand für Ihre Datenschutzanpassung erheblich steigt und Sie mehr zeitliche, personelle und finanzielle Ressourcen benötigen.

Meldepflicht bei Datenschutzverstößen

Wenn durch eine Datenpanne hohe Risiken für die persönlichen Rechte und Freiheiten der Betroffenen entstanden sind, gilt eine Meldepflicht bei der Aufsichtsbehörde binnen 72 Stunden. Je nach Sensibilität der Daten müssen auch Kunden informiert werden, und zwar unter präziser Angabe der betroffenen Daten. Drittanbieter müssen Datenverlust ebenfalls umgehend ihren Kunden melden.

Haftung der betrieblichen Datenschutzbeauftragten

Die DSGVO wertet die Rolle des Datenschutzbeauftragten auf. Er muss nicht nur auf die Umsetzung der Vorgaben hinwirken, sondern jetzt auch die Einhaltung der DSGVO und der nationalen Sonderregeln überwachen, zum Beispiel die Zertifizierung eines Verarbeiters prüfen. Ob oder in welchem Umfang der Datenschutzbeauftragte persönlich haftet, entscheiden im Ernstfall Aufsichtsbehörden und Gerichte anhand des entstandenen Schadens und der im Betrieb getroffenen Datenschutzmaßnahmen.

Weitergabe an Dritte

Bei der Weitergabe von Daten ist zu unterscheiden zwischen Auftragsverarbeitung nach Art. 28 DSGVO (Zusammenarbeit mit Dritten nach strengen Auflagen zur Abwicklung von Verträgen, keine eigene Datennutzung) und Datenübermittlung (Freigabe der Daten an Dritte zu erweiterter, eigenständiger Nutzung, zum Beispiel zu Werbezwecken). Zweites bedarf der ausdrücklichen Zustimmung der Betroffenen.

Outsourcing der Datenverarbeitung

Bei der Auslagerung datenrelevanter Prozesse, wie Bearbeitung und Sicherung von Daten, geht die Haftung nicht automatisch auf den Dienstleister über. Zwar können die in der DSGVO festgelegten Bußgelder sowohl auf die Datenverantwortlichen als auch die Auftragsdatenverarbeiter zukommen. Im Einzelfall spielen aber Verträge und Aufgabendefinition die entscheidende Rolle.

Schritt für Schritt vorgehen

Der Aufwand für die Umsetzung der EU-DSGVO ist von Fall zu Fall unterschiedlich. Er hängt ab von der Größe und Struktur des Unternehmens, der vorhandenen Datenmenge, der Art der Daten, den technischen Gegebenheiten, dem Umfang der Datennutzung und der schon vorhandenen Kompetenz im Umgang mit Datenschutzprozessen. „Ich würde schleunigst anfangen, wenn ich noch nichts gemacht habe“, sagt Dehmel vom Bitkom. „Einige Aufsichtsbehörden in Deutschland sind aufgestockt worden und haben mehr Ressourcen. Bei neuen Regelungen wie dem Recht auf Datenportabilität hat man noch keine Erfahrungswerte, aber bei Vorgaben, die die Unternehmen auch nach altem BDSG schon lange erfüllen müssten, werden die Prüfer keinen Spaß verstehen, wenn sie merken, es ist gar nichts da.“

Leitfaden für Unternehmen

Um keine finanziellen Risiken einzugehen, empfehlen Datenschutzexperten ein systematisches Vorgehen in der Umsetzung. Vorgaben kann man nachlesen. Bei der Planung interner Prozesse wird es komplizierter, daher haben wir wesentliche Schritte in einem Leitfaden für Sie zusammengefasst, den Sie am Ende des Artikels finden. Derzeit arbeiten wir zusätzlich an einer Infografik zum Herunterladen, die wir Ihnen schnellstmöglich zur Verfügung stellen wollen.

Da schon im alten BDSG ab 10 Mitarbeitern ein betrieblicher Datenschutzbeauftragter vorgeschrieben war, können viele Unternehmen vorhandene Strukturen nutzen und sind mit überschaubarem Aufwand für die EU-DSGVO gerüstet. Wer bisher wenig Augenmerk auf den Datenschutz gelegt hat, muss allerdings schnell und verbindlich handeln. Angesichts der knappen Zeit kann es angeraten sein, externes Expertenwissen in Anspruch zu nehmen, um dem neuen Datenschutzstandard zum Stichtag gerecht zu werden und wirtschaftlichen Schaden abzuwenden. Bei der Risikoanalyse ist auch der Imageschaden im Falle einer Datenpanne nicht zu unterschätzen. Der enttäuschte oder geschädigte Kunde kann jetzt noch leichter und direkter abstrafen: indem er sein Recht auf Datenportabilität in Anspruch nimmt – und geht.

8 wesentliche To-Do's für Unternehmen

Unsere Autorin hat für Sie eine umfangreiche Liste zusammengestellt, die Ihnen helfen soll, sich mit den wichtigsten Punkten der EU-DSGVO im eigenen Unternehmen auseinanderzusetzen.

1. Status prüfen / Risikoanalyse

  • Welche Daten werden erhoben und verarbeitet? In welcher Form?
  • Aktuelle Situation mit DSGVO abgleichen
  • Datenschutzfolgen-Abschätzung vorgeschrieben?
  • Datenschutzverantwortlicher vorhanden?
  • Grundprinzipien des Datenschutzes erfüllt?
  • Informationspflicht laut DSGVO erfüllt?
  • Sicherheitslücken lokalisieren
  • Dokumentationslücken identifizieren
  • Verträge mit Dienstleistern prüfen (z.B. Datenverarbeiter, Cloud-Dienste)
  • Einwilligungen aktualisieren

Zu beachten: Achtung Betriebsblindheit bei internen Prüfern! Gegebenenfalls externe Spezialisten hinzuziehen und Audit durchführen lassen

2. Prozess planen/Datenschutz-Policy

  • Zeitplan erstellen
  • Budget klären / abrufen
  • Verantwortlichkeiten klären
  • Schulungen für Kernpositionen nötig? (Datenschutzbeauftragte / Techniker)
  • Qualität des Prozesses sichern
  • Ziele und To Dos definieren

Zu beachten: Wer hat die nötigen Qualifikationen für Bewertung, Umsetzung und Kontrolle des DS?

3. Maßnahmen durchführen und implementieren

  • Technische Infrastruktur schaffen oder auf den neuesten Stand bringen (privacy by design / default)
  • Kundeninformationen überarbeiten
  • Informationen überall dort einbinden, wo Daten erhoben werden
  • Datenschutzverantwortlichen nennen
  • Informationen für Mitarbeiter überarbeiten, Schulungen vorbereiten
  • Sicherheitsmechanismen einrichten (Zugang und Zugriff beschränken)
  • Sensible Vorgänge nur an geeignete Menschen übertragen
  • Dokumentation erweitern
  • Systemwarnungen einrichten (Alarm bei unberechtigtem Zugriff oder auffälligen Datenbewegungen)

Zu beachten: Organisatorisch und technische Lösungen müssen sich optimal ergänzen. Prozesse sollten weitgehend automatisiert werden, um menschliches Versagen aufgrund von Alltagsroutinen oder Nachlässigkeiten zu minimieren.

4. Maßnahmen prüfen

  • Informationspflichten nach DSGVO erfüllt, Transparenz gewährleistet?
  • Datenablage und Speicherung prüfen
  • Datenverschlüsselungen und Pseudonymisierung prüfen
  • Datenauskunft, Berichtigung, Löschung schnell möglich?
  • Datenportabilität möglich?
  • Systemwarnung prüfen (Datenmissbrauch simulieren, z.B. Hackerangriff, interner Datenzugriff)
  • Datenverlust klar ermittelbar? (Menge, Art, Welche Daten genau?)

Zu beachten: Achtung Betriebsblindheit bei internen Prüfern! Gegebenenfalls externe Spezialisten hinzuziehen und Audit durchführen lassen

5. Mitarbeiter schulen/sensibilisieren

  • IT-Abteilung (Prinzipien privacy by design/default, etc.)
  • Datenschutzbeauftragter (neue Aufgaben, erweiterte Haftung)
  • HR (Einstellung neuer Mitarbeiter/Ausscheiden von Kollegen)
  • Mitarbeiter mit Datenkontakt (Sensibilisierung)
  • Leitfaden für neue Mitarbeiter

Zu beachten: Je nach Fachkompetenz entweder intern (z.B. durch Datenschutzbeauftragten oder IT-Mitarbeiter) oder extern (z.B. Datenschutzexperte, Jurist)

6. Prozesse dokumentieren

  • Automatische Dokumentation, wo möglich (Logfiles, etc.)
  • Dokumentation laut DSGVO anpassen

Zu beachten: Wesentlich in Hinblick auf Vermeidung potenziell verhängter Bußgelder!

7. Notfallkonzept erstellen

  • Umfang der Datenpanne (wie viele?)
  • Betroffene Daten (welche?)
  • Betroffene Kunden (wie viele, welche?)
  • Informations-/Meldepflichten erfüllen
  • Sicherheitslücken schließen
  • Schäden beheben

Zu beachten: Präzise definieren, wie im Falle einer Datenpanne gehandelt wird, z.B. anhand einer Checkliste.

8. Nachhaltigkeit sichern

  • Regelmäßige Schulungen, um Bewusstsein zu erhalten
  • Aktuelle Gesetze und Urteile verfolgen
  • Sofortige Anwendung der Vorgaben bei Einführung neuer Produkte
  • Audit nach längerer Zeit wiederholen

Diseser Artikel ist zunächst auf unserem Partnerportal MaschinenMarkt erschienen.

* Esther Niederhammer ist freie Journalistin aus 34346 Hann. Münden, kontakt@esther-niederhammer.de

(ID:44893897)