Es ist noch nicht allzu lange her, da war die Datenschutz-Grundverordnung (DSGVO) in aller Munde und sorgte für reichlich Aufregung in Unternehmen und Behörden. Am 25. Mai jährt sich zum ersten Mal die Einführung der EU-Richtlinie. Welche zentralen Erkenntnisse lassen sich ein Jahr nach Einführung aus dem Praxisalltag gewinnen? Mit welchen wichtigen Fragestellungen gelingt die Einhaltung der Richtlinien im Unternehmen?
2018 war die neue DSGVO ein ganz heißes Eisen. Und offenbar haben Unternehmen weiterhin Sorgen hinsichtlich der Einhaltung der Vorschriften sowie der Umstellungen innerbetrieblicher Abläufe und Strukturen. Jüngste Umfragen zeigen, dass nur ein Viertel der Unternehmen (24%) die Vorschriften vollständig, 40% weitgehend und 30% teilweise umgesetzt haben. Fünf Prozent der Unternehmen haben erst damit begonnen, den Vorgang in die Wege zu leiten. Gleichzeitig besagt eine aktuelle Studie von techconsult, dass 18 % der befragten Unternehmen und öffentlichen Verwaltungen in Deutschland noch nicht einmal mit der Umsetzung begonnen haben.
Es steht außer Frage: Die DSGVO war für in der EU tätige Unternehmen ein entscheidender Wendepunkt im Umgang mit Daten. Sie hat die Messlatte für die Datenerfassung und -verarbeitung gegenüber der vorhergehenden Datenschutzrichtlinie deutlich angehoben und große, mittelständische und kleine Unternehmen gleichermaßen an ein einziges Regelwerk gebunden.
Ebenso wie andere Länder, wird auch Deutschland das nationale Datenschutzrecht anpassen. Aktuell wird dazu ein Gesetzentwurf diskutiert, der die EU-Richtlinie in deutsches Recht umsetzen soll. Diese geplanten Änderungen und die immer länger werdende Liste der Klagen gegen Unternehmen deuten darauf hin, dass auch die deutschen Datenschutzbehörden die EU-Richtlinie streng durchzusetzen wollen. Einen Hinweis darauf geben auch die 41 Bußgeldbescheide, die bis Anfang des Jahres wegen Verstößen gegen das DSGVO verhängt wurden. Wenngleich sich einer Umfrage des Handelsblatt zufolge manche Bundesländer bislang noch zurückhalten – die Strafen von bis zu 4 % des Jahresumsatzes können vor allem kleine und mittlere Unternehmen hart treffen.
Für viele Unternehmen gilt die DSGVO deshalb immer noch als Schreckgespenst – es besteht weiterhin viel Klärungsbedarf. Dabei muss die Umsetzung der DSGVO keine kostenintensive oder zeitaufwendige Angelegenheit sein, sondern bedarf lediglich einer Überprüfung der Abläufe bzw. einer Anpassung an die neuen Rahmenbedingungen. Für einen sorgsamen, DSGVO-konformen und gesicherten Umgang mit Daten sind folgende Aspekte im Blick zu halten:
Welche personenbezogenen Daten werden im Unternehmen verarbeitet?
Dies ist der vorrangige und entscheidende Bereich der DSGVO und betrifft alle Unternehmen. Daher sollte sich ein Unternehmen bereits in der Startphase darüber im Klaren sein, dass fortan die Verpflichtung besteht, sämtliche Interaktionen mit Auftraggebern und Kunden zu erfassen, zu speichern und die Verarbeitung von personenbezogenen Daten jederzeit nachvollziehen zu können. Da diese oft zahlreiche Geschäftsvorgänge durchlaufen, ist es wichtig, dass die Arbeitsabläufe korrekt erfasst werden. Wie kommen personenbezogene Daten in das Unternehmen? Was passiert mit den Daten im Unternehmensprozess? Wo sind sie (überall) gespeichert? Damit kann ein Unternehmen nachweisen, dass es die Mindestanforderungen (DSGVO Art. 30) für diesen Bereich erfüllt und so das Auffinden der Daten im Falle einer Nachfrage möglich ist.
Es ist zudem wichtig, auch unstrukturierte Webdaten – etwa Posts in sozialen Medien, Profilbilder von Kunden, die IP-Adressen ihrer Geräte, ihre geografischen Standorte usw. in jede Datenzuordnung einzubeziehen, da auch das in den Bereich der gesetzlichen Bestimmungen fällt.
Der auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit veröffentlichte Leitfaden ist ein guter Ausgangspunkt für eine strukturierte Vorgehensweise bei der Ermittlung, wo genau Daten in Betriebsabläufen zu finden sind.
Welche rechtlichen Grundlagen bestehen für die Datenverarbeitung?
Eine wesentliche Folge der DSGVO-Regelung zwingt Unternehmen dazu, eine rechtmäßige Grundlage für die Erfassung und Verarbeitung personenbezogener Daten nachzuweisen. Das häufigste Kriterium ist die Einwilligung, die jedoch widerrufen oder verweigert werden kann. Daher sollten bei der Entscheidung über die Rechtsgrundlage auch das Geschäftsfeld und das Unternehmensmodell sorgfältig berücksichtigt werden.
Eine einfache Möglichkeit, die geeignete Rechtsgrundlage für die Verwendung der Einwilligung zu bestimmen, bietet zum Beispiel die Anwendung eines Filters mit den Optionen „BENÖTIGT / GEWÜNSCHT / LÖSCHEN“.
Wenn ein Unternehmen die personenbezogenen Daten für eine entscheidende Geschäftsaktivität „benötigt“ und die Tätigkeit nicht ohne sie durchführen kann, dann sollte von der Einwilligung als gesetzliche Grundlage Abstand genommen und auf eine andere Grundlage wie z.B. „Vertragserfüllung“ zurückgegriffen werden. Wenn das Unternehmen die personenbezogenen Daten – etwa für Marketingzwecke – „wünscht“, dann ist die Zustimmung eine geeignete Rechtsgrundlage. Wenn das Unternehmen jedoch die personenbezogenen Daten möchte, aber keine rechtmäßige Grundlage für deren Erfassung oder Verarbeitung finden kann, muss es diese Daten „löschen“.