Durch das endgültige Inkrafttreten der Datenschutzgrundverordnung (DSGVO) war das Thema Datenschutz im vergangenen Jahr aktueller denn je. Unternehmen aller Branchen standen vor der Herausforderung, die gestiegenen Anforderungen angemessen und vor allem rechtzeitig umzusetzen. Aber wie sieht es nun ein Jahr nach der DSGVO aus? Ein Zwischenstand.
Schwerpunkte der DSGVO
Eingeführt wurde die europaweit geltende Datenschutzgrundverordnung mit dem Ziel, eine Harmonisierung der bisweilen sehr unterschiedlichen Datenschutzniveaus in Europa zu erreichen. Im Vordergrund stand dabei vor allem die Stärkung der Betroffenenrechte. Sämtliche EU-Bürger sollen fortan verständlich und transparent über die Verarbeitung ihrer Daten informiert werden. Gleichzeitig rückt damit die Datensicherheit zunehmend in den Fokus. Die gestiegenen Anforderungen an den Schutz der Privatsphäre zwingen Unternehmen, ihren Umgang mit personenbezogenen Daten intensiv zu hinterfragen und das innerbetriebliche Datenschutzniveau deutlich anzuheben. Diese Verpflichtungen sind seit dem 25. Mai 2018 für alle Unternehmen verbindlich umzusetzen.
Die Herausforderungen der Umsetzung – ein Beispiel
Einige Unternehmen stellte die Umsetzung des neuen Datenschutzrechts vor erhebliche Herausforderungen. Während die meisten Betriebe noch immer an der Implementierung der DSGVO arbeiten, sind andere – teilweise deutlich – über das Ziel hinausgeschossen. Ein besonders herausragendes Beispiel kam dabei aus der Hauptstadt Österreichs:
Ein kommunaler Hausverwalter ersetzte dort 220.000 Namensschilder seiner Mieter durch Zahlen, mit der Begründung, die Verbindung zwischen dem Nachnamen auf dem Klingelschild und der Wohnungsnummer sei mit der DSGVO nicht vereinbar. Hervorzuheben ist in dem Zusammenhang, dass dieses Vorgehen auf Anraten der für Datenschutzangelegenheiten zuständigen Kommunalbehörde geschehen ist. Dadurch schlugen die Wellen dieser Meldung deutlich über die Grenzen Österreichs hinaus: Die damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sah sich sogar gezwungen, eine öffentliche Stellungnahme zu dem Fall im Nachbarland abzugeben. Richtigerweise stellte sie dabei klar, dass der Anwendungsbereich der DSGVO in solchen Fällen überhaupt nicht eröffnet ist, da bei Klingelschildern weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen vorliegt.
Das Beispiel aus Wien zeigt, dass die Umsetzung der DSGVO sowohl Behörden, als auch Unternehmen gleichermaßen herausgefordert hat, obwohl die DSGVO bereits am 24. April 2016 in Kraft trat und eigentlich eine großzügige zweijährige Übergangsfrist vorsah.
Gestiegene Dokumentationspflichten als besondere Schwierigkeit
Trotz dieser langen Frist stehen viele Betriebe auch nach über einem Jahr weiterhin vor einem unüberschaubaren Berg an Aufgaben. So waren laut einer Bitkom-Befragung zum Ende der Übergangsfrist erst ernüchternde 25 % der Unternehmen nach eigenen Angaben DSGVO-konform aufgestellt. Acht von zehn Unternehmen waren zudem von dem durch die DSGVO deutlich gestiegenen Aufwand überrascht.
Besondere Schwierigkeiten zeigten sich erfahrungsgemäß bei den erheblich gestiegenen Dokumentationspflichten. Im Gegensatz zur alten Rechtslage reicht es hier nicht mehr aus, allein datenschutzkonform zu arbeiten – vielmehr muss dies durch eine entsprechende Dokumentation auch aktiv belegt werden können.
Große Herausforderungen ergaben sich für die Unternehmen insbesondere im Hinblick auf ihre datenschutzrechtlich besonders sensiblen Bereiche wie Personalverwaltung, Kundenbeziehungen und Marketing. Was den meisten Betrieben dabei fehlt, ist das Fachwissen und der notwendige Überblick, um die Anforderungen der DSGVO strukturiert umzusetzen. Dies führt dazu, dass ihnen die Bündelung der eigenen Ressourcen schwerfällt, wodurch eine zügige und geradlinige Umsetzung der Vorgaben der DSGVO erschwert wird.
Landesbeauftragter kündigt „Jahr der Kontrollen" an
Nachdem unter Berücksichtigung der oben genannten Übergangsfrist inzwischen drei Jahre Zeit für die Einführung verstrichen sind, duldet die Umsetzung der DSGVO keinen Aufschub mehr. Die zuständigen Aufsichtsbehörden haben inzwischen klar kommuniziert, dass die Zeit der Nachsicht vorüber ist. Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat für 2019 gar „ein Jahr der Kontrollen“ angekündigt und damit unmissverständlich klargestellt, dass die Kontrollen für Betriebe ausgeweitet werden – ein letzter Weckruf für alle Unternehmen, bei denen noch Umsetzungsbedarf besteht.
Die für Verstöße vorgesehenen Sanktionsmöglichkeiten der DSGVO sind beachtlich und sollten von jedem Verantwortlichen daher ernstgenommen werden. Viel wichtiger ist jedoch das Bewusstsein, dass Datenschutz nicht nur ein Kostenfaktor ist, sondern inzwischen auch ein klarer Wettbewerbsvorteil. Denn durch die wirksame Umsetzung datenschutzrechtlicher Anforderungen gewinnen Unternehmen das Vertrauen ihrer Kunden und stärken eine nachhaltige Kundenbindung.
Externer Datenschutzbeauftragter – Datenschutz in Expertenhand
Den meisten Betrieben gelingt die Umsetzung der rechtlichen Anforderungen der DSGVO am besten durch das Einbinden eines erfahrenen externen Datenschutzbeauftragten. Dieser kann von außen einen neutralen Blick auf die unternehmenseigenen Prozesse werfen und die richtigen Weichenstellungen begleiten. Dabei erfüllt das Unternehmen nicht nur die regelmäßig bestehende Pflicht zur Benennung eines Datenschutzbeauftragten, sondern profitiert auch von umfangreichen Erfahrungen aus anderen Betrieben und von der systematischen Entlastung durch ein zielgerichtetes Vorgehen.
Die Datenschutzexperten der TÜViT folgen dabei einer festen Systematik, die auf die Bedürfnisse des einzelnen Unternehmens abgestimmt wird. Im Rahmen eines ersten Datenschutz-Audits werden zunächst Schwachstellen im Unternehmen ermittelt und daraus der individuelle Handlungsbedarf abgeleitet. Der Auditbericht liefert den Verantwortlichen nicht nur den aktuellen Erfüllungsstand datenschutzrechtlicher Anforderungen, sondern gleichzeitig einen präzisen Maßnahmenplan zur Behebung von Abweichungen. Diese Vorgehensweise hat sich in der Praxis bewährt und stellt eine kostenbewusste Möglichkeit zur Umsetzung der umfangreichen rechtlichen Anforderungen dar. Das Risiko von Bußgeldern kann dadurch bestmöglich minimiert werden.
Das Datenschutzmanagementsystem: Die rechtssichere Lösung und ein Mehrwert für Ihr Unternehmen
Die Gewährleistung des Datenschutzes ist ein kontinuierlicher Prozess. Um den gesetzlichen Vorgaben der DSGVO gerecht zu werden, bedarf es daher einer durchdachten Systematik, die Sie dabei unterstützt, die Maßnahmen des Datenschutzes zu planen, zu organisieren und zu steuern. Eine kostenbewusste Lösung bietet hier ein Datenschutzmanagementsystem (DSMS), das die Anforderungen der DSGVO erfüllt und Rechtssicherheit für Ihr Unternehmen schafft.
In nur drei Schritten geben Ihnen unsere Datenschutzexperten ein Datenschutzmanagementsystem an die Hand, das sich nicht nur in Ihre Geschäftsprozesse integrieren lässt, sondern den Datenschutz auch langfristig und nachvollziehbar in Ihrem Unternehmen verankert:
- Ist-Analyse: Um die bestmögliche Sicherheit personenbezogener Daten zu ermöglichen, wird der Status des Datenschutzes im gesamten Unternehmen gemäß aktueller gesetzlicher Vorgaben und Anforderungen ermittelt. Im Rahmen einer Ist-Analyse werden dabei insbesondere Ihre Datenschutzstrukturen und -prozesse betrachtet. Zu diesem Zweck durchleuchten die Datenschutzexperten der TÜViT sämtliche Abläufe in Ihrem Unternehmen, um Sicherheitslücken zu identifizieren und Schwachstellen zu analysieren.
- Soll-Planung: Im nächsten Schritt wird eine Soll-Planung anhand der aktuell geltenden Datenschutzvorgaben durchgeführt. Dabei werden vor allem prozessuale, organisatorische und technische Aspekte eingeplant. Zu den Prozessen eines effektiven Datenschutzmanagements gehören beispielsweise auch solche zur Datenschutzfolgenabschätzung, zu den Betroffenenrechten und zur Auftragsverarbeitung. Diese werden unter Berücksichtigung vorhandener Ressourcen und von Aspekten der Wirtschaftlichkeit in die Planung überführt.
- Implementierung und Dokumentation: Im letzten Schritt erfolgt schließlich gemeinsam mit Ihren Fachkräften die Implementierung und die nachvollziehbare Dokumentation des Datenschutzmanagementsystems.
Die Anforderungen an ein DSGVO-konformes Datenschutzmanagement, die im Rahmen der Soll-Planung ermittelt werden, sind komplex. Benötigen Sie Beratung bei der Erarbeitung und Implementierung von Maßnahmen, dann wenden Sie sich bitte ebenfalls an uns.
Das hochqualifizierte Team der TÜViT
Das erfahrene und zertifizierte Team von spezialisierten Juristen und Technikern der TÜV Informationstechnik GmbH und der TÜV NORD IT Secure Communications GmbH & Co. KG hat es sich zur Aufgabe gemacht, Unternehmen bei der Umsetzung der DSGVO umfassend zu beraten und zu unterstützen. Wir sind im Datenschutz spezialisiert und helfen Ihnen bei der Herausforderung, die Vorschriften der DSGVO einzuhalten und in Ihrem Unternehmen umzusetzen. Sie können sich auf das Kerngeschäft konzentrieren, während wir Sie DSGVO-konform in Stellung bringen.
Dabei greifen unsere qualifizierten Datenschutzbeauftragten auf einen reichen Erfahrungsschatz in verschiedenen Unternehmen und aus unterschiedlichen Branchen zurück. Unsere Datenschutzexperten beraten zuverlässig und unterstützen Sie bundesweit in allen Fragen zur DSGVO. Vertrauen auch Sie unserer Erfahrung und profitieren Sie von unserer Kompetenz.
Beauftragen Sie jetzt die TÜViT als Ihren externen Datenschutzbeauftragten und implementieren Sie ein Datenschutzmanagementsystem (DSMS), um die DSGVO in den Griff zu bekommen!
28.06.2019