Was unterscheidet die Datenschutz-Grundverordnung vom Bundesdatenschutzgesetz?
Bisher müssen sich Unternehmen nach dem Bundesdatenschutzgesetz (BDSG) richten. Ab Mai nächsten Jahres aber werden sie der europäischen Datenschutz-Grundverordnung (DS-GVO) Vorrang einräumen müssen. Auf Unternehmen kommen damit viele Neuerungen zu, etliche Prozesse müssen überprüft und angepasst werden.
Was wird von den Unternehmen verlangt?
Die müssen „geeignete technische und organisatorische Maßnahmen“ ergreifen, um Datenschutz und Datensicherheit zu gewährleisten. Danach sollen etwa so wenige Daten wie möglich erhoben werden; diese sollen so schnell wie möglich pseudonymisiert werden. Außerdem müssen technische Geräte und IT-Anwendungen zukünftig so voreingestellt werden, dass nur solche Daten erhoben werden, die für den Zweck der Verarbeitung notwendig sind.
Wo kann ich anfangen?
Schaffen Sie erst einmal die grundlegenden organisatorischen Voraussetzungen für den Datenschutz im Unternehmen. Dazu gehört das sogenannte Verfahrensverzeichnis, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind. Ohne ein solches Verzeichnis ist die Anpassung der eigenen Prozesse an die DS-GVO schwierig. „Die neue Verordnung verlangt von den Unternehmen den Nachweis der rechtskonformen Datenverarbeitung“, sagt Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Digitalverband Bitkom. Denn eine solche Datenschutz-Dokumentation werde in Streitfällen eine wichtige Rolle spielen.
Kann ich nicht einfach auf die Erhebung von personenbezogenen Daten verzichten?
Im Prinzip schon, aber die Bitkom-Umfrage zeigt auch, dass dies gar nicht so einfach ist: Die Nutzung personenbezogener Daten ist für viele Unternehmen von zentraler Bedeutung. Jedes dritte setzt sie zur Verbesserung von Produkten und Dienstleistungen ein. Und 4 von 10 Unternehmen geben sogar an, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist.
Bin ich der einzige, der noch nichts unternommen hat?
Nein, laut der Bitkom-Erhebung werden wohl nur die wenigsten Unternehmen den Termin im Mai einhalten können. Selbst von den Unternehmen, die sich bereits seit Monaten mit der DS-GVO beschäftigen, gehen nur 19 Prozent davon aus, dass sie die Vorgaben der Verordnung zu diesem Datum vollständig umgesetzt haben. Weitere 20 Prozent erwarten, dass sie die Anforderungen zum größten Teil erfüllen werden. Mehr als jedes zweite dieser Unternehmen sagt, in acht Monaten werde die Umsetzung nur teilweise erfolgt sein.
Was passiert, wenn ich einfach nichts tue?
Wer den Kopf in den Sand stecke, verstoße demnächst gegen geltendes Recht und riskiere empfindliche Bußgelder, sagt Susanne Dehmel. „Unternehmen, die bis jetzt abgewartet haben, müssen das Thema schnellstmöglich aufarbeiten“. Leider bedeutet das erst einmal: mehr Arbeit. Künftig rechnen 35 Prozent der Unternehmen mit einem Mehraufwand durch die DS-GVO.
Datenschutz dokumentieren
Im Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft. Höchste Zeit für Unternehmen, ihre Prozesse zu überprüfen und anzupassen. Fragen und Antworten rund um die neue DS-GVO.