Seit Ende Mai 2018 ist die EU-Datenschutzgrundverordnung (EU-DSGVO) endgültig rechtskräftig in der gesamten europäischen Union geworden.
An sich müssten also die Unternehmen bereits mit der Umsetzung dieser verschärften Datenschutzanforderungen befasst sein, denn einige Anforderungen der neuen EU-Grundverordnung setzen umfassende organisatorische und strukturelle Maßnahmen voraus. Verschiedene aktuelle Studien zeigen auf, dass der Umgang mit der Umsetzung der neuen Datenschutzregelungen noch sehr locker ist. Nach einer Erhebung von Bitkom haben bisher nur 34 % aller Unternehmen überhaupt mit der Umsetzung der EU-Datenschutzgrundverordnung begonnen. Eine Artegic Studie aus dem Frühjahr 2018 ergab zusätzlich, dass lediglich 10 % aller Unternehmen die erheblich strengeren Anforderungen der EU-DSGVO bereits vollumfänglich umgesetzt haben. Diese Nachlässigkeit kann ebenso weitreichende Folgen haben, wie wenn einem der 5 größten Irrtümer der DSGVO aufgesessen wird.
Erheblich gesteigerte Anforderungen durch die EU-DSGVO in vielen Bereichen
Die Unternehmen müssen sich in erster Linie auf neue oder erhöhte Anforderungen, vor allem in den Bereichen der Datenerhebung und Datenverarbeitung einstellen. Die von der DSGVO geforderte Abschätzung von verbraucher- und datenschutzfreundlicher Voreinstellungen im Bereich des technischen Datenschutzes in einem Unternehmen ist organisatorisch und strukturell sehr arbeitsaufwändig. Ganz allgemein müssen die Unternehmen mit einer gesteigerten Eigenverantwortlichkeit im Hinblick auf die Abschätzung datenschutzrechtlicher Risiken umgehen. Hier sind geeignete technische und organisatorische Maßnahmen einzubringen, deren Entwicklung nicht von heute auf morgen möglich ist. Solche Maßnahmen müssen dabei in Verzeichnisse übertragen und der Behörde bei Nachfrage vorgelegt werden. Bei einigen Vorhaben, die mit einem großen Risiko für den Datenschutz verbunden sind, muss das Unternehmen zukünftig sogar eine sogenannte Datenschutzfolgeabschätzung vornehmen. Dabei sind unter Umständen schon in der Planungsphase des Vorhabens Konsultationen mit der Aufsichtsbehörde vorgesehen. Transparenz ist nach der EU-Datenschutzgrundverordnung erstes Gebot und stellt die Unternehmen unter den Zwang, sehr viel umfassender Rechenschaft zu ihren Datenschutzmaßnahmen zu dokumentieren und diese öffentlich zu machen. Dies erfordert Strukturen, die bisher so in den meisten Unternehmen nicht vorhanden sein werden. Das betrifft auch und vor allem den technischen Datenschutz. Unbestimmte und auslegungsbedürftige Rechtsbegriffe, die die europäische Verordnung als Maßstab für Datensicherheit ansetzt, erschweren die Konkretisierung von Maßnahmen. So muss etwa das verlangte Erfordernis "Stand der Technik" für die Umsetzung von Maßnahmen zunächst einmal verstanden und durchdrungen werden. Ganz konkret sind vor allem folgende Bereiche im technischen Datenschutz besonders relevant und müssen den Anforderungen der EU-Datenschutzgrundverordnung angepasst werden:
Zutrittskontrolle
Zugangskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
Sanktionen nach EU-DSGVO keine "Papiertiger"
Während die bisherigen Sanktionen im Datenschutz eher als lästig anzusehen waren, kann es nach der EU-DSGVO bei Versäumnissen richtig teuer werden. Die Verordnung sieht bis zu 20 Millionen Euro, beziehungsweise 4 % des gesamten weltweiten Umsatzes, der von dem Unternehmen im Vorjahr erzielt wurde, als Geldbußen vor. Außerdem werden die einzelnen EU-Staaten ausdrücklich ermächtigt, zusätzliche strafrechtliche Sanktionen festzulegen.
Besser heute als morgen mit der Umsetzung der DSGVO beginnen
Auf die Unternehmen kommt mit der EU-Datenschutzgrundverordnung einiges an Mehrarbeit und Umstrukturierung zu, auch wenn es darum geht, die Website DSGVO-konform zu machen. Nicht nur im Hinblick auf potentielle Sanktionen sollten die Unternehmen jetzt tätig werden. Die zeitnahe Anpassung an die Anforderungen der EU-Datenschutzgrundverordnung sind auch eine Art Qualitätsmerkmal, welche das Unternehmen im Wettbewerb auszeichnet. Gerade aus der Sicht von Endkunden wird erhöhter Datenschutz als positiv angesehen. Viele Unternehmen verkennen hier die Möglichkeit, aus der Pflicht eine Tugend zu machen, indem sie die neuen Regelungen möglichst früh umsetzen.
Artikel veröffentlicht am: 03. Juli 2017
