Vor etwas mehr als einem Jahr (am 25.05.2018) trat die Datenschutz-Grundverordnung in Kraft. Anlass genug, eine Zwischenbilanz zu ziehen. Entgegen vieler Befürchtungen kam es nicht zur großen Abmahnwelle wegen Verstößen gegen die DSGVO. Hier hat sich die intensive Aufklärungsarbeit der Verbände sicherlich bezahlt gemacht. Die allermeisten Unternehmen hatten ihre Internetauftritte an die Anforderungen der DSGVO angepasst oder die Seiten zeitweilig vom Netz genommen. Die Landesaufsichtsbehörden übten sich bisher auch in Zurückhaltung beim Thema Bußgeld und legten Ihren Schwerpunkt auf die Beratung.
Die Aufsichtsbehörden verzeichnen jedoch sowohl stark steigende Fallzahlen gemeldeter Datenschutzverstöße als auch eine stark steigende Zahl von Datenpannen. So registrierte die Aufsichtsbehörde für NRW im Zeitraum Mai bis Dezember 1.200 Datenpannen (Im Jahr 2017 wurden insgesamt 60 Datenpannen gemeldet). Die steigende Zahl von Beschwerden wegen Datenschutzverstößen zeigt die Sensibilisierung der Bevölkerung für dieses Thema und führt inzwischen auch zu einer steigenden Zahl von Bußgeldbescheiden. In NRW waren zwischen Mai und Dezember insgesamt 52 Bußgeldverfahren anhängig und es wurden Bußgelder von insgesamt 15.600 Euro erlassen. Das mit 80.000 Euro höchste Bußgeld in Deutschland wurde bisher durch die Aufsichtsbehörde in Baden-Württemberg ausgesprochen. Die französische Aufsichtsbehörde hatte gegen Google LLC. sogar ein Bußgeld von 50 Millionen Euro festgesetzt.
Im ersten Jahr der DSGVO lag der Fokus der Aufsichtsbehörden klar auf der Beratung der Unternehmen. Sie stellen aber in der Zwischenzeit unisono klar, dass sich die Unternehmen nicht vorbehaltlos auf diese Zurückhaltung verlassen sollten. Die Art der gemeldeten Datenpannen zeigt nämlich eine noch unzureichende Umsetzung der DSGVO, insbesondere bei KMU.
Die Behörden nehmen dies zum Anlass, Querschnittsprüfungen und exemplarische Umfrageaktionen sowie eine Phase stichprobenweise durchgeführter Prüfungen und Untersuchungen anzustoßen. Einige Beispiele kann man auf der Internetseite der Aufsichtsbehörde in Bayern nachlesen (https://www.lda.bayern.de/de/kontrollen.html).
Schlimmer aber als mögliche Bußgelder sind i.d.R. die Imageschäden der Unternehmen, wenn Datenpannen bekannt werden bzw. die wirtschaftlichen Schäden, wenn technische und organisatorische Maßnahmen zum Schutz der eigenen Daten nicht hinreichend implementiert wurden und es so zu Datendiebstahl oder -verlust kommt. Die Unternehmen sind also gut beraten, die Umsetzung der DSGVO im Unternehmen nun endlich anzugehen, denn die Entwicklung eines wirksamen Datenschutzkonzeptes und seiner Implementierung im Unternehmen erfordert Zeit. Der Prozess beginnt mit der Suche nach einem geeigneten Berater, denn KMU sind selten in der Lage, diese Aufgabe aus eigener Kraft zu bewältigen. Qualifizierte Berater müssen neben technischem Verständnis für die EDV-Infrastruktur auch juristische Fachkenntnisse haben. Sie müssen in der Lage sein, komplexe Prozesse zu erfassen, aus datenschutzrechtlicher Sicht zu analysieren und in einem Datenschutzkonzept Maßnahmen und Richtlinien zu beschreiben.
Das Datenschutzkonzept besteht in einer Beschreibung technischer und organisatorischer Maßnahmen, um den Datenschutz und die Informationssicherheit im Unternehmen zu gewährleisten. Ferner enthält es das Verzeichnis von Verarbeitungstätigkeiten sowie Richtlinien und Verfahrensanweisungen für Mitarbeiter. Hierzu gehören u.a. Verfahrensanweisungen zur Umsetzung des Datenschutzes im Unternehmen, zu Anfragen Betroffener und der Aufsichtsbehörden sowie Maßnahmen zum Beschäftigtendatenschutz und IT-Richtlinien.
Fazit: Datenschutz im Unternehmen ist kein Selbstzweck. Ein gutes Datenschutzkonzept schützt Unternehmenswerte und kann zu mehr Effizienz führen.
ETL ReiserSchmidt & Kollegen
Westfalenstraße 118
58453 Witten
02302 9300039
Ein Porträt des Unternehmens und weitere Informationen zu ETL ReiserSchmidt & Kollegen finden Sie HIER
Teilen:
Fotostrecke
Dirk Reiser
Holger Schmidt
