Seit 25. Mai 2018 gilt in der gesamten Europäischen Union die Datenschutz-Grundverordnung (DSGVO) für Unternehmen. Glaubt man Medienberichten, bricht nun vielerorts Chaos aus – so schreibt Heise online etwa von einem „Absurditätenkabinett“. Besonders kleinen und mittelständischen Unternehmen (KMU) sowie Vereinen könnten Abmahnwellen und horrende Bußgelder von bis zu 20 Millionen Euro drohen, heißt es. Der Bundesverband mittelständische Wirtschaft beziffert die Mehrbelastung im Bereich Datensicherheit, die vor allem durch zusätzliche Bürokratie entstünde, auf 60 Prozent und warnt bereits vor einer „Entdigitalisierung der Wirtschaft“.

Auch interessant: Unternehmen haben weiter Nachholbedarf bei DSGVO

Wachsende Transparenz personenbezogener Daten als Chancen nutzen

Ab in die Cloud: DSGVO-konforme Auftragsdatenverarbeitung

Um der DSGVO Genüge zu tun, kann gerade für KMU die Auftragsdatenverarbeitung von personenbezogenen Daten mit Cloud-Diensten sehr hilfreich sein. Wichtig: administrative Zugriffe aus Drittstaaten wie den USA müssen ausgeschlossen sein. Darüber hinaus sollte ein Cloud-Dienstleister Zertifikate wie das Trusted Cloud-Datenschutzprofil (TCDP) 1.0 vorweisen können. Zusammen mit dem Zertifikat BSI C5 Typ 1 zur Informationssicherheit bescheinigt TCDP die Fähigkeit zur rechtskonformen Auftragsverarbeitung mit Cloud-Services – wie zum Beispiel die Open Telekom Cloud.

Besteht für Unternehmen also Anlass zur Panik? Nein. Mit dem neuen Recht gibt es lediglich 99 Artikel, die den Umgang mit Daten von betroffenen Personen regeln, an die sich Unternehmen seit Mai 2018 halten müssen - und die sind kein Buch mit sieben Siegeln. Wesentliche Merkmale stehen in unserer DSGVO-Checkliste im Kasten. Doch dass die neuen Regelungen nicht nur Pflichten auferlegen, sondern auch Vorteile und Chancen bieten, geht in den aufgeregten Debatten häufig unter. So profitieren Unternehmen von einem einheitlichen digitalen Rechtsraum in der Europäischen Union und dem so genannten One-Stop-Mechanismus: Bei grenzüberschreitendem Datenverkehr haben sie nur mit einer Aufsichtsbehörde zu tun, die an ihrem Hauptsitz liegt. Der administrative Aufwand sinkt, während die Erfolgsaussichten für EU-weite Geschäftsmodelle wie etwa im Bereich Big Data steigen - und ganz nebenbei auch die IT-Sicherheit.

Auch interessant: Datenschutzrecht bei Einwilligungserklärungen einhalten

Der DSGVO-Prüfstand: Darauf kommt’s an

 

  • Privacy by Design, Privacy by Default und Datenschutzfolgeabschätzung beginnen bei Produktentwicklung und -design
  • Grundsatz der Zweckbestimmung und Datensparsamkeit gilt bei allen Datenerhebungsprozessen
  • Nachweis- und Dokumentationspflicht beachten, Verfahrensverzeichnisse einführen
  • Fristen für Meldepflicht bei Verstößen einhalten
  • Mitarbeiter schulen und verbindliche Policies für den Datenschutz erarbeiten
  • Achtung: Auch IP-Adressen können als personenbezogene Daten gelten
  • Kundenprozesse und Einwilligungsverfahren überprüfen
  • Für Datenportabilität sorgen, z.B. bei Datenauslagerung in Cloud
  • Prüfen, ob Cloud-Dienstleister DSGVO-konforme Auftragsverarbeitung gewährleisten kann

 

Darüber hinaus sind die neuen Vorgaben für Unternehmen bei der Verarbeitung personenbezogener Daten seit Mai 2018 als Wettbewerbsfaktor nicht zu unterschätzen: Wer durch die technische Umsetzung und organisatorische Maßnahmen mehr Kontrolle über Daten und Informationsverarbeitung in seinem Unternehmen gewinnt, erkennt Schwachstellen und kann Verbesserungen in seiner Datenverarbeitung einleiten. Das zeigt auch eine internationale Studie des Softwareherstellers SAS, für die 340 zuständige Führungskräfte verschiedener Branchen befragt wurden. 71 Prozent erwarten, dass sich ihre Data Governance infolge der DSGVO verbessern wird und 37 Prozent glauben, dass ihre allgemeine IT-Kompetenz steigt. Immerhin 30 Prozent sehen die Möglichkeit einer Image-Aufwertung durch die Erfüllung der DSGVO-Richtlinien, und fast genauso viele (29 Prozent) erwarten steigende Kundenzufriedenheit.

DSGVO-konformes Verhalten und zuverlässiger Datenschutz können also durchaus zum Wettbewerbsvorteil werden. Dies gilt erst recht, wenn ein vertrauenswürdiger Cloud-Dienstleister (siehe Kasten „Ab in die Cloud“ ) als Auftragsdatenverarbeiter tätig wird, dessen täglich Brot der Umgang mit DSGVO und Datensicherheit ist.