Die EU hat am 25.05.2018 eine neue Verordnung in Kraft gesetzt. Eine Verordnung ist ein Gesetz, das in allen EU Mitgliedsstaaten gilt. Die neue EU Datenschutz Grundverordnung, kurz DSGVO, oder in Englisch GDPR für General Data Protection Regulation, betrifft uns alle. Sie behandelt verschiedene Rollen und definiert umfangreiche Pflichten für all jene, die Daten verarbeiten. Wir alle, als EU Bürger haben die Hoheit über unsere Daten und können entscheiden wer und warum sie verwendet. In der Praxis bedeutet das für die Unternehmen einen imensen Aufwand und es macht für viele Firmen Sinn, Mitarbeiter auf ein Datenschutz Grundverordnung Seminar zu entsenden.
Auftragsverarbeiter und Verantwortlicher
Die Rollen, die in der DSGVO definiert sind, sind einerseits der Betroffene und andererseits der Verantwortliche und der Auftragsverarbeiter. Meldet man sich beispielsweise bei einem Onlinehändler an, um dort etwas zu bestellen, dann gibt man dem Onlinehändler die eigenen Daten bekannt. Je nachdem, wie die Bestellung abläuft und wie das Shopsystem des Händlers funktioniert werden persönliche Daten, wie Name und Anschrift, aber auch Geburtsdatum, E-Mail-Adresse und noch etliche andere Informationen bekannt gegeben. Als Konsument, um dessen Daten es geht ist man in der Rolle des Betroffenen. Das Unternehmen, das man beauftragt, im Beispiel also der Onlinehändler, ist der Verantwortliche. Beschäftigt der Onlinehändler eine Werbeagentur und beauftragt diese damit, allen Kunden ein persönlich adressiertes Schreiben mit personalisierten Gutscheinen zukommen zu lassen, dann ist diese Werbeagentur ein Auftragsverarbeiter für den Verantwortlichen.
Pflicht und Bußgeld
Die Pflichten des Verantwortlichen sind umfangreich. Grundsätzlich ist die DSGVO sehr einfach und eindeutig. Sämtliche personenbezogenen Daten dürfen nicht gespeichert werden. Da das in der Praxis nicht möglich ist gibt es zwei Ausnahmen, aufgrund der man als Unternehmen doch noch Daten speichern darf. Einerseits ist das eine Einverständniserklärung des Betroffenen, andererseits sind es rechtliche Vorgaben. Ist man als Unternehmen verpflichtet die Daten als Nachweis für die verrechnete Leistung zu speichern, dann ist das ein Grund, der die DSGVO und die Verpflichtung Daten zu löschen, schlägt. Allerdings muss der Verantwortliche Vorgaben erfüllen. So muss er ein Verzeichnis der Verarbeitungstätigkeiten führen. Eine Auflistung aller Prozesse, bei denen personenbezogene Daten verwendet werden. Eine Datenschutz Schulung macht für Unternehmen auf jeden Fall Sinn, denn mit der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten ist es noch lange nicht getan. Alle Mitarbeiter müssen sich der Verantwortung bewußt sein. Nicht zuletzt steht für ein Unternehmen einiges auf dem Spiel. Der Strafrahmen, den die DSGVO vorsieht beträgt immerhin 20 Millionen Euro, oder ganze 4% vom weltweiten Konzernumsatz.
Verantwortung
Ist man in der Rolle des Verantwortlichen, dann muss man weitere Prozesse vorsehen um etwaige Auskunftsbegehren von Betroffenen zu bearbeiten. Ein Betroffener hat das Recht, bei einem Unternehmen anzufragen, welche seiner Daten vorhanden sind. Nachdem man die Identität zweifelsfrei festgestellt hat, hat man 1 Monat Zeit um eine solche Anfrage zu beantworten. Gelangen Daten versehentlich in falsche Hände, dann ist die Behörde umgehend zu informieren. Innerhalb von 72 Stunden muss man eine entsprechende Meldung abgeben. Je nachdem, welche Daten verloren gegangen sind, können die Folgen für die Betroffenen unangenehm sein. Werden beispielsweise Kreditkartendaten von einem Hacker gestohlen, dann kann das für jeden Betroffenen sehr teuer werden. Die in der DSGVO vorgesehene Data Breach Notification muss ebenfalls als eigener Prozess geplant werden. Das Wichtigste bei der Umsetzung der DSGVO sind aber nicht die Erfüllung von Vorgaben und die Einhaltung von Fristen. Vielmehr geht es darum die personenbezogenen Daten tatsächlich sorgsam zu verwenden.
Mind-Set
Ein Datenschutz Grundverordnung Seminar für jeden Mitarbeiter zu buchen macht aus diesem Blickwinkel Sinn. Zwar bedeutet die Umsetzung der EU Verordnung intern hohe Aufwände, bürokratischen Mehraufwand und in vielen Fällen auch das Löschen von Daten, die bisher sehr lange gespeichert waren, aber der eigentliche Sinn der DSGVO liegt darin, dass der Schutz der Daten der Betroffenen möglichst ernst genommen wird. Weiß jeder Mitarbeiter, dass die Daten nur zu vorgegebenen Zwecken verwendet werden dürfen und kennt sie, oder er die Folgen eines Datenmißbrauchs, dann ist gewährleistet, dass der Umgang mit diesen Daten auch nur im Sinne der Verarbeitungstätigkeit erfolgt. Dabei sind kleine Maßnahmen bereits ein großer Schritt in Richtung Datenschutz. Überlegt man beispielsweise bei jedem Datenexport, ob bestimmte Informationen tatsächlich enthalten sein müssen, dann kann das den Umgang mit den sensiblen Daten bereits verbessern. Oft sind Statistiken und Exportfunktionen so gestaltet, dass alle verfügbaren Felder enthalten sind. Viele Informationen sind für die weitere Auswertung aber nicht erforderlich.
Besondere Datenkategorien
Speziell dann, wenn man mit besonderen Datenkategorien arbeitet lohnt sich ein Datenschutz Grundverordnung Seminar. Verabeitet man Religionsbekenntnis, politische Überzeugung, oder sexuelle Orientierung in den eigenen Systemen, dann muss man sich besonders um den Schutz der Daten bemühen. Auch die Daten von Kindern sind besonders geschützt und sollten nur mit größter Sorgfalt verarbeitet werden. Wer denkt, dass eine Datenverarbeitung immer ein IT-System erfordert, der irrt in diesem Fall. Die EU definiert die Verarbeitung der Daten sehr weitläufig. So ist schon die Papierablage, oder das bloße Lesen der Daten am Bildschirm eine relevante Verarbeitung. Viele Arbeitsprozesse müssen im Rahmen der DSGVO überdacht und angepasst werden.
Datenschutz Grundverordnung Seminar
Das Thema Datenschutz ist mit dem Inkrafttreten der DSGVO ein wichtiges und allgegenwärtiges Thema geworden. Zwar zielt die Datenschutz Grundverordnung in erster Linie auf große Unternehmen, wie Facebook, oder Google ab, aber das Gesetzt gilt in gleicher Weise natürlich auch für Einzelunternehmen. Jeder, der sich mit persönlichen Daten auseinandersetzt, eine Kundendatenbank, oder eine Bestellhistorie führt muss sich an die Vorgaben halten. Jeder Prozess muss dokumentiert werden. Darüber hinaus müssen alle Daten, für die es keine Legitimation gibt, gelöscht werden.
Die DSGVO bedeutet für Unternehmen einen erheblichen Aufwand. Auch wenn heute noch niemand weiß, wie die Rechtssprechung die Gesetze auslegen wird, steht ein Strafrahmen im Raum, der die meisten Unternehmen in den sicheren Ruin treiben könnte. Das Thema ernst zu nehmen und sich intensiv damit auseinanderzusetzen ist eine gute Idee und die Pflicht jedes Unternehmers. Mitarbeiter auf ein Datenschutz Grundverordnung Seminar zu entsenden, einen Datenschutzbeauftragten einzusetzen und sich mit Hilfe einer Rechtsberatung die bestehenden Prozesse anzusehen und Datenmissbrauch im Sinne der DSGVO zu beenden ist der richtige Weg um auch in Zukunft gesetzeskonform zu arbeiten.