Die DSGVO – vor drei Jahren in Kraft getreten und vor einem Jahr kam Sie zu Anwendung.
Was hat sich seitdem getan? Kam es zur großen Abmahnwelle? Wurden Bußgelder verhängt? Was haben Behörden und Unternehmen seitdem getan?
Fest steht zunächst: Es wurden deutschlandweit Bußgelder im Rahmen von 3,2 Mio € verhängt und dies in 57 Fällen. Obwohl die Höhe der Bußgelder vielleicht nicht niedrig erscheinen mag: Nimmt man die Anzahl der Fälle und setzt sie in Relation zu der Anzahl der Unternehmen in Deutschland, so waren lediglich ca. 0,002 % der Unternehmen von Bußgeldern auf Grund von Datenschutzverstößen betroffen.
Auch im Vergleich zu beispielsweise Frankreich ist dies nicht viel. Dort betrugen allein die Bußgelder gegen Facebook in diesem Jahr 50 Mio €.
Die DSGVO ein „Rohrkrepierer“?
Auch in den Medien wurde es nach der Einführung der DSGVO relativ ruhig und man berichtete hier und da über „typische Aufreger“, die durch schlechte Datenschutzberatung entstanden. Hierzu zählten u.a. abmontierte Klingelschilder, auf Photos unkenntlich gemachte Kindergartenkinder und KFZ-Werkstätten, die auf eine Einwilligungserklärung zur Datenverarbeitung bestehen, bevor Sie Ihr Auto reparieren.
Wenn aber dadurch bei manchen der Eindruck entstanden ist, die DSGVO sei eher ein „Rohrkrepierer“, so täuscht dieser Eindruck. Behörden- und Gerichtsverfahren nehmen Zeit in Anspruch. Es war daher nie zu erwarten, dass es bereits wenige Tage nach Geltung der DSGVO Strafen hagelt. Zwischenzeitig sollte dank zahlreicher Entscheidungen jedem klar sein, dass Datenschutz keine Eintagsfliege war.
Die Datenschutzbehörden stocken in Personal und Technik stetig auf, um den Anzeigen nachkommen zu können. Bis dahin greifen sie häufig darauf zurück, bei der Meldung eines Betroffenen über ein Unternehmen erst einmal die Unternehmensdokumente zum Verarbeitungsverzeichnis und die technisch-organisatorischen Maßnahmen anzufordern. Können Sie diese nicht liefern, werden ziemlich sicher Konsequenzen folgen.
Begreifen Sie die DSGVO als Chance
Fragen Sie sich einmal, in welchen Systemen Sie in Ihrem Unternehmen personenbezogene Daten verarbeiten, so werden Sie wahrscheinlich nur wenige im Einsatz haben, bei denen dies nicht zutrifft.
Sei es der E-Mail Server, Ihre Desktop oder Notebooks, Mobiltelefone, Ihr CRM oder auch Ihr ERP und Ihre Dateiablage, alle halten irgendwo personenbezogene Daten, welche durch die DSGVO geschützt und dessen Prozesse dokumentiert werden müssen.
- Datenschutz ist auch immer IT-Schutz!
Mit den Umsetzung DSGVO-konformer, technischer Maßnahmen härten Sie immer auch Ihre IT-Infrastruktur. Die Maßnahmen der DSGVO zum Schutz und der Redundanz personenbezogener Daten zielen auf ganze Systeme ab und nicht nur auf die Daten selbst! Dies würde auch technisch keinen Sinn machen. - Unternehmens-Prozesse kritisch hinterfragen und ggfs. anpassen Für die Erstellung eines Verarbeitungsverzeichnisses werden alle Prozesse dokumentiert, die mit personenbezogenen Daten zusammenhängen. Häufig bilden diese den Großteil aller Prozesse eines Unternehmens ab – besonders bei Dienstleistern. Die Transparenz darüber wird häufig vom Unternehmen dazu genutzt, auch für den Datenschutz unerhebliche Prozesse kritisch zu hinterfragen und gegebenenfalls effizienter zu gestalten.
- Software-Aktualität ist Pflicht
Zur Sicherheit eines Unternehmens gehört es längst, stets aktuelle Software im Einsatz zu haben, um kein Opfer möglicher Sicherheitslücken zu werden. Z.B. sollte eine Nutzung von Windows 7 nach Support-Ende zu Beginn des nächsten Jahres – auch ohne Datenschutz – ein tabu sein. So setzen auch die Bestimmungen der DSGVO auf eine aktuelle und vom Hersteller unterstützte Software-Architektur. - Alle Lizenzen an Board?
Haben Sie zu wenig Lizenzen für den Einsatz Ihrer Office-Programme oder Betriebssysteme, so kann dies auch eine Gefahr für den Datenschutz darstellen. Nämlich dann, wenn dem Unternehmen dadurch z.B. der Support des Herstellers verwährt wird oder Updates nicht mehr eingespielt werden können. Ein einfaches Beispiel: Abgelaufene Anti-Virus Software gefährdet nicht nur personenbezogene Daten in Ihrem Unternehmen, sondern auch das Unternehmen selbst. - Effizienteres Arbeiten durch neue Technologien
Unsere Erfahrung bei Datenschutz-Audits zeigen, dass immer wieder „altbewährte“ technische Methoden gearbeitet wird, die nach Einführung nicht mehr hinterfragt wurden. Sie funktionieren und machen „keinen Ärger“. Der entsteht oft erst dann, wenn das Backup auf der externen Festplatte nach einem Systemcrash nicht mehr zurückgespielt werden kann oder es so alt war, dass ein Großteil der aktuellen Arbeit unwiederbringlich verloren gegangen ist. Der Wechsel zu einem verschlüsseltem Online-Backup und dessen tägliche Überwachung ist für jedes Unternehmen erschwinglich und sichert Ihnen gleichzeitig die Verfügbarkeit und Sicherheit der Ihnen anvertrauten personenbezogenen Daten.
Gerne beraten wir Sie zu allen Themen rund um den Datenschutz und IT-Sicherheit.