Die neue EU-Datenschutzgrundverordnung stellt alle Unternehmen vor hohe Anforderungen
Bis zum 25. Mai 2018 muss die neue EU-Datenschutzgrundverordnung (DSGVO) europaweit umgesetzt sein. Im Frühjahr 2016 hatte dies die europäische Union beschlossen und erklärt, dass die Daten der EU-Bürger besser – und vor allem in allen 28 Mitgliedsstaaten einheitlich – geschützt werden müssen. Im September 2017 gab noch jedes drittes Unternehmen bei einer Umfrage des IT-Branchenverbandes Bitkom an, sich noch überhaupt nicht mit den Vorgaben der Verordnung beschäftigt zu haben.
Mittlerweile geben selbst die Aufsichtsbehörden zu: Die DSGVO verlangt allen Beteiligten einiges ab, so das Handelsblatt. Wenn am 25. Mai 2018 das neue Regelwerk für die Verarbeitung, Speicherung und Weitergabe personenbezogener Daten durch private Unternehmen und öffentliche Stellen in Kraft tritt, haben die Bürger der europäischen Union deutlich mehr Handhabe über Informationen zu ihrer Person als bisher. So hat zum Beispiel künftig jeder das Recht zu erfahren, welche seiner persönlichen Daten ein Unternehmen zu welchen Zwecken nutzt. „Die Mehrheit der Unternehmen wird es bis zum Stichtag nicht schaffen, alle Anforderungen umzusetzen“, sagt Bitkom Präsident Achim Berg dem Handelsblatt. Das ist umso riskanter angesichts der Tatsache, dass die Aufsichtsbehörden bei Verstößen Bußgelder in Höhe von bis 4 Prozent des weltweiten Jahresumsatzes verhängen können. Doch für die Umsetzung fehlt in vielen Firmen auch ausreichend qualifiziertes Personal. Mehr als jedes zweite Unternehmen in Deutschland hat nach Angaben des Bitkom weniger als eine Vollzeitstelle für Mitarbeiter eingeplant, die sich hauptsächlich mit Datenschutzthemen befassen.
Zunächst muss einmal festgestellt werden, welche Daten von den Unternehmen jeweils gespeichert werden. Nach einer Umfrage des Marktforschers EDC unter 251 Unternehmen, wusste fast jeder vierte Manager nicht, wo überall Daten im Unternehmen gespeichert werden. Auf die Aufsichtsbehörden kommen mit der Datenschutzgrundverordnung auch zahlreiche neue Aufgaben zu. Sie müssen in der Lage sein, Unternehmen zu beraten, zu zertifizieren und zu kontrollieren. Letztlich müssen sie Datenverstöße ahnden, bis hin zur Klage und sich dabei mit den Behörden aller EU-Mitgliedsstaaten abstimmen.
Auch alle Behörden sind von der neuen DSGVO betroffen und müssen sich hierauf einstellen. Allerdings ist es nicht ganz einfach, die Anforderungen der DSGVO zu verstehen – das räumen selbst erfahrene Datenschützer ein. Die Verordnung ist derart umfangreich und komplex, dass Unternehmen für ihre Branche individuell verstehen müssen, was datenrechtlich besonders geschützt werden muss. Alle Geschäftsprozesse, die mit Personendaten zu tun haben, sind zu beschreiben. Dies erfordert umfangreiche Dokumentationen in den Unternehmen, die für behördliche Kontrollen jederzeit vorzuhalten sind. Das heißt, verändern sich die Prozesse, so sind auch die Dokumentationen wieder anzupassen.
Allerdings ist der Datenschutz europaweit doch nicht so einheitlich, wie es ursprünglich angedacht war. „Es gibt in den einzelnen Ländern immer noch viele Spielräume zur Ausgestaltung durch zahlreiche Öffnungsklauseln. Auch in den deutschen Bundesländern gibt es Unterschiede. Es kann durchaus sein, dass ein Unternehmen im Hamburg anders geprüft wird als in Baden-Württemberg, so das Handelsblatt.
Wir werden für unser Haus bis zum 25. Mai 2018 die DSGVO umgesetzt haben.