Nach einer zweijährigen Vorbereitungszeit wird es nun endgültig ernst und angesichts der Flut von Kundendaten, die künftig unter dem Schutz der DSGVO stehen, empfinden viele Unternehmen die Umsetzung als wahre Herkulesaufgabe. Darunter fallen sämtliche Daten, die zur Identifizierung eines Individuums verwendet werden können.
Die Nichteinhaltung führt im Extremfall zu einer Geldstrafe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes der Unternehmensgruppe – je nachdem, welcher Betrag höher ist.
„Trotzdem lohnt es sich, die zentralen Anforderungen mit kühlem Blick unter die Lupe zu nehmen und sich darüber klar zu werden, was für die Umsetzung der Verordnung zu tun ist“, sagt Manuel Grenacher ist Gründer und CEO der Coresystems AG, einem Anbieter von mobilen und cloudbasierten Softwarelösungen. Er empfiehlt, folgende vier Punkte zu beachten:
1. Einwilligung des Kunden einholen
„Die wichtigste Maxime: Im Zweifelsfall zuerst fragen! Die DSGVO schreibt vor, dass Unternehmen vor der Verarbeitung oder Speicherung von Kundendaten die Zustimmung des Kunden einholen müssen“, berichtet Grenacher. Der Antrag auf Einwilligung muss nicht nur unmissverständlich formuliert sein, sondern auch klar darlegen, wie die Daten des Kunden verwendet und wie lange sie gespeichert werden.
Galten Stillschweigen oder Untätigkeit des Kunden früher als Zustimmung, ist das bei der DSGVO nicht mehr der Fall. Stattdessen müssen Unternehmen nachweisen, dass sie die Zustimmung des Kunden zur Nutzung seiner Daten erhalten haben.
Darüber hinaus müssen die Einwilligungsbedingungen stets mit den aktuellsten Kundendaten und dem Zweck, für den sie verwendet werden, übereinstimmen. Wenn hier eine Änderung erfolgt, ist ein neuer Antrag geboten. Zudem haben Kunden jederzeit das Recht, ihre Einwilligung zu widerrufen, was jedes Unternehmen dazu verpflichtet, innerhalb eines angemessenen Zeitraums entsprechend zu reagieren und zu handeln.
2. Einstellung eines Datenschutzbeauftragten
Der Datenschutzbeauftragte ist der direkte Ansprechpartner für Fragen rund um die Einhaltung der DSGVO.
Ob ein Unternehmen einen Datenschutzbeauftragten benötigt, muss einzelfallspezifisch sorgfältig geprüft werden. Da Unternehmen jedoch generell zur Einhaltung des Datenschutzes und entsprechender Maßnahmen verpflichtet sind, wird die Einstellung eines Datenschutzbeauftragten insbesondere größeren Unternehmen empfohlen. Doch was genau beinhaltet seine Funktion?
- Regelmäßiges und systematisches Monitoring der betroffenen Personen
- Bearbeitung von speziellen Datenkategorien
- Durchführung eines Data Protection Impact Assessment (DPIA)
Wenn ein Unternehmen personenbezogene Daten dauerhaft speichert, muss vor jedem Projekt, das solche personenbezogenen Daten beinhaltet, eine Datenschutzfolgenabschätzung (Data Protection Impact Assessment, DPIA) durchgeführt werden.
„Dahinter verbirgt sich eine Prüfung der hauseigenen Prozesse und Verfahren einer Organisation“, erklärt Grenacher. Im Zuge dessen wird ermittelt, wie sich die Prozesse auf die Privatsphäre der Personen, deren Daten gespeichert, gesammelt oder verarbeitet werden, auswirken oder diese gefährden könnten. Ein DPIA verfolgt drei Ziele:
- Gesicherte Einhaltung der geltenden gesetzlichen, regulatorischen und politischen Anforderungen bezüglich Datenschutz
- Ermittlung der Risiken und Auswirkungen
- Evaluierung von Schutzmaßnahmen und alternativen Verfahren zur Minimierung potenzieller Datenschutzrisiken
3. Alarm bei Datenverstößen auslösen
Trotz aller Vorkehrungen beinhalten Datenschutzverletzungen für Unternehmen ein erhebliches Risiko nicht nur im Hinblick auf die Einhaltung der DSGVO, sondern vor allem für die Privatsphäre und das Vertrauen der Kunden. Im Falle einer Verletzung der DSGVO besteht die Pflicht, die lokalen Datenschutzbehörden innerhalb von 72 Stunden nach Feststellung des Verstoßes zu informieren.
Grenacher: „Das bedeutet aber auch, dass Unternehmen die geeignete Technologie und entsprechende Verfahren benötigen, um Verstöße innerhalb dieses Zeitrahmens zu erkennen und zu beheben.“
Um diese strenge Anforderung zu erfüllen, kann also eine Überarbeitung der internen Datensicherheitsrichtlinien sowie eine umfassende Schulung der Mitarbeiter erforderlich sein. So lässt sich sicherstellen und dokumentieren, dass im Unternehmen ein angemessener Reaktionsplan für Bedrohungen durch Datenverstöße vorliegt und bei Bedarf greift.
4. Das Recht auf Vergessen respektieren
Die DSGVO unterstützt das Prinzip der Datenminimierung, wonach Unternehmen nur diejenigen personenbezogenen Daten verwenden und aufbewahren dürfen, die zu einem bestimmten Zeitpunkt für einen bestimmten Zweck benötigt werden.
„Demnach sollte alles gelöscht werden, was nicht für den vorgesehenen Zweck und die vorgesehene Dauer benötigt wird“, sagt Grenacher. Darüber hinaus hat der Kunde, wie bereits erwähnt, jederzeit das Recht, seine Einwilligung zu revidieren und die Löschung der Daten zu verlangen. Unternehmen müssen dann alle Spuren der betreffenden Kundendaten aus ihren Repositories entfernen, in denen die Daten geteilt und gespeichert wurden.