Datenschutz ist Beziehungspflege. Auch wenn per Gesetz angeordnet.
Geht es Ihnen auch so? Sie können „Bußgelder bis zu 20 Millionen, bis zu 4%… auch nicht mehr hören?
Uns geht’s zumindest so: Wir wollten wissen, was zu tun ist. Und dann wird das einfach erledigt. Die Betonung liegt auf „einfach“.
Zuerst die Fakten
- Deadline ist der 25.5.2018, dann muss alles fertig sein.
- Es betrifft alle Unternehmen, denn wir alle verwenden im Geschäftsleben Kontaktdaten.
- Für die gesamte EU gilt nun ein Datenschutzrecht. Das bedeutet auch, dass alle Unternehmen im EU-Wettbewerb im Datenschutz vergleichbar werden.
- Auch Unternehmen außerhalb der EU müssen sich daran halten, wenn sie Daten von EuropäerInnen verarbeiten. Das führt zu einer globalen Vergleichbarkeit im Wettbewerb mit den besten Unternehmen der Welt, was den Umgang mit Personendaten betrifft
Was ist unverändert?
Der Großteil der Forderungen zum Umgang mit Daten ist unverändert geblieben. Wer den „alten“ Datenschutz im Unternehmen organisiert hat, wird sich leicht tun, das Neue einzupflegen.
Das Thema ist überschaubar, auch wenn es oft dramatisiert wird.
Jedes Unternehmen Ihrer Branche hat dieselben Herausforderungen.
Was ist neu?
Der wesentliche Teil des Datenschutzes ist eindeutig EU-weit harmonisiert. Die festgelegten Maßstäbe für die Verhängung von Bußgeldern sind auch für Weltkonzerne wirksam, die nicht in der EU ansässig sind.
Die wichtigsten großen Änderungen sind:
- Die Bußgelder sind wesentlich erhöht worden
- Daten von juristischen Personen sind nicht mehr geschützt
- Daten von Verstorbenen sind nicht mehr geschützt
- Biometrische und genetische Daten stehen unter besonderem Schutz
- Das Datenschutzregister ist beendet und wird archiviert
- Die Meldepflicht von Verarbeitungen ist aufgehoben
- Profiling wurde geregelt
Wer den bisherigen Datenschutz noch nicht in der geforderten Qualität abgebildet hat, hat Handlungsbedarf. Je nach Branche gibt es mehr oder weniger zu tun.
Vier Handlungsfelder stehen auf dem Projektplan:
- Verzeichnis der Verarbeitungen
- Verträge, Texte & Erklärungen
- Technische & organisatorische Massnahmen
- Handbuch zum Datenschutz
- Das Verfahrensverzeichnis ist die Grundlage: Welche Daten werden verarbeitet? Eine Vorlage hilft bei der Erstellung.
- Die Verträge sind entscheidend für die Pflichten gegenüber Betroffenen.
Auch hier ist eine Vorlage die halbe Miete. - Technische und organisatorische Maßnahmen zum Schutz der Daten dienen dem Risikomanagement.
Übrigens sind die Risikobewertung und auch die „data breach notification“ bei einem Notfall organisatorische Maßnahmen, die man als fertiges Modell kennenlernen kann.
Das Handbuch für den Datenschutz beinhaltet alles, was im Unternehmen zum Thema gemacht wird. Schon wieder eine Vorlage.
Potenziale
Neben der Pflicht gibt es aber auch die gute Seite der Medaille, die Potenziale.
Zwei große Potenziale warten darauf, genutzt zu werden:
- Wie bei jeder Herausforderung im Wettbewerb ist die DSGVO eine Chance, sich vor dem Mitbewerb zu positionieren.
Wer die Möglichkeiten der DSGVO erkennt und schneller und attraktiver sichtbar damit wird, punktet bei den Betroffenen.
- Dieselben Maßnahmen, die zum Schutz der Daten geeignet sind, sind auch gegen Cybercrime wirksam. Bei ständig steigenden Malware-Attacken ist das eine wertvolle Synergie.
Es gibt Sicherheit mit Hausverstand. Einfache Regeln für Mitarbeiter helfen.
Risiken
Hektik ist nicht zu empfehlen, Verspätung ebenfalls nicht. Die Branche entscheidet.
Ein Unternehmen hatte kaum Nachweise zu Einwilligungen. Durch eine Fehleinschätzung, wie man diese Einwilligungen erhalten könnte, wurden 95% der Kundendaten verloren – weil nur 5% Einwilligungen erreicht werden konnten.
Ein anderes Unternehmen produziert Software und wurde vom Mitbewerb zum Thema DSGVO regelrecht pulverisiert: Der Mitbewerb hatte rechtzeitig „Datenschutz durch Technikgestaltung“ in seine Software eingebaut.
Der unglückliche SW-Hersteller hatte das Thema in seiner Versionsplanung total unterschätzt und muss nun Verschlüsselung und Pseudonymisierung einbauen, damit seine KundInnen seine Software für Gesundheitsdaten nach DSGVO verwenden dürfen.
Es wird eine Informationsveranstaltung geben, die wir demnächst über Facebook ankündigen werden.
Wenn Sie noch Fragen haben, kontaktieren Sie uns.