DSGVO - FAQs

Worauf müssen Unternehmen nun achten?

Das allgemein diskutierte Thema: Ändert sich durch die EU-Datenschutzverordnung viel oder wenig? Ich empfehle Unternehmen die Thematik als Auslöser zu sehen, um ihr Daten und IT-Management auf den aktuellen Stand der Technik zu bringen.

Wichtig zu verstehen ist, dass IT-Sicherheit und Unternehmensstabilität untrennbar miteinander verbunden sind. Welches Unternehmen könnte heute bei Ausfall von Computern und Smartphones noch produktiv weiterarbeiten? Jedes Unternehmen ist verwundbar. Gerade in Zeiten von Verschlüsselungs-Trojanern und Rasom Software müssen zumindest die gängigsten Lücken geschlossen werden. Die DSGVO sollte nicht nur als notwendiges Übel sondern vor allem als Trigger gesehen werden, um IT im Unternehmen nach aktuellem Stand der Technik umzusetzen.

Datenschutzvorfälle können außerdem zu einem häufigen Auslöser für Strafen werden. Dazu kommen mögliche Schadenersatzforderungen. In Kombination mit Betriebsausfall und Reputationsverlusten liegt es auf der Hand, dass hier ein starker Fokus zu setzen ist.

Warum trifft die neue EU-Datenschutzverordnung 2018 vor allem die KMU besonders schwer? Welche Rechte und Pflichten haben diese?

Die DSGVO zielt darauf ab, auch große Konzerne in die Pflicht zu nehmen. Gerade für die vielen kleinen Unternehmen kann die Umsetzung allerdings zu einer großen Bürde werden.

Im Endeffekt gelten für kleine und große Unternehmen die gleichen Auflagen. Wer bisher alles richtig gemacht hat, den trifft auch die neue Verordnung nicht zu sehr. Allerdings hat dies kaum jemand - gerade kleine Unternehmen haben der Informationssicherheit oft keinen besonderen Stellenwert beigemessen.

Wie müssen KMUs jetzt Schritt für Schritt vorangehen, um alles richtig zu machen?

Das Kernelement ist die Erstellung eines Verfahrensverzeichnisses (Schritt 1). Darin sind  alle Anwendungen zu protokollieren, bei denen personenbezogene Daten verarbeitet werden - quasi eine Buchhaltung der  Datenanwendungen. Richtig umgesetzt lässt sich daraus ableiten, ob Daten rechtmäßig (Schritt 2) und ausreichend sicher (Schritt 3) verarbeitet werden. In weiterer Folge gilt es festzustellen, welche Schritte gesetzt werden müssen, um die Rechte der Betroffenen umsetzen zu können (Schritt 4) und wie bei einem Datenschutzvorfall vorzugehen ist (Schritt 5).

Welche Strafen drohen bei Nichteinhaltung der Verordnung?

Der maximale Strafsatz liegt bei 20 Millionen oder 4 % des weltweiten Konzernumsatzes - je nachdem, was höher wiegt. Im Allgemeinen gilt jedoch: Vorbereitung und Dokumentation sind alles! Die Strafen werden sich im Anlassfall daran orientieren, ob ausreichend belegt werden kann, dass bereits im Vorfeld  entsprechende Maßnahmen zur Umsetzung der Verordnung und zum sicheren Umgang mit Daten getroffen wurden.

Anlassfälle können beispielsweise die falsche Umsetzung der Rechte der Betroffenen oder ein Datenschutzvorfall sein. Letzteres gilt es, so gut wie möglich zu vermeiden.

Ist die Verordnung ab Mai 2018 sofort bindend, oder gibt es noch Übergangsfristen?

Wichtig zu verstehen ist, dass die Verordnung bereits seit 2016 in Kraft ist. Die Übergangsfrist ist jetzt - die Schonfrist endet mit Mai 2018!