Ahnungslose Unternehmen? – die EU-DSGVO, auch bekannt als General Data Protection Regulation, kommt und keiner nimmt sie ernst!? Das Gespenst der europäischen Datenschutzgrundverordnung geht um in den Unternehmen und kaum einer ist sich der Regelungen bewusst, die auf sie zukommen.
Betroffen sind alle Unternehmen, die personenbezogene Daten natürlicher Personen speichern und verarbeiten. Da darunter auch die eigenen Mitarbeiterdaten, z. B. für die Gehaltsabrechnung, fallen, ist quasi jedes Unternehmen betroffen. Ab Mai 2018 müssen diese die gesetzlichen Vorgaben der EU-DSGVO einhalten, ansonsten drohen hohe Geldstrafen.
Was müssen Personendaten-speichernde Unternehmen beachten?
Die grundlegenden Regelungen des Datenschutzes der EU-DSGVO entstammen der 1995 in Kraft getretenen EU-Datenschutzrichtlinie und deren Änderungen in den vergangenen Jahrzehnten. Die Datenschutzrichtlinie hatte bisher jedoch wenig Anklang in den Unternehmen gefunden, auch weil die Strafen von maximal 300.000 Euro pro Fall im Vergleich zum Aufwand für die Anpassungen der Unternehmensprozesse, Organisationen und Programme nicht abschreckend sind.
Die Überprüfung der Unternehmen bei der Einhaltung der Datenschutzrichtlinie war eher oberflächlich und beschränkte sich nicht selten auf die Prüfung, ob ein oder eine Datenschutzbeauftragte/r im Unternehmen vorhanden ist.
Ab Mai 2018 sind beauftragten Unternehmensprüfer dazu angehalten, sich einen Überblick über die Einhaltung der Regelungen zu verschaffen, auch auf unterster Ebene bei der Datenerfassung und -verarbeitung. Verstöße müssen in die Protokolle aufgenommen und den Behörden gemeldet werden.
Wichtigste Regelungen der EU-DSGVO
Auskunftspflicht für Unternehmen
Unternehmen müssen betroffenen Personen bei entsprechender Anfrage eine Übersicht ihrer gespeicherten Daten geben. Der Prozess der Datenauskunft muss transparent und vollständig sein. Hier sollten Unternehmen klar definieren, welche Unternehmensbereiche zur Bereitstellung der Personendaten verantwortlich sind oder zuarbeiten müssen.
Löschung von personenbezogenen Daten
Löschung von Personendaten wird verpflichtend. Ist der Zweck der personenbezogenen Datenerhebung und -verarbeitung erfüllt (z. B. Bestellung abgeschlossen), müssen die Daten gelöscht werden. Betroffene können auf eine Löschung bestehen, auch dem muss das Unternehmen nachkommen.
Strafen bei Verstößen der EU-DSGVO
Maximale Geldbußen von 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes ermöglicht die europäische Grundverordnung. Die strafrechtlichen Sanktionen werden auf nationaler Ebene geregelt und müssen gemäß Artikel 84 DSGVO wirksam, verhältnismäßig und abschreckend sein.
Klarheit, welche Strafmaße gerichtlich verhängt werden und aufgrund welcher Vergehen, wird es erst durch entsprechende Präzedenzfälle, nach Inkrafttreten des Gesetzes, geben.
Unternehmen und IT-Abteilung sind in Zugzwang
Organisatorische Auswirkungen und Maßnahmen
Neben einem Datenschutzverantwortlichen im Unternehmen, sollten auch in den Fachabteilungen Datenschutzbeauftragte ernannt werden, die zusammen mit der IT-Abteilung Lösungen entwickeln, die datenschutzkonform und dennoch zur Aufgabenbewältigung nützlich sind.
Die Anforderung der Löschung von personenbezogenen Daten, würde bei nicht ausreichender Abstimmung zwischen IT und Fachabteilung dazu führen, dass die Datenbasis inkonsistent wird und unter Umständen nicht mehr verwendet werden kann. Die Fachbereiche müssen rechtliche Fristen benennen und den Umgang mit gelöschten Daten klären.
Das allgemeine und quasi standardisierte Vorgehen der Datennormalisierung ist nicht auf die Löschung von Daten ausgelegt, insbesondere von Stammdaten, was die meisten personenbezogenen Daten sind.
Trennung von Informations- und archivierungspflichtigen Daten
Für die datenschutzkonforme Entwicklung von Systemen wird es notwendig sein, die Daten redundant zu speichern und sie aufzuteilen auf Informationsdaten und Archivierungsdaten.
Bei Informationsdaten handelt es sich um Informationen zu einer Person, die nicht der gesetzlichen Archivierungspflicht unterliegen und müssen umgehend nach Erfüllung des Erhebungszwecks gelöscht werden (z. B. Kreditkartendaten).
Die Archivierungsdaten stellen ein Set an Informationen dar, die beispielsweise für die gesetzlichen Aufhebungsfristen in der Buchhaltung oder im medizinischen Bereich benötigt werden, um die Vorgänge nachvollziehen zu können (z. B. Rechnungsdaten bei Warenkauf). Die Archivierungsdaten dürfen erst nach Ablauf der gesetzlichen Aufbewahrungspflicht gelöscht werden. Die Löschung wird nach Ablauf der Fristen durch die EU-DSGVO auch bindend. Die Unternehmen dürfen die Daten nicht mehr verarbeiten.
Einsatz von Software
Unternehmen benötigen eine Beschreibung des Prozesses der Löschung personenbezogener Daten in den operativen und dispositiven Systemen des Unternehmens. Bei der Entwicklung und dem Einsatz von Software muss beachtet werden, dass eine datenschutzkonforme Löschung möglich ist.
Derzeit gibt es keine Anbieter von Standardsoftware, die das konforme Löschen von Daten ermöglichen. Das Löschen von Daten wurde in der Konzeption von Software bisher nicht berücksichtigt. Um den Anforderungen der EU-DSGVO gerecht zu werden, müssen nachträglich Softwareänderungen durchgeführt werden.
Hierbei bietet sich die Entwicklung automatischer Löschroutinen an, um die aufwendige und fehleranfällige manuelle Löschung zu vermeiden. Auch bei der Erstellung von Personendatenübersichten sollten Prozesse softwareseitig unterstützt werden, um die enormen Aufwände einer manuellen Auswertung zu vermeiden.