Allerdings ist der Einsatz für Unternehmen hoch: Nichteinhaltung führt im Extremfall zu einer Geldstrafe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes der Unternehmensgruppe – je nachdem, welcher Betrag höher ist. Und nach dem jüngsten Missbrauch von Kundendaten durch Facebook sind alle Augen auf den angemessenen Schutz privater Daten gerichtet.
Zentrale Aspekte rund um die Umsetzung der DSGVO
Nach einer zweijährigen Vorbereitungszeit wird es nun endgültig ernst und angesichts der Flut von Kundendaten, die künftig unter dem Schutz der DSGVO stehen, empfinden viele Unternehmen die Umsetzung als wahre Herkulesaufgabe. Darunter fallen sämtliche Daten, die zur Identifizierung eines Individuums verwendet werden können. Trotzdem lohnt es sich, die zentralen Anforderungen mit kühlem Blick unter die Lupe zu nehmen und sich darüber klar zu werden, was für die Umsetzung der Verordnung zu tun ist.1. Einwilligung des Kunden einholen
Die wichtigste Maxime: Im Zweifelsfall zuerst fragen! Die DSGVO schreibt vor, dass Unternehmen vor der Verarbeitung oder Speicherung von Kundendaten die Zustimmung des Kunden einholen müssen. Der Antrag auf Einwilligung muss nicht nur unmissverständlich formuliert sein, sondern auch klar darlegen, wie die Daten des Kunden verwendet und lange sie gespeichert werden. Galten Stillschweigen oder Untätigkeit des Kunden früher als Zustimmung, ist das bei der DSGVO nicht mehr der Fall. Stattdessen müssen Unternehmen nachweisen, dass sie die Zustimmung des Kunden zur Nutzung seiner Daten erhalten haben. Darüber hinaus müssen die Einwilligungsbedingungen stets mit den aktuellsten Kundendaten und dem Zweck, für den sie verwendet werden, übereinstimmen. Wenn hier eine Änderung erfolgt, ist ein neuer Antrag geboten. Zudem haben Kunden jederzeit das Recht, ihre Einwilligung zu widerrufen, was jedes Unternehmen dazu verpflichtet, innerhalb eines angemessenen Zeitraums entsprechend zu reagieren und zu handeln.2. Einstellung eines Datenschutzbeauftragten
Der Datenschutzbeauftragte ist der direkte Ansprechpartner für Fragen rund um die Einhaltung der DSGVO. Ob ein Unternehmen einen Datenschutzbeauftragten benötigt, muss einzelfallspezifisch sorgfältig geprüft werden. Da Unternehmen jedoch generell zur Einhaltung des Datenschutzes und entsprechender Maßnahmen verpflichtet sind, wird die Einstellung eines Datenschutzbeauftragten insbesondere größeren Unternehmen empfohlen. Doch was genau beinhaltet seine Funktion?- Regelmäßiges und systematisches Monitoring der betroffenen Personen
- Bearbeitung von speziellen Datenkategorien
- Durchführung eines Data Protection Impact Assessment (DPIA)
- Gesicherte Einhaltung der geltenden gesetzlichen, regulatorischen und politischen Anforderungen bezüglich Datenschutz
- Ermittlung der Risiken und Auswirkungen
- Evaluierung von Schutzmaßnahmen und alternativen Verfahren zur Minimierung potenzieller Datenschutzrisiken
3. Alarm bei Datenverstößen auslösen
Trotz aller Vorkehrungen beinhalten Datenschutzverletzungen für Unternehmen ein erhebliches Risiko nicht nur im Hinblick auf die Einhaltung der DSGVO, sondern vor allem für die Privatsphäre und das Vertrauen der Kunden. Im Falle einer Verletzung der DSGVO besteht die Pflicht, die lokalen Datenschutzbehörden innerhalb von 72 Stunden nach Feststellung des Verstoßes zu informieren. Das bedeutet aber auch, dass Unternehmen die geeignete Technologie und entsprechende Verfahren benötigen, um Verstöße innerhalb dieses Zeitrahmens zu erkennen und zu beheben. Um diese strenge Anforderung zu erfüllen, kann also eine Überarbeitung der internen Datensicherheitsrichtlinien sowie eine umfassende Schulung der Mitarbeiter erforderlich sein. So lässt sich sicherstellen und dokumentieren, dass im Unternehmen ein angemessener Reaktionsplan für Bedrohungen durch Datenverstöße vorliegt und bei Bedarf greift.4. Das Recht auf Vergessen respektieren
Die DSGVO unterstützt das Prinzip der Datenminimierung, wonach Unternehmen nur diejenigen personenbezogenen Daten verwenden und aufbewahren dürfen, die zu einem bestimmten Zeitpunkt für einen bestimmten Zweck benötigt werden. Demnach sollte alles gelöscht werden, was nicht für den vorgesehenen Zweck und die vorgesehene Dauer benötigt wird. Darüber hinaus hat der Kunde, wie bereits erwähnt, jederzeit das Recht, seine Einwilligung zu revidieren und die Löschung der Daten zu verlangen. Unternehmen müssen dann alle Spuren der betreffenden Kundendaten aus ihren Repositories entfernen, in denen die Daten geteilt und gespeichert wurden.Fazit
Um die Anforderungen der DSGVO lückenlos zu erfüllen, muss ein Prozess in Gang gesetzt werden, der sich durchaus über mehrere Wochen erstrecken kann. Dennoch gibt es überhaupt keinen Grund zu verzagen: Der Schutz der Kundendaten ist ein hohes Gut und am Ende profitieren vor allem die Unternehmen, die sich der Herausforderung entschlossen und mit Weitblick stellen. Wer strategisch vorgeht und alle relevanten Aspekte berücksichtigt, kann daher die Verordnung schnell und erfolgreich umsetzen.Autor: Manuel Grenacher, core systems
