Nach dem 24.05.2018 (dem Tag, als die Übergangsfristen zur Umsetzung der Datenschutzgrundverordnung für Unternehmen und Behörden endeten) ist die Welt wie zu erwarten nicht untergegangen. Auch sind keine Bußgelder in Höhe von 10 oder 20 Millionen € für Bagatellen verhängt worden. Eine Reihe von Entwicklungen gab es aber dann doch und diese sollten dazu führen, dass der Datenschutz – also der Schutz personenbezogener Daten – künftig einen größeren Stellenwert in den gesetzlich verpflichteten Institutionen und Organisationen erhält:
- Die verpflichtende Bestellung und behördliche Meldung eines Datenschutzbeauftragten sollte dazu führen, dass in Unternehmen zwangsläufig Prozesse zur Verbesserung des Datenschutzes in Gang kommen – denn auch der Datenschutzbeauftragte ist bei Untätigkeit aufgrund möglicher Schadensersatzansprüche hohen Risiken ausgesetzt.
- Betroffene (im Sinne des Datenschutzes natürliche Personen, deren Daten verarbeitet werden) sind sensibilisiert. Sie wissen um Ihre Rechte und müssen auf diese Rechte auch noch durch die Verantwortlichen Stellen bei jeder Gelegenheit hingewiesen werden. Entsprechend stark sind die Beschwerden in den zuständigen Landesämtern für Datenschutz angestiegen. Diese Beschwerden werden nun von den Behörden (gesetzlich verbindlich) abgearbeitet.
- Durch die Datenschutzprozesse in Unternehmen wird „Privacy by Design“ zum gesetzlich verordneten Auswahlkriterium für Produkte und Dienstleistungen. Entsprechend sind alle Hersteller gut beraten, den Datenschutz in Ihren Herstellungsprozessen und Produkten angemessen zu berücksichtigen.
- Die gesetzlich geforderten technisch-organisatorischen Maßnahmen auf dem Stand der Technik erzeugen einen neuen Umgang mit IT-Sicherheit in Institutionen. Nur durch eine normengerechte Umsetzung (BSI, VDS, ISO) ist überhaupt die gesetzliche Rechenschaftspflicht über die Einhaltung des Datenschutzes möglich. Es entstehen zwangsweise normengetriebene Managementsysteme für die Belange des Datenschutzes oder, falls diese bereits bestanden, wird der Datenschutz hier integriert werden müssen.
Nach den ersten Monaten mit der neuen Datenschutzgrundverordnung zeigt sich, dass viele Unternehmen von einer Umsetzung im Detail noch weit entfernt sind. Datenschutzerklärungen auf Webseiten, Einwilligungserklärungen in Newsletter, Verträge zur Auftragsverarbeitung oder die Datenschutzhinweise für Neukunden sind dabei natürlich notwendig, die Anforderungen an die „Verantwortlichen Stellen“ gehen aber in der DSGVO viel weiter. Ziel muss es sein, dem Datenschutz (risikoorientiert) einen angemessenen und zielgerichtet gesteuerten Stellenwert in der Institution einzuräumen und so den Umgang mit personenbezogenen Daten nachweislich zu „managen“. Sie haben Fragen, Sie benötigen Unterstützung? Wir helfen gerne!