Große Unternehmen haben Millionen ausgegeben, um sich an die neue EU-Datenschutz-Grundverordnung (DSGVO) anzupassen, damit sie für den 25. Mai 2018 bereit sind. Aber wie sollen sich kleine Unternehmen auf die DSGVO vorbereiten, ohne dafür extra eine Abteilung zu eröffnen, die sind um die Anpassungen kümmert?
„Die EU-Datenschutz-Grundverordnung (DSGVO) soll die Datenschutzgesetze in Europa harmonisieren, den Datenschutz für alle EU-Bürger schützen und stärken sowie die Art und Weise, wie Organisationen in der Region den Datenschutz angehen, umgestalten.“ – DSGVO-Portal
Die DSGVO gilt nicht nur für die Organisationen innerhalb der EU, sondern auch für Organisationen außerhalb der EU, wenn sie „Waren oder Dienstleistungen anbieten oder das Verhalten von Datensubjekten in der EU überwachen“, so die FAQs auf dem DSGVO-Portal. „Dies gilt für alle Unternehmen, die personenbezogene Daten von Betroffenen in der Europäischen Union verarbeiten und speichern, unabhängig vom Standort des Unternehmens.“
In ca. vier Wochen tritt die Verordnung in Kraft und somit kann bei jedem einzelnen schnell Panik aufkommen – auch die Medien tragen ihren Teil dazu bei, indem sie auf hohe Geldstrafen hinweisen, die einem kleinen Unternehmen zusetzen können.
Keine Panik! Eine gute Vorbereitung ist jetzt wichtig.
Diese massiven Bußgelder, von denen immer wieder die Rede ist, werden nur dann erhoben, wenn die Vorschriften zur DSGVO nicht eingehalten werden. Eine angemessene und durchdachte Vorbereitung wird euch helfen, dies zu vermeiden. Wir halten euch auf dem Laufenden und sagen euch, was ihr vor dem Inkrafttreten der DSGVO wissen.
Was genau ist die DSGVO?
Die DSGVO ist die EU-Datenschutz-Grundverordnung, die am 25. Mai 2018 in der EU in Kraft tritt. Sie wird für alle Unternehmen von Bedeutung sein, die personenbezogene Daten erheben, verarbeiten und nutzen. Die Wellen zur neuen Verordnung schlagen weltweit aus, denn auch die Handelspartner weltweit, die mit der EU zusammenarbeiten, müssen sich darauf einstellen.
Die DSGVO wird als die „wichtigste Änderung der Datenschutzbestimmungen der letzten 20 Jahren“, bezeichnet.
Die geschätzten Kosteneinsparungen dieses einheitlichen Gesetzes werden derzeit auf 2,3 Milliarden US-Dollar pro Jahr geschätzt. Die Quintessenz ist, dass Unternehmen die persönlichen Daten ihrer Nutzer mit mehr Sorgfalt behandeln müssen.
Die DSGVO ist eine gute Sache für Einzelpersonen und Marken.
Wir alle wissen, wie beunruhigend es ist, dass die persönlichen Daten ohne unsere Zustimmung weitergegeben werden. Das Gesetz bringt die digitale Welt auf den gleichen Stand und schützt das Individuum. Das „Recht auf Vergessenwerden“ oder auch das Recht auf Löschung (der Daten) der DSGVO gibt den betroffenen Nutzern die Möglichkeit, um den Zugang zu ihren persönlichen Daten zu bitten oder sie löschen zu lassen.
Letztes Jahr erlebte der National Health Service (NHS) einen Cyber-Angriff und außerdem gab es einen Missbrauch an Daten von Equifax – nur zwei von tausenden Organisationen und Unternehmen, die von Cyber-Kriminellen angegriffen wurden. In der Tat wurde das Jahr 2017 als „das Jahr des Cyber-Angriffs“ bezeichnet.
Die DSGVO wird sicherstellen, dass eine Organisation angemessenen Schutz für die Sicherheit personenbezogener Daten geschaffen hat.
Auf eine sichere Verschlüsselung wird in dem Gesetz hingewiesen, eine Anti-Virus-Software als Sicherheitslösung gegen Cyber-Bedrohungen wäre hier auch eine gute Option.
Anmerkung der Redaktion: GoDaddy Web Security beinhaltet eine Web Application Firewall (WAF), die alle eingehenden Daten abfängt, überprüft und automatisch problematische Codes entfernt.
Vorbereitungen auf die DSGVO – Q&A
Zuerst klären wir euch über ein paar allgemeine Fragen, die bei den Vorbereitungen zur DSGVO auftreten, auf.
Kann ich die DSGVO nicht einfach ignorieren?
Nein, das kannst du nicht. Ein Geschäft ist ein Geschäft und egal wie klein es auch sein mag, die Gesetze gelten für alle. Es besteht jedoch ein Unterschied zwischen den verschiedenen Arten der Aufbereitungspflicht zwischen kleinen und großen Unternehmen.
Wenn du weniger als 250 Mitarbeiter in deinem Unternehmen hast, dann muss es Aufzeichnungen darüber geben, wie und ob du die Daten deiner Nutzer verarbeitet hast, falls die Daten Straftaten oder die Privatsphäre eines Menschen beinhalten.
Hast du mehr als 250 Mitarbeiter in deinem Unternehmen, dann musst du viel detailliertere Aufzeichnungen machen. Aber auch als kleines Unternehmen musst du immer sehr genau aufzeigen, was du mit den hochsensiblen, persönlichen Daten deiner Nutzer machst. Du bist nur davon befreit, wenn du sporadisch personenbezogene Daten von EU-Bürgern verarbeitest.
Muss ich wirklich einen Datenschutzbeauftragten in meinem Unternehmen beschäftigen?
Unter Umständen ja. Das hängt davon ab, welche persönlichen Daten du verarbeitest und wie viele. Die Größte deines Unternehmens spielt hierbei keine Rolle. Es können auch mehrere Unternehmen zusammen einen Datenschutzbeauftragten beschäftigen, solange dieser für die Anforderungen aller Unternehmen zur Verfügung steht.
Was ist mit Geldstrafen?
Und nun zum vielleicht wichtigsten Teil – den Geldbußen. Die Strafen, die im Rahmen der DSGVO verhängt werden, können immens groß sein:
Die Geldstrafen, die gegen diejenigen verhängt werden, die sich nicht an die DSGVO halten, können sich auf bis zu zwei Prozent des weltweiten Jahresumsatzes des Unternehmens oder zehn Millionen Euro belaufen, je nachdem welcher Betrag höher ist. Das kann sogar auf bis zu vier Prozent des Umsatzes oder 20 Millionen Euro hochgehen, je nachdem, was beim Verstoß gegen die personenbezogenen Daten höher ist. Das „je nachdem was höher ist“ ist der entscheidende Punkt für ein kleines Unternehmen, denn das könnte unter Umständen sehr große Auswirkungen auf die Existenz des Unternehmens haben.
Diese Bußgelder gelten allerdings nur für die wirklich schweren Verstöße. Das Informations-Kommissariat hat die Unternehmen davon unterrichtet, dass sie keine voreiligen Exempel statuieren und die Unternehmen mit hohen Summen bestrafen. Die Bußgelder wurden eingeführt, um die große Bedeutung des Datenschutzes klarzustellen. Geldstrafen müssen auch immer „verhältnismäßig“ verhängt werden, d.h. wenn du einen Verstoß begangen hast, obwohl du dich wissentlich an die DSGVO hältst, dann wird deine Strafe voraussichtlich nicht so gravierend ausfallen.
Was muss ich tun, um die Einhaltung sicherzustellen?
Erst im vergangenen Monat gab es die Londoner Industrie- und Handelskammer bekannt, dass einer ihrer vier Londoner Zweigstellen die DSGVO nach wie vor nicht bekannt ist. Eines von vielen Beispielen. Aber es zeigt, dass es noch viele Unternehmen gibt, die aktiv werden müssen und sich darum kümmern müssen, ihre Webseite rechtzeitig fit zu machen. Unwissenheit schützt nicht vor Strafe, heißt es ja.
Wichtig ist, dass die Maßnahmen jetzt ergriffen werden müssen, auch um die Panik in allerletzter Minute abzuwehren.
- Stelle fest, welche persönlichen Daten du verarbeitest und finde heraus, wer Zugriff auf diese Daten hat.
- Danach solltest du einen transparenten Prozess festlegen, damit deine Kunden/Nutzer wissen, welche Daten sie dir zur Verfügung stellen. Achte darauf, dass sie dir eine explizite Zustimmung für die Nutzung ihrer Daten geben.
- Sei dir bewusst, dass du binnen 72 Stunden nach einem Verstoß gegen die Verordnung die Sicherheitsbehörde darüber informieren musst.
- Stelle sicher, dass du bei der Anfrage eines Nutzers binnen eines Monats die jeweiligen Daten löschen, ändern und transferieren musst.
- Funde heraus, ob du einen Datenschutzbeauftragten einstellen musst oder ob jemand anderer die Verantwortung für die Bearbeitung deiner übernehmen kann.
- Als Unternehmer hast du jetzt noch knapp einen Monat Zeit, um dein Unternehmen fit für die DSGVO zu machen. Es ist auf jeden Fall noch zu schaffbar, dass du innerhalb von vier Wochen dein Unternehmen gut darauf vorzubereiten kannst.
Fazit
Ein Drittel der Briten hat bereits angekündigt, ihr „Recht auf Vergessenwerden“ ausüben zu wollen. Das macht natürlich den Druck nicht kleiner, wirklich sorgfältig an das Thema DSGVO heranzugehen, damit auch bis zum 25. Mai 2018 alles fertig ist.
Die DSGVO wirkt sich nicht nur auf das Individuum positiv aus, sondern kann auch dem Unternehmer zugutekommen, indem er eine Vertrauensbasis durch hohe Transparenz zu seinen Kunden aufbaut. Die DSGVO ist unvermeidlich und jetzt ist es an der Zeit, sie zu akzeptieren.
Der obige Inhalt ersetzt keine Rechts- und Steuerberatung. Wenn rechtliche Fragen geklärt werden müssen, sollte du immer einen Anwalt oder einen Steuerberater konsultieren.
