Melanie Witt
Executive Director bei V-Formation GmbH
19. Dezember 2022
Die Datenschutz-Grundverordnung (DSGVO) ist ein Datenschutzgesetz, das 2018 von der Europäischen Union (EU) verabschiedet wurde. Sie gilt für alle Unternehmen innerhalb der EU/des EWR sowie für alle Unternehmen, die personenbezogene Daten von dort ansässigen Personen verarbeiten, unabhängig vom Standort des Unternehmens. Die DSGVO zielt darauf ab, Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten zu geben und die Datenschutzgesetze in der EU/im EWR zu harmonisieren.
Seit der Einführung sind nun einige Jahre vergangen, und immer wieder höre ich Klagen seitens Unternehmen in Bezug auf den Aufwand für die praktische Umsetzung. Dabei springen immer wieder eine Reihe von Missverständnissen ins Auge, die viele Unternehmen an einer zügigen und pragmatischen Umsetzung des Datenschutzes hindern – die gängigsten möchte ich hier kurz erläutern:
1. Die DSGVO ist zu komplex für die Umsetzung: Während die DSGVO komplexe Anforderungen stellt, ist es möglich, den Datenschutz praktisch umzusetzen. Unternehmen können zunächst ein Datenaudit durchführen, um zu verstehen, welche personenbezogenen Daten sie haben, woher sie stammen und wie sie verwendet werden. Sie können dann geeignete Sicherheitsvorkehrungen treffen, um diese Daten zu schützen und die Einhaltung der DSGVO sicherzustellen.
2. Bei der DSGVO geht es nur um die Einwilligung: Obwohl die Einwilligung ein wichtiger Bestandteil der DSGVO ist, ist sie nicht die einzige Grundlage für die Verarbeitung personenbezogener Daten. Die DSGVO erlaubt die Verarbeitung personenbezogener Daten für bestimmte Zwecke, wie z. B. die Erfüllung eines Vertrags oder wenn dies im berechtigten Interesse des Unternehmens liegt, ohne dass eine Einwilligung erforderlich ist.
3. Die DSGVO verlangt von Unternehmen, alle personenbezogenen Daten zu löschen: Die DSGVO erlaubt Unternehmen, personenbezogene Daten so lange aufzubewahren, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist, solange keine anderweitigen triftigen Gründe gegen eine Löschung sprechen, z.B. eine gesetzliche Aufbewahrungsfrist. Unternehmen sollten eine Aufbewahrungsrichtlinie haben, die festlegt, wie lange personenbezogene Daten aufbewahrt werden und für welche Zwecke.
4. Bei der DSGVO geht es nur um die Einhaltung eines überbürokratisierten Gesetzes: Während die Einhaltung der DSGVO wichtig ist, geht es auch darum, Vertrauen bei Kunden und Interessengruppen aufzubauen, indem gezeigt wird, dass sich das Unternehmen dem Schutz personenbezogener Daten verpflichtet fühlt. Unternehmen, die sich stark für den Datenschutz einsetzen, haben wahrscheinlich mehr Vertrauen bei ihren Kunden und Stakeholdern, was sich positiv auf den Ruf und das Ergebnis des Unternehmens auswirken kann
Um nun tatsächlich zu einer pragmatischen Umsetzung des Datenschutzes im Unternehmen zu kommen, empfehlen sich folgende erste Schritte:
1. Führen Sie zunächst eine Datenprüfung durch, um zu verstehen, welche personenbezogenen Daten sie sammeln, wie sie verwendet werden und wo sie gespeichert werden.
2. Erstellen Sie ein Verzeichnis aller identifizierten Verarbeitungen personenbezogener Daten.
3. Entwickeln Sie Datenschutzhinweise, die Einzelpersonen (z. B. Website-Besuchern, Mitarbeitern, Kunden usw.) erklären, wie ihre personenbezogenen Daten verwendet werden, und bieten Sie klare Opt-out-Mechanismen für alle Verarbeitungsaktivitäten, die auf der Einwilligung der Einzelpersonen beruhen.
4. Implementieren Sie angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten im Verhältnis zu deren Sensibilität, wie z.B. Verschlüsselung, IT-Sicherheitsmaßnahmen usw.
5. Schulen Sie Ihre Mitarbeiter in Best Practices zum Datenschutz und stellen Sie sicher, dass sie sich ihrer Verantwortlichkeiten im Rahmen der DSGVO bewusst sind.
6. Benennen Sie einen Datenschutzbeauftragten (DSB), wenn das Unternehmen dazu nach DSGVO oder nationalem Recht verpflichtet ist oder wenn es aufgrund der Größe des Unternehmens und der Art seiner Verarbeitungstätigkeiten sinnvoll ist. Der Datenschutzbeauftragte hilft Ihnen auch, sich über Entwicklungen in Datenschutzgesetzen und -vorschriften, einschließlich aller Aktualisierungen der DSGVO, auf dem Laufenden zu halten.
Die DSGVO stellt zugegebenermaßen mehr Anforderungen als die oben aufgeführten, und es gibt viele weitere pragmatische Möglichkeiten, diese Anforderungen zu erfüllen. Die DSGVO lässt ausdrücklich eine Abwägung der Verhältnismäßigkeit zu, also die Abwägung zwischen eingesetzten Mitteln und angestrebtem Ziel. Der Datenschutz verlangt daher nicht mehr, als für den Schutz personenbezogener Daten in Bezug auf deren Kritikalität erforderlich ist.