“Unser Unternehmen ist nicht betroffen – wir haben keine datenschutzrelevanten Daten im Unternehmen“
- Nein, Sie schreiben Rechnungen und haben Mitarbeiter
Als Hauptargument wird oftmals angeführt, dass man ja gar keine personenbezogenen Daten verarbeitet. Es ist heute jedoch schwer, eine Tätigkeit auszuüben, bei der keine solche Daten anfallen und verarbeitet werden.
Sobald ein Unternehmen Mitarbeiter hat, unterliegen z.B. die Personalakte, Bewerbungen etc. dem Datenschutz. Spätestens aber wenn Sie Ihre Rechnungen nicht mehr von Hand an der Schreibmaschine tippen, sondern digital am PC erstellen, verarbeiten Sie personenbezogene Daten.
Die EU-DSGVO unterscheidet nicht zwischen großen und kleinen Unternehmen – alle Regeln gelten unmittelbar für jedes Unternehmen.
Egal wie klein oder groß. Gerade Unternehmen, die weniger als zehn Angestellte haben und damit keinen Datenschutzbeauftragten ernennen müssen, glauben häufig, dass sie das Thema gar nicht betrifft.
Im Gegenteil, auch Unternehmen mit weniger als zehn Angestellten haben einen Datenschutzbeauftragten: Den Geschäftsführer!
„Es müssen erstmal die einzelnen Landesgesetze verhandelt werden“
- Nein, die EU-DSGVO ist eine Verordnung; sie gilt direkt und unmittelbar!
Es ist vollkommen richtig, dass es sich bei Verordnungen auf europäischer Ebene eher um Ausnahmen handelt. Der europäische Gesetzgeber wollte hier aber eine eindeutige Vereinheitlichung zwischen den Staaten.
Der 25.Mai 2018 stellt auch nicht das Inkrafttreten der Verordnung dar, im Gegenteil: Die Verordnung ist bereits am 24.05.2016 in Kraft getreten – am 25.05.2018 endet lediglich die Schonfrist!
„Wir werden uns mit dem Thema beschäftigen, wenn wir Probleme bekommen, dann können wir alles nachholen“
- Dann ist „das Kind schon in den Brunnen gefallen“!
Das wird aufgrund des Volumens und der Komplexität des Themas nicht funktionieren. Datenschutz ist ein Prozess der Jahre benötigt – selbst ein „machbarer Datenschutz mit Augenmaß“. Diese Maßnahmen benötigen Zeit:
- Analyse aller Personenbezogenen Datenverarbeitungen
- Prozesse erfassen und das Verfahrensverzeichnis erstellen
- Schulung aller Mitarbeiter
- Erstellung von Richtlinien und techn. u. organisatorischen Maßnahmen (TOM)
- Erstellung eines IT-Sicherheitskonzepts
- Implementierung der notwendigen Sicherheitslösungen gem. TOMs
- Datenschutzfolgeabschätzung incl. weiter Maßnahmen
- Awareness Training
„Bisher ist nichts passiert – warum soll das plötzlich anders sein“
Duch die Beweislastumkehr müssen Sie nachweisen dass Sie alle geforderten Maßnahmen umgesetzt haben. Es muss nicht erst ein Datenschutzfall eintreten. Eine Anzeige hier reicht und die Behörden müssen tätig werden.
Teilweise finanzieren sich dies Kontrollbehörden durch Bußgelder, die sie dringend benötigen, um Mitarbeiter bzw. die gesamte Behörde zu bezahlen. Demnach ist das Interesse, jemanden zu finden oder einem Hinweis nachzugehen, wahrscheinlich viel höher als in den letzten Jahren.
„Unsere Geschäftspartner legen auch keinen Wert darauf, dass wir uns um Datenschutz kümmern“
Wenn das tatsächlich so sein sollte, wird sich das in den nächsten Monaten vermutlich ändern. Geschäftspartner die für Sie personenbezogene Daten verarbeiten, müssen diese genauso schützen wie Sie es tun. Und Sie sind bis zu einem gewissen Teil sogar dafür verantwortlich, dass sie es tun. Wenn also die erforderlichen Maßnahmen zur Bestimmung/Vermeidung von Datenlecks veraltet oder gar nicht erst vorhanden sind, kommt man durchaus in Erklärungsnot. Das Bewusstsein für Datenschutz wächst, auch oder gerade in den Unternehmen. Um als vertrauenswürdiger Partner zu gelten, ist ein funktionierender Datenschutz also eine Voraussetzung.
„Mir wird schon jemand sagen, was ich jetzt zu tun habe“
- Nein, die Behörden jedenfalls nicht.
Der Landesdatenschutzbeauftragte wird ab Ende Mai 2018 die Einhaltung der neuen Gesetze prüfen und vorher nicht noch eine kurze Infoveranstaltung anbieten – schließlich hatte man ja eigentlich ganze zwei Jahre Zeit sich vorzubereiten. Als Teilnehmer am Wirtschaftsverkehr haben Sie die Pflicht sich selbst über geltende Gesetze zu informieren und diese einzuhalten; „Unwissenheit schützt vor Strafe nicht“. Aus diesem Grund sehen wir, die wir um die Änderungen welche die Verordnung mit sich bringt, wissen, es als unsere Pflicht an, Sie zu informieren.
„Wo kein Kläger, da kein Richter“ oder „Wir sind doch zu klein“
- Nein, auch hier müssen wir widersprechen – das wird ganz schnell zum Spiel mit dem Feuer
Das Bewusstsein für Datenschutz wächst unter der Bevölkerung und damit einhergehend das Interesse daran wer eigentlich welche Daten gespeichert hat. Auch Ihre Konkurrenten werden ein großes Interesse daran haben, einmal bei Ihnen anklopfen zu lassen. Ebenso unzufriedene Mitarbeiter und auch Ex-Mitarbeiter werden schnell eine einfache Möglichkeit finden Sie in Schwierigkeiten zu bringen. Eine kurze Verdachts-E-Mail an den Landesdatenschutzbeauftragten und schon muss dieser seiner Überprüfungspflicht nachgehen.
Hier ein Beispiel wie auch bereits kleine Firmen in Konflikt mit der Datenschutzbehörde kommen können:
Die meisten Bewerbungen gehen mittlerweile per E-Mail ein. Nach Erhalt der Absage fordert der Bewerber Sie nun zur Löschung der mit seiner Bewerbung im Unternehmen gespeicherten Daten auf (Link zum Datenschutzforum). Hier reicht es nun nach dem neuen Gesetz nicht aus, die Bewerbungs-E-Mail und die gespeicherten Daten unwiederbringlich zu löschen, Sie müssen den Bewerber auch umgehend darüber informieren, dass Sie die Daten gelöscht haben. Der Bewerber hat ein Recht auf Vergessenwerden. Wenn diese Nachricht nicht erfolgt besteht die Gefahr, dass der Bewerber hier eine anonyme Anzeige aufgibt und schon steht die Aufsichtsbehörde „vor der Tür“ und muss eine Kontrolle durchführen. Bedenken Sie, dass die Aufsichtsbehörde jeder Meldung nachgehen muss, egal wie groß oder klein und viel wichtiger: Die Aufsichtsbehörde kann im Zuge dieser einen Beschwerde Ihr komplettes Unternehmen in Bezug auf den Datenschutz überprüfen – auch wenn es für andere Bereiche keinen „Kläger“ gegeben hat.