Und wieder ist ein Jahr um und 2018 somit Vergangenheit – zumindest kalendarisch.
Für die allermeisten Unternehmen ist damit das erste Geschäftsjahr zu Ende gegangen, in dem die seit dem 25. Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) der EU eine bedeutende Rolle spielt und in einigen Unternehmen durchaus Grund zur Sorge bereitet.
Zwar gab es mit dem Bundesdatenschutzgesetz (BDSG) bereits seit 1990 rechtlichen Vorgaben für Unternehmen in ihrem Umgang mit Daten. Doch die DSGVO konkretisiert und verschärft die Anforderungen und formuliert weitere Pflichten für die Unternehmen. Sie stärkt die Rechte der betroffenen Privatpersonen und regelt Sanktionen bei Verstößen u. a. mit empfindlichen Geldbußen. Kaum war die DSGVO in Anwendung, wurden erste Klagen gegen die großen internationalen Internetunternehmen erhoben. Grund genug für die Wirtschaftsprüfer bei Jahresabschlussprüfungen auf die Einhaltung der DSGVO genauer hinzuschauen. Denn eine mangelhafte Erfüllung der Vorschriften kann u.a. Einschränkungen im Bestätigungsvermerk bedeuten. Umgekehrt kann die vollumfängliche Erfüllung der DSGVO zu positiven Prüfvermerke führen, die das Vertrauen in das Unternehmen stärkt.
Eins sollte bis hier hin klar sein: Das Bewusstsein für Datenschutz ist seit 2018 präsenter als je zuvor.
Wie stehen Unternehmen heute da?
Die vordergründigen Pflichten sind bei den allermeisten Betrieben umgesetzt: Datenschutzerklärungen und Verfahrensverzeichnisse sind erstellt, ein Datenschutzbeauftragter ist – wo erforderlich – ernannt, Folgenabschätzungen wurden vorgenommen und Vereinbarungen zum Datenschutz mit Auftragsverarbeitern wurden ebenfalls getroffen. Unternehmen die sich besonders gut vorbereitet wissen wollen, haben zudem Verfahren für den Umgang mit Datenschutzverletzungen sowie für die Umsetzung von Betroffenenrechten entwickelt. Vielfältige Hilfsmittel wie z.B. Standardformulare und –Texte zur Verfügung unterstützen bei dieser Aufgabe und reduzieren den Aufwand deutlich.
Technische und organisatorische Maßnahmen – Warum große Unternehmen oftmals daran scheitern
Es reicht nicht, wenn Datenschutz, – insbesondere Datenminimierung und Datenlöschung-, in einem Verarbeitungsverzeichnis abstrakt definiert ist. Es braucht vielmehr technische und organisatorische Maßnahmen (TOM) um den Datenschutz korrekt umzusetzen. Während Papier geduldig ist, bleibt die Umsetzung von TOM, z.B. zur Datenlöschung, ungleich komplizierter, da sie typisch mit Eingriffen in den IT-Systemen des Unternehmens verbunden ist. Eine Möglichkeit ist zunächst organisatorisch vorgehen, so wie die Polizei in Hamburg das getan hat. Dort wurde ein Task-Force mit der Aufgabe zusammengestellt, Personendaten aus mehreren hunderttausenden alten Datensätzen und Ermittlungsakten zu löschen. Gewiss kann so mit der manuellen Löschung von Daten schnell begonnen werden. Es droht bei größeren Datenbeständen jedoch die Gefahr, zu viele oder zu wenige Datensätzen zu löschen. Gleichzeitig ist es bei diesen Datenmengen ein sehr zeitraubendes Verfahren und dementsprechend nur für kleine Unternehmen mit überschaubarem Löschvolumen zu empfehlen.
Erfolgreiche Umsetzung von TOM
Für größere Unternehmen mit großen Datenbeständen ist es ratsamer ein Datenlöschkonzept zu entwickeln (z.B. nach DIN 36698) und in den IT-Systemen zu implementieren. Ein solches Vorhaben kann nur als gemeinsamer Kraftakt der relevanten Beteiligten aus Fachseite, IT und Datenschutz gelingen und ist natürlich nicht im Handumdrehen zu schaffen. Wer nicht bereits frühzeitig vor dem 25. Mai 2018 damit angefangen hat, wird es heute schwer haben, fertig funktionierende Löschmechanismen vorzuweisen. Daher ist es gerade hier ratsam, schnell erfahrene Mitarbeiter oder Berater ins Boot zu holen und sich als Unternehmen professionell unterstützen und beraten zu lassen. Nur so kann man ärgerliche Fehler im Datenschutz und speziell in der Datenlöschung vorbeugen und vermeiden.
Bei uns von NOVEDAS, können Sie auf Anfrage natürlich gerne erfahren wie genau so ein Datenlöschkonzept speziell für Ihr Unternehmen aussehen könnte. Schreiben Sie uns dazu einfach eine Nachricht an info@novedas.de
