Aus der Redaktion

Falsche Ansprechpartner*innen, falsche Annahmen, falsche Schlussfolgerungen: Bei der Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) unterlaufen Unternehmen weiterhin gravierende Fehler.

Um einen Durchblick in den Dschungel der Datenschutzverordnung zu bekommen, wurde auf der 98. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder 2019 über das Standard-Datenschutzmodell 2.0 abgestimmt. Eine gute Handhabe für alle Behörden und Unternehmen.

Doch was sind eigentlich die häufigsten Fehler bei der Umsetzung der DSGVO. Eine Auflistung:

Fehler 1 bei der Umsetzung

Nach wie vor falsche Personalpolitik

Beim Thema DSGVO tappen gerade kleinere Unternehmen in eine ähnliche Falle wie Unternehmen bei der Umsetzung der Compliance-Richtlinien vor 10 bis 15 Jahren, so Datenschutzexperten. Damals hatte man in den Abteilungen von IT bis BWL das Thema bevorzugt an Mitarbeiter*innen delegiert, die gerade verfügbar gewesen sind. Ein Fehler, den besonders kleinere Unternehmen begehen, die keine personellen Ressourcen haben. Aber: Wer die DSGVO vom erstbesten verfügbaren Personal umsetzen lässt, provoziert nicht nur zeitintensive Nachfragen und Schleifen, sondern schlimmstenfalls teure Regelverstöße. Vor allem aber vergeben Unternehmen die Chance, bei diesem zugleich strategischen Thema auch Wertemaßstäbe zu transportieren. DSGVO kann für das einzelne Unternehmen nach innen und außen bedeuten: Wir wissen um den Wert von Datenschutz und gehen aus Prinzip sorgsam damit um.

Fehler 2 bei der Umsetzung der DSGVO

Fehleinschätzungen

Noch immer gibt es gravierende Wissenslücken rund um die neue Datenschutz-Grundverordnung, die bereits am 25. Mai 2018 in Kraft getreten ist. Viele Unternehmen wissen nicht, für welche Fälle sie wann welche Einwilligung brauchen und wann es ein Kopplungsverbot gibt. Immer noch gibt es viele fehlerhafte Abfragen. Eine andere Fehleinschätzung: Unternehmen reduzieren die DSGVO auf digitale Prozesse oder sind der Meinung, dass eine Mitarbeiter*innenschulung oder externe Datenschutzbeauftragte reichen. Wieder andere wähnen sich in Sicherheit, weil bisher noch keine Bußgelder verhängt worden sind. Dabei betrifft die DSGVO auch analoge Unternehmensbereiche bis zum Gebäudemanagement und ist mehr als eine Dokumentationsaufgabe. Die gröbste Fehleinschätzung sei jedoch, die DSGVO ignorieren zu können.

Fehler 3

Unterschätzte Rechte und Pflichten durch Auftragsdatenverarbeitung

Eine rechtskräftige und DSGVO-konforme Einwilligung muss unterschiedlichste Kriterien erfüllen, die es dann auch auf den Use Case von Websites und Apps anzuwenden gilt. Maßgeblich ist dabei immer die Perspektive des Nutzers und was dieser rational erwarten und verstehen kann.

Zu beachten sind:

• Freiwilligkeit beim Annehmen- und Ablehnen-Button
• Der Websitebesucher muss wissen, welche Informationen gespeichert werden
• Die Cookie-Banner müssen mit der Technologie der Seite verbunden sein, um mögliche Speicherungen bei Ablehnung zu unterlassen

Gerade kleinere Mittelständler*innen sind der Meinung, dass die DSGVO nur interne Prozesse abbildet. Allerdings müssen Unternehmen vollumfänglich einen regelkonformen Datenschutz garantieren. Bis heute ist einigen nicht bewusst, dass sie sämtliche Dienstleister*innen ebenfalls in die Pflicht nehmen müssen, da sie für deren Fehler haften. Wie schnell das passieren kann, haben jüngste Datenpannen bei Hosting-Dienstleistern oder Mailanbietern gezeigt. Eine saubere Auftragsdatenverarbeitung befreit ein Unternehmen als Auftraggeber*in nicht von den Pflichten. Vielmehr fixiert sie, dass die/der Auftraggeber*innen den Auftragnehmer*innen so ausgewählt hat, dass dieser eine sichere Datenverarbeitung gewährleistet. Allerdings sollte zuvor geklärt werden, in welchen Fällen überhaupt ein Vertrag abgeschlossen werden muss. Auch beim Thema Informationspflichten kommt es zu Fehlern, etwa bei den Angaben zur rechtlichen Grundlage oder bei Festlegung und Angaben zu den Aufbewahrungsfristen.