2020 wird ein spannendes Jahr: die EU-DSGVO greift durch!

Bei Verstößen gegen die seit dem 28. Mai 2018 wirksame EU-Datenschutz-Grundverordnung (DSGVO) geben die deutschen Datenschutzbehörden ihre Zurückhaltung nun auf. Die Bußgelder in Millionenhöhe, die Ende 2019 gegen Unternehmen verhängt wurden, zeigen: Die Nichteinhaltung der DSGVO ist kein Kavaliersdelikt, sondern kann empfindliche Folgen haben. Spätestens jetzt ist der Zeitpunkt gekommen, Unternehmenslücken in der Verarbeitung von personenbezogenen Daten sicher zu schließen, um hohen Geldstrafen vorzubeugen.

Während EU-Staaten wie Frankreich, Portugal und damals noch Großbritannien nach dem Wirksamwerden der EU-DSGVO im Mai 2018 bereits satte Strafgelder gegen Unternehmen wie Google, British Airways und ein Krankenhaus verhängten, hielten sich die deutschen Datenschutzbehörden bei Verstößen gegen die Verordnung zunächst zurück. Bis Ende 2019 ließen sie den Unternehmen hierzulande Zeit, um die komplexen rechtlichen, organisatorischen und technischen Veränderungen, die die Datenschutz-Grundverordnung nach sich zieht, im Unternehmensalltag umzusetzen. Doch mit dem Ausklang des Jahres 2019 lief diese Schonfrist aus. Zwei Beispiele zeigen, dass die Datenschutzbehörden in Deutschland gewillt sind, der Umsetzung und Einhaltung der DSGVO mit den gesetzlichen Mitteln Geltung zu verschaffen:

Im November 2019 verhängte die Berliner Datenschutzbeauftragte ein Bußgeld i. H. v. 14,5 Millionen Euro gegen die Deutsche Wohnen SE. Der Vorwurf der Behörde: Das Immobilienunternehmen hat personenbezogene Daten von Mietern in einem Archivsystem gespeichert, aus dem längst nicht mehr erforderliche Daten nicht mehr gelöscht werden konnten. Mit 9,6 Millionen Euro strafte der Bundesdatenschutzbeauftragte Ulrich Kelber im Dezember vergangenen Jahres 1&1 Drillisch ab. Der Grund ist das Auskunftsverfahren zur Abfrage von Mobilfunknummern. Dieses war aus Sicht der Datenschutzaufsicht in der bisherigen Form mangelhaft und stellte für den gesamten Kundenbestand der Mobilfunksparte des Konzerns ein Risiko dar.

Datenschutz-Anpassung bringt Entlastung

Doch obwohl sich die hohen Bußgelder – entweder bis zu 20 Millionen Euro oder bis zu 4 Prozent des Vorjahres-Umsatzes – auf Basis der gesetzlichen Vorgaben errechnen, möchten wir keine unnötige Panik verbreiten. Kleine und mittelständische Unternehmen in Deutschland werden sich kaum mit solch horrenden Strafsummen konfrontiert sehen. Mit dem „Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU“, das bereits im Juni letzten Jahres vom Bundestag verabschiedet wurde und seit dem 22.11.2019 wirksam ist, hat der Gesetzgeber außerdem nachjustiert – und Anpassungen von Begriffsbestimmungen vorgenommen, wie auch Entlastungen beschlossen. Dazu gehören unter anderem:

  • Die Pflicht, einen betrieblichen Datenschutzbeauftragten zu ernennen, greift ab sofort erst dann, wenn mindestens 20 Mitarbeiter des Unternehmens regelmäßig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Bisher galt diese Pflicht ab einer Anzahl von zehn Mitarbeitern. Unberührt von der Pflicht zur Ernennung eines betrieblichen Datenschutzbeauftragten bleibt aber die unternehmerische Verpflichtung, den Datenschutz als solchen in jedem Fall zu gewährleisten.
  • Zur Einwilligung der Verarbeitung von Mitarbeiterdaten ist in Zukunft eine E-Mail ausreichend, die den Mitarbeiter über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht aufklärt. Eine formelle, schriftliche Zustimmung in Papierform ist nicht mehr erforderlich.

R2C_SECURITY: Aus Unsicherheit wird Erfolg

Auch nach den Anpassungen durch den Gesetzgeber, wird die konsequente Umsetzung der DSGVO den Arbeitsalltag vieler Unternehmen nach wie vor herausfordernd gestalten. Gerade Themen und Verfahren, wie etwa die Notwendigkeit einer Datenschutz-Folgenabschätzung oder die Einschätzung, ob Maßnahmen und Löschkonzepte zum Schutz personenbezogener Daten dem neuesten Stand der Technik entsprechen, liegen im eigenen Ermessen und bieten kaum konkrete Handlungsanweisungen. Dabei fürchten Unternehmen nicht allein die Höhe drohender Bußgelder bei nicht korrekter Ab- oder Einschätzung, sondern insbesondere auch die Auswirkungen eines potenziellen Imageschadens im Falle von Verstößen gegen die DSGVO.

Klarheit und Sicherheit, dass die Verarbeitung personenbezogener Daten in jedem Fall DSGVO-konform verläuft, bietet Ihnen die integrierte Softwarelösung R2C_SECURITY der Schleupen AG. Mit ihren beiden Modulen „ISMS“ und „Datenschutz“ ermöglicht Ihnen R2C_SECURITY die umfassende Umsetzung und Einhaltung der DSGVO, ganz nach den spezifischen Bedürfnissen Ihres Unternehmens. Als erfahrene Experten im Bereich Governance, Risk und Compliance (GRC) begleiten wir Sie mit Rat und Tat durch alle bestehenden und zukünftigen Anforderungen der EU-DSGVO – damit 2020 kein teures, sondern ein profitables Jahr für Ihr Unternehmen wird.

Sprechen Sie uns an – wir informieren Sie gerne detailliert über unsere vielfach bewährte Softwarelösung R2C_SECURITY zur sicheren Umsetzung und Einhaltung der DSGVO!

Schreiben Sie uns

Die mit * gekennzeichneten Felder sind Pflichtfelder.