Die DSGVO: Umsetzung, Datenschutzbeauftragte und aktuelle Änderungen

159
Datenschutz für zuhause: Hier lauern Fallstricke im Homeoffice
© geralt – pixabay.com

Am 25. Mai 2018 ist in Deutschland die Datenschutz-Grundverordnung (DSGVO) nach einer zweijährigen Vorlauffrist endgültig in Kraft getreten. Die DSGVO hat die Datenschutzgesetze und den Datenschutz verändert. Dieser Veränderungsprozess ist noch nicht abgeschlossen. Auch im Jahr 2021 warten wieder wichtige Ergänzungen und Änderungen der Grundverordnung auf ihre praktische Umsetzung in den Unternehmen. Wie ist es um die Umsetzung der Datenschutznormen in deinem Unternehmen bestellt? Was bedeutet Datenschutz für die Unternehmensführung? Wie steht es um die Bestellung von Datenschutzbeauftragten im Unternehmen, muss dein Unternehmen einen Datenschutzbeauftragten bestellen?

Die DSGVO und ihre bisherige Umsetzung in Unternehmen

Quelle: statista.de

Viele Unternehmen in Deutschland scheinen noch Schwierigkeiten zu haben, die Regelungen der DSGVO vollständig für sich umzusetzen. Eine Umfrage aus dem September 2020 zeigte, dass bis dahin nur 37% aller Unternehmen von sich sagen konnten, die Vorgaben der DSGVO größtenteils realisiert zu haben. Mit Blick auf die möglichen rechtlichen Folgen und teilweise scharfen Sanktionen, die die Datenschutz-Grundverordnung bei Verstößen gegen Datenschutzbestimmungen vorsieht, muss dieses Ergebnis erstaunen. Die Probleme mit der Umsetzung der DSGVO mögen unter anderem damit zusammenhängen, dass oft die Unternehmensführung den Datenschutz noch nicht als Führungsaufgabe begreift. Mit Geltung der Datenschutz-Grundverordnung ist Datenschutz endgültig zur Chefsache geworden. Auch bestehen immer noch große Unsicherheiten zur Frage, wie man den Umsetzungsprozess von Datenschutznormen im eigenen Unternehmen ganz praktisch einleiten und weiterführen kann.

Grundsätzliches zur Umsetzung der DSGVO

DatenschutzexpertInnen empfehlen die schrittweise Umsetzung der Datenschutzrichtlinien aus der Datenschutz Grundverordnung. Dazu ist es notwendig, in einem ersten Schritt den Status quo beim Datenschutz in deinem Unternehmen festzustellen. Bei diesem ersten Schritt geht es darum, potenzielle Datenverarbeitungsprozesse im Unternehmen zu identifizieren. Die DSGVO und ihre Regelungen sind für dein Unternehmen bindend, wenn das Unternehmen personenbezogene Daten verarbeitet. Die DSGVO schützt diese personenbezogenen Daten.

Personenbezogene Daten sind unter anderem:

  • allgemeine Personendaten wie Name, Geburtsdatum, Geburtsort, Adressdaten und Telefonnummern
  • körperliche Merkmale wie Geschlecht, Augen- und Haarfarbe und die körperliche Statur
  • Kennnummern wie Sozialversicherungsnummern, Personalausweisnummern und Steueridentifikationsnummern
  • Online-Daten wie IP-Adressen oder Standortdaten

Auch Bankdaten, Informationen zum Besitz und Vermögen, Daten zur Ausbildung und allgemeine Kundendaten beispielsweise bei Bestellungen zählen zu den personenbezogenen Daten.

EXTRA: DSGVO: Für das Unternehmen ist alles erledigt – oder?

Im Regelfall wirst du feststellen, dass du in deinem Unternehmen personenbezogene Daten verarbeitest. Das kann beispielsweise auch im B2B-Bereich der Fall sein, wenn dort mit Kundendaten gearbeitet wird. Auch die Daten deiner Angestellten zählen zu den personenbezogenen Daten. Die DSGVO geht davon aus, dass grundsätzlich die Verarbeitung von personenbezogenen Daten verboten ist. Die Verarbeitung ist im Ausnahmefall gerechtfertigt, wenn beispielsweise der Dateninhaber einer Verarbeitung vorher zugestimmt hat.

Im nächsten Schritt bei der Umsetzung von Anforderungen der DSGVO musst du dich vor allem damit auseinandersetzen, wie du bestimmte Rechte der DateninhaberInnen wahrst. Du wirst ein Verzeichnis zu den Verarbeitungstätigkeiten aufstellen und musst unter gewissen Bedingungen einen Datenschutzbeauftragten für dein Unternehmen bestellen. So kannst du Schritt für Schritt alle Anforderungen aus der DSGVO umsetzen. Es kann sich empfehlen, zumindest am Anfang einen externen Datenschutzexperten beratend hinzuzuziehen, damit die Umsetzung am Ende vollständig gelingt. MitarbeiterInnen in deinem Unternehmen müssen auch im Datenschutz geschult und immer wieder aktuell weitergebildet werden.

Der Datenschutzbeauftragte im Unternehmen

Beschäftigt ein Unternehmen mehr als 20 MitarbeiterInnen, muss ein Datenschutzbeauftragter für das Unternehmen bestellt werden. In manchen Unternehmen besteht die Bestellungspflicht sogar unabhängig von der Anzahl der MitarbeiterInnen. Dies ist etwa der Fall, wenn das Unternehmen eine Datenschutz-Folgenabschätzung durchführen muss. Der Datenschutzbeauftragte muss entsprechendes Fachwissen im Datenschutzrecht mitbringen und eine berufliche Qualifikation haben. Keinesfalls kannst du selbst etwa als GeschäftsführerIn oder Mitglied des Managements diese Position bekleiden. Auch der IT-Verantwortliche als Leiter der unternehmenseigenen IT-Abteilung kommt als Datenschutzbeauftragter nicht infrage. Hier wäre ein unlösbarer Interessenkonflikt gegeben.

Unternehmen haben die Wahl zwischen einem internen und einem externen Datenschutzbeauftragten. Beide Modelle haben ihre jeweiligen Vor- und Nachteile. Bei einem internen Datenschutzbeauftragten muss das Unternehmen in der Regel in die Aus- und Weiterbildung investieren, außerdem genießt der interne Datenschutzbeauftragte einen besonderen Kündigungsschutz. Dagegen wird der externe Datenschutzbeauftragte auf der Grundlage eines Dienstvertrages für das Unternehmen tätig und sorgt selbst für seine jederzeit aktuelle Qualifikation.

Auf dem Laufenden bleiben beim Datenschutz – auch 2021

Der Datenschutz und seine Normen unterliegen ständigen Veränderungen. Notwendigkeiten für die eine oder andere Anpassung ergeben sich unter anderen aus veränderten Anforderungen in der Datenschutzpraxis. Beispielsweise haben sich während der Corona Pandemie und dem Anstieg der Aktivitäten im Home Office neue Fragen zum Datenschutz bei Video-Chats gestellt. Die Arbeit am unternehmerischen Datenschutz ist deshalb niemals vollständig abgeschlossen.

EXTRA: 3 Jahre DSGVO: Empfehlungen für mehr Datensicherheit bei KMU

2021 müssen sich Unternehmen vor allem mit den veränderten Voraussetzungen im Datenaustausch mit England durch den Brexit auseinandersetzen sowie mit den nächsten anstehenden Gesetzesänderungen zur ePrivacy-Verordnung oder zum Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) auseinandersetzen. Der Einsatz von Cookies auf Webseiten ist immer noch ein Thema, das noch nicht abschließend geklärt ist. Für viele dieser schon länger diskutierten Gesetzesergänzungen sind Anfang des Jahres 2021 erneut Entwürfe vorgelegt worden, die noch nicht endgültig Geltung erlangt haben und noch dem weiteren Abstimmungsprozess in der EU unterliegen. Da im Jahr 2020 die DSGVO-Bußgelder in Deutschland mit 48 Mio. € einen neuen Höchststand erreicht haben, lohnt es sich in jedem Fall für Unternehmen, bei der Umsetzung der DSGVO und kommender Änderungen immer auf dem neuesten Stand zu bleiben.

Frank Schneider
Frank Schneider ist studierter Diplom-Betriebswirt (FH) und hat sich auf die betriebswirtschaftlichen Funktionsbereiche Marketing, Personal und Controlling sowie Rechnungswesen spezialisiert und ist als selbständiger Betriebswirt (Unternehmensberater) tätig. Daneben schreibt der freischaffende Autor als Experte für bekannte Onlineportale und Fachverlage zum Thema Unternehmensführung und der Existenzgründung.

Kommentiere den Artikel

Bitte gib deinen Kommentar ein!
Bitte gib hier deinen Namen ein

Der Artikel hat dir gefallen? Gib uns einen Kaffee aus!