Seit dem 25. Mai gilt die neue DSGVO
Bei der Umsetzung der neuen Datenschutzverordnung machen Unternehmen allerding nach wie vor noch Fehler, die sie teuer zu stehen kommen könnten:
- Benennung falscher Ansprechpartner
- Falsche Annahmen aufgrund von Wissenslücken
- Unterschätzte Rechte UND Pflichten
… zum Teil gravierende Hindernisse zur rechtssicheren Umsetzung der DSGVO!
Folgende Versäumnisse beschreibt Susanne Steiger von ibusiness:
Fehler 1: Falsche Personalpolitik
Die Beratung von über 2300 Unternehmen hat ER Secure gezeigt: Bei der DSGVO tappen gerade kleinere Unternehmen in eine ähnliche Falle wie Unternehmen bei der Umsetzung der Compliance-Richtlinien vor 10 bis 15 Jahren. Damals hatte man in den Abteilungen von IT bis BWL das Thema bevorzugt an Mitarbeiter delegiert, die gerade verfügbar waren. Ein Fehler, den besonders kleinere Unternehmen begehen, die keine personellen Ressourcen haben. Unternehmen vergeben sich damit die Chance, bei diesem zugleich strategischen Thema auch Wertemaßstäbe zu transportieren.
Fehler 2: Fehleinschätzungen
Noch immer gäbe es laut ER Sercure gravierende Wissenslücken rund um die neue Datenschutz-Grundverordnung, die am 25. Mai 2018 in Kraft getreten ist. Viele Unternehmen wissen nicht, für welche Fälle sie eine Einwilligung brauchen und wann es ein Kopplungsverbot gibt. Rund neun von zehn Einwilligungen, die ER Secure prüfe, seien fehlerhaft. Eine andere Fehleinschätzung: Unternehmen reduzieren die DSGVO auf digitale Prozesse oder sind der Meinung, dass eine Mitarbeiterschulung oder ein externer Datenschutzbeauftragter reichen. Dabei betrifft die DSGVO auch analoge Unternehmensbereiche bis zum Gebäudemanagement und ist mehr als eine Dokumentationsaufgabe. Die gröbste Fehleinschätzung sei jedoch, die DSGVO ignorieren zu können.
Fehler 3: Unterschätzte Rechte und Pflichten durch Auftragsdatenverarbeitung
Gerade kleinere Mittelständler sind der Meinung, dass die DSGVO nur interne Prozesse abbildet. Allerdings müssen Unternehmen vollumfänglich einen regelkonformen Datenschutz garantieren. Bis heute sei einigen nicht bewusst, dass sie sämtliche Dienstleister ebenfalls in die Pflicht nehmen müssen, da sie für deren Fehler haften. Wie schnell das passieren kann, haben jüngste Datenpannen bei Hosting-Dienstleistern oder Mailanbietern gezeigt. Eine saubere Auftragsdatenverarbeitung befreit ein Unternehmen als Auftraggeber nicht von den Pflichten. Vielmehr fixiert sie, dass der Auftraggeber den Auftragnehmer so ausgewählt hat, dass dieser eine sichere Datenverarbeitung gewährleistet. Allerdings sollte zuvor geklärt werden, in welchen Fällen überhaupt ein Vertrag abgeschlossen werden muss. Auch beim Thema Informationspflichten kommt es zu Fehlern, etwa bei den Angaben zur rechtlichen Grundlage oder bei Festlegung und Angaben zu den Aufbewahrungsfristen.
Der größte Fehler aber überhaupt: zu denken, die DSGVO ginge einen nichts an und den Kopf wie Vogel Strauß in den Sand zu stecken!
Wer das macht, braucht sich nicht über vermeintlich überraschende Abmahnungen zu wundern.