Wie sich die Umsetzung der DSGVO auf Ihr Unternehmen auswirkt
Es ist aufwendig, die DSGVO im Unternehmen umzusetzen und das Records- und Informationsmanagement daran anzupassen. Doch es ist die Mühe wert.
Verbesserte Richtlinien und Prozesse für ihr Records- und Informationsmanagement
Zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) mussten viele Unternehmen ihre Prozesse zum Erfassen, Speichern und Verwalten von Daten generalüberholen. Die DSGVO erfordert jedoch nicht nur das Einführen neuer Richtlinien – Sie müssen auch in der Lage sein, die eingeführten Maßnahmen nachzuweisen. Im Sinne der Rechenschaftspflicht ist außerdem vorgesehen, dass Sie Ihre Richtlinien regelmäßig überprüfen und bei Bedarf aktualisieren.
DSGVO umsetzen und Bußgelder vermeiden
Einer der triftigen Grund dafür, die Richtlinien für das Records- und Informationsmanagement (RIM) in Ihrem Unternehmen auf den neuesten Stand zu bringen und zu stärken, ist die Vermeidung von Bußgeldern in Höhe von bis zu 20 Mio. Euro oder mehr, die bei Verstößen gegen die Verordnung drohen.
Seit Inkrafttreten der DSGVO im Mai 2018 konnten wir beobachten, in welcher Art und Weise sie in der Praxis umgesetzt und durchgesetzt und nach welchen Leitlinien sie angewendet wird. Das heißt: Wir wissen jetzt besser, wie die DSGVO-Bestimmungen von den Gerichten und Datenschutzbehörden interpretiert werden. Welche Auswirkungen hatte nun diese Datenschutzverordnung auf RIM-Richtlinien und -Verfahren? Ziemlich starke – und das ist auch gut so. Die DSGVO gilt für alle Unternehmen weltweit, die in der EU ihre Waren und Dienstleistungen anbieten. Sie ist außerdem für alle Organisationen gültig, die Online-Aktivitäten von Website-Besuchern aus der EU nachverfolgen.
Sowohl Datenverantwortliche als auch Auftragsverarbeiter unterliegen der DSGVO
Sowohl die Verantwortlichen (die über die Verarbeitung von personenbezogenen Daten bestimmen und die Gründe für deren Erfassung benennen müssen) als auch die Auftragsverarbeiter (die im Auftrag der Verantwortlichen handeln) unterliegen der DSGVO, wenngleich sich ihre Pflichten unterscheiden. Praktisch bedeutet das: Fast jede Person, die irgendeine Art von Geschäft über das Internet betreibt, braucht DSGVO-konforme RIM-Richtlinien und -Verfahren.
Die Umsetzung der DSGVO-Bestimmungen war im Grunde überfällig
Die Umsetzung der DSGVO-Bestimmungen war überfällig, denkt man an die gewaltigen, peinlichen Datenpannen, die in den Jahren zuvor bei kleinen wie großen Institutionen aufgetreten sind. Alle Organisationen, die schon länger vorhatten, ihre Datenverwaltung in Ordnung zu bringen, mussten sich nun aufraffen und haben klare Leitlinien an die Hand bekommen.
- 20 Millionen EuroVerstöße gegen die DSGVO können mit Bußgeldern von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Wert höher ist.
Wo fängt man am besten an? Sofern nicht bereits geschehen, sollten Sie Ihre Datenerfassungsverfahren daraufhin prüfen, ob personenbezogene Daten ausschließlich mit Einwilligung der betroffenen Personen bzw. aus anderen rechtmäßigen Gründen gesammelt werden. Überlegen Sie, wie diese Daten – insbesondere die besonders sensiblen Informationen – verarbeitet, gespeichert und am Ende gelöscht werden.
Laut DSGVO dürfen Unternehmen Daten nur solange aufbewahren, wie es für die Verarbeitung notwendig ist. RIM-Richtlinien und -Verfahren sollten so gestaltet sein, dass alle Daten DSGVO-konform erfasst, geschützt, verarbeitet, aufbewahrt und vernichtet werden.
Die Umsetzung der DSGVO lohnt sich
Ja, es ist aufwendig, die DSGVO umzusetzen und das RIM daran anzupassen. Doch es ist die Mühe wert. Denn der Image-Schaden durch eine Datenpanne oder ein Bußgeld in Millionenhöhe wäre noch viel unerfreulicher. Im Grunde hat die DSGVO die Aufmerksamkeit auf ein Problem gelenkt, das wir alle haben – den Schutz der persönlichen Daten, die wir sammeln und nutzen. Sie hat uns motiviert, nicht nur unsere Kunden und Kundinnen zu schützen, sondern auch unsere Unternehmen.
Zudem hat die DSGVO den Anstoß zu vielen weiteren Datenschutzgesetzen gegeben. Auf der ganzen Welt wurden ähnliche Verordnungen zu personenbezogenen Informationen und privaten Daten eingeführt, z. B. in Kalifornien der California Consumer Privacy Act (CCPA) von 2018 und der California Privacy Rights Act (CPRA) von 2020 oder in Südafrika der Protection of Personal Information Act (POPI) von 2020.
Da die Datenmengen unaufhörlich zunehmen und immer wieder neue Formate und Nutzungsarten hinzukommen, ist auch in den nächsten Jahren damit zu rechnen, dass weltweit neue Datenschutzvorschriften eingeführt und vorhandene verschärft werden.