Faktencheck : 10 Mythen zur EU Datenschutz-Grundverordnung
Die DSGVO ist vor allem eine notwendige Konsequenz aus der Digitalisierung. In einer vernetzten Welt, in der Daten kostbarer Rohstoff sind, sind nationale Datenschutzgesetze nicht mehr zeitgemäß. Das rasende Datenwachstum und die Möglichkeiten, diese Daten zu nutzen, aber auch neue Gefahren, wie z.B. Hackerangriffe, machen es mehr denn je erforderlich, dass wir länderübergreifende Lösungen umsetzen. Menschen haben ein Recht auf den Schutz ihrer persönlichen Daten und darauf, sich sicher zu fühlen. Der Fortschritt unserer Gesellschaft hängt in entscheidendem Maße davon ab - genauer gesagt vom Vertrauen der Menschen in neue Technologien. Die DSGVO ist ein erster und notwendiger Schritt in diese Richtung. Der Countdown läuft. Und es ist Zeit mit Halbwissen, Verwirrung und hartnäckigen Mythen rund um die DSGVO aufzuräumen. Zehn Mythen und der Faktencheck dazu.
1. Ich speichere alle Daten lokal ab, dann bin ich sicher.
Grundsätzlich spielt es keine Rolle, wo man personenbezogene Daten abspeichert. Ob Datenspeicherung lokal oder in der Cloud: die Bestimmungen der DSGVO – und damit der Schutz personenbezogener Daten – sind zu erfüllen. NutzerInnen cloudbasierter Services haben hier sogar den Vorteil, dass sich die Service-Anbieter um die Rechtskonformität kümmern. Microsoft gewährleistet z.B., dass alle Microsoft Cloud-Dienste bis zum Inkrafttreten mit der Datenschutz-Grundverordnung rechtskonform sein werden.
2. Als Kleinunternehmer bin ich eh nicht betroffen.
Die EU Datenschutz-Grundverordnung ist verbindlich umzusetzen und zwar von allen Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten. Das betrifft Unternehmen jeder Größenordnung und aller Branchen sowie Verwaltungen aller staatlichen Ebenen. Bei nicht Einhaltung drohen Strafen in Höhe von 20 Mio. Euro oder 4 Prozent des Jahresumsatzes. Noch fataler wäre in vielen Fällen aber der entstehende Imageschaden, denn Vertrauen ist die neue Währung.
3. Ich habe gehört, man solle lieber erstmal abwarten.
Allen Betroffenen sollte klar sein, dass es ab 25. Mai 2018 strafbar ist, den Datenschutz und damit verbundene gesetzliche Pflichten zu vernachlässigen. Organisationen hatten dann genau zwei Jahre Übergangsfrist, sich mit den Bestimmungen der DSGVO vertraut zu machen und Maßnahmen zu ergreifen. Die DSGVO sieht zwar „Angemessenheitsfristen“ vor, diese werden aber bei akuten Problemen nicht ausreichen, wenn keine Vorkehrungen getroffen wurden. Die Meldung eines Datendiebstahls an die Aufsichtsbehörde muss beispielsweise innerhalb von 72 Stunden unter Angabe des Datenschutzbeauftragten erfolgen.
4. Mein Unternehmen hat weniger als 250 Mitarbeiter, deshalb brauchen wir kein Verfahrensverzeichnis.
Beim Überfliegen von Artikel 30 Absatz 5 der DSGVO kann dieses Missverständnis schnell entstehen. Tatsächlich dürfte wohl aber nur ein kleiner Teil der Unternehmen von dieser Pflicht befreit sein. Auch Unternehmen mit weniger als 250 Mitarbeitern müssen ein Verfahrensverzeichnis (eine Übersicht über den Zweck der Datenverarbeitung, Löschfristen, Datenempfänger usw.) führen, wenn sie regelmäßig personenbezogene Daten verarbeiten, besonders sensible Daten verarbeiten oder die Datenverarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt.
5. Mein Unternehmen braucht keinen Datenschutzbeauftragten.
Das dürfte in vielen Fällen zutreffen, dennoch gibt es Ausnahmen. Die Pflicht, einen Datenschutzbeauftragten zu bestellen, gilt für Unternehmen, deren Kerntätigkeit die Verarbeitung sensibler Daten (z.B. Krankenanstalten) oder die regelmäßige und systematische Überwachung von Personen (z.B. Banken, Versicherungen) umfasst. Für diese Unternehmen gibt es die Möglichkeit des Outsourcing, d.h. sie können sich für einen Datenschutzbeauftragten „as a Service“ entscheiden. Die Verantwortung lässt sich dabei aber nicht delegieren.
6. In meinem Unternehmen gibt es kaum personenbezogene Daten, weil sie von unserem Partner verarbeitet werden, der die Verantwortung trägt.
Heute gibt es kaum mehr Unternehmen, die nicht in Besitz personenbezogener Daten sind. Was Unternehmen klar sein sollte: bei Zusammenarbeit mit einem Dienstleister oder Partner bleibt die Verantwortung über die Kundendaten beim Auftraggeber. Deshalb ist man gut beraten, den Dienstleister im Vorfeld auf Einhaltung der DSGVO zu überprüfen. Im Falle des Falles muss man beispielsweise nachweisen können, dass der Dienstleister ein Verfahrensverzeichnis führt. Grundsätzlich muss man KundInnen im Vorfeld auch explizit darauf hinweisen, dass die Daten im Zuge des Projekts oder der Auftragsabwicklung an einen Partner zur Verarbeitung weitergegeben werden. Nach Abschluss des Projekts oder des Auftrags ist der Dienstleister zur Löschung der jeweiligen Kundendaten verpflichtet. Löscht er die Daten nicht, kann bei einer Klage auch dem eigenen Unternehmen eine hohe Strafe drohen.
7. Die Speicherung von personenbezogenen Daten in der Cloud verstößt gegen die DSGVO-Bestimmungen
Datenschutzmaßnahmen sind mit Inkrafttreten der DSGVO verpflichtend. Das wissen auch die Anbieter von Cloudservices seit die DSGVO im Mai 2016 beschlossen wurde. Dementsprechend wurden bei Microsoft z.B. Maßnahmen getroffen, um gewährleisten zu können, dass alle Microsoft Cloud-Dienste bis zum 25. Mai 2018 mit der DSGVO rechtskonform sein werden.
Die Vielzahl von Maßnahmen, die man für wirksamen Schutz personenbezogener Daten ergreifen muss, lassen sich in der Cloud besonders einfach, günstig, übersichtlich und skalierbar vollziehen. Die Cloud kann auch für mehr Datentransparenz sorgen und damit die Glaubwürdigkeit von Unternehmen steigern. Es gibt beispielsweise Tools, mit denen Kunden online abfragen können, welche Daten ein Unternehmen über sie gespeichert hat.
8. Bei Datendiebstahl drohen mir als Cloudnutzer hohe Geldstrafen.
Bei Datendiebstahl droht grundsätzlich jenen eine Strafe, die ihre Sorgfaltspflicht im Sinne der DSGVO verletzt haben. Ob die Daten dabei in der Cloud oder am lokalen Server gespeichert waren, spielt dabei keine Rolle. Im Gegensatz zur lokalen Speicherung gibt es in der Cloud sogar mehr Möglichkeiten zum Schutz vor (Pre-Breach) und zur schnelleren Erkennung von Cyberangriffen und Datendiebstahl (Post-Breach). Über die Cloud lassen sich Cyberangriffe aber auch prognostizieren. So können rechtzeitig Sicherheits-Updates durchgeführt werden, um Angriffe abzuwehren. Es ist als Cloud-User somit insgesamt leichter, glaubwürdig zu versichern, dass man alle nötigen Schritte gesetzt hat, um höchstmögliche Datensicherheit zu gewähren.
9. Wo kein Kläger, da kein Richter.
Ein Gesetz, das nicht exekutiert wird, macht wenig Sinn. Die Datenschutzbehörde kann jederzeit Routinekontrollen der Einhaltung der DSGVO durchführen und im Falle einer Rechtsverletzung umgehend – auch ohne Kläger – Strafen verhängen. Neben der Datenschutzbehörde gibt es aber auch Aktivisten, wie z.B. Max Schrems oder Interessenvertretungen, die die Datenschutzmaßnahmen in Unternehmen ganz genau unter die Lupe nehmen. Auf die schlimmsten Datenschutzverletzungen wird jährlich durch die Verleihung der Big Brother Awards unter dem Motto „Name Them and Shame Them“ aufmerksam gemacht. Ein Award also, den sich kein Unternehmen wünscht.
10. Die Datenschutzbehörde muss alle meine Prozesse genehmigen.
Die Genehmigung zur Verarbeitung personenbezogener Daten musste bisher bei der nationalen Datenschutzbehörde beantragt werden. Die Alternative war, sich dem „Privacy Shield“, einem Übereinkommen im Datenschutzrecht zwischen EU und USA, unterzuordnen bzw. sich davon zertifizieren zu lassen. Mit der DSGVO ist das nicht mehr so. Da sie nun die Rechte zur Datenverarbeitung verbindlich regelt, muss man nicht mehr vorab zur Behörde. Man ist und bleibt selbst verantwortlich. Auch nach Genehmigung durch die Datenschutzbehörde bleibt die Verantwortung, DSGVO-konform zu sein, bei der Organisation selbst.
Es bleibt anzumerken: die DSGVO adressiert keinesfalls nur die „Big Player“. Unabhängig von Größe und Branche können alle Unternehmen, Organisationen und öffentliche Stellen bestraft werden, die mit personenbezogenen Daten fahrlässig umgehen. Noch ist etwas Zeit, sich damit auseinanderzusetzen. Warten Sie also nicht auf den Ernstfall, sondern treffen Sie die nötigen Vorkehrungen.