eco
24.05.2018

So erfüllen Unternehmen die DSGVO: eco Verband beantwortet die wichtigsten Fragen

  • Umfrage zeigt: Nur wenige Unternehmen sehen sich rechtlich auf der sicheren Seite
  • Mahnung an Aufsichtsbehörden: eco fordert Rahmenbedingungen für praktikable Umsetzung
  • Service: eco unterstützt Unternehmen, gesetzliche Anforderungen zu erfüllen

An diesem Freitag, dem 25. Mai, tritt die europäische Datenschutzgrundverordnung (DSGVO) in Kraft, die die Rechte der europäischen Bürger an ihren Daten stärken soll. Für Unternehmen bedeutet dies einige maßgebliche Veränderungen für ihren Umgang mit Kundendaten, ihren Vertrieb und ihre gesamte Geschäftstätigkeit. Doch nach Einschätzung des eco – Verband der Internetwirtschaft e.V. sind keineswegs alle betroffenen Unternehmen für die neue Rechtslage gerüstet. Viele Firmen hatten sich erst in den Monaten kurz vor dem Stichtag mit der Thematik beschäftigt, wie sie sich künftig weiter rechtssicher aufstellen.

Umfrage zeigt: Nur wenige Unternehmen sehen sich selbst rechtlich auf der sicheren Seite

Eine Umfrage unter 600 Marketing-Entscheidern vom eco Verband und ABSOLIT Consulting* zeigte noch im März: Nur zehn Prozent der Unternehmen hatten ihre Prozesse hinsichtlich der DSGVO bereits evaluiert und entsprechend angepasst.

Das ist nicht ganz unproblematisch, denn mit den ab 25. Mai geltenden Datenschutzregeln ist neu, dass Verstöße gegen die Regeln strenger sanktioniert sind und sich Bußgelder auf sehr hohe Summen bei entsprechenden Verstößen belaufen können. Am mangelnden Willen oder gar Ignoranz der Unternehmen lag es indes nicht. Nur 3 Prozent sagten im März, sie sähen für Anpassungen bezogen auf ihr Unternehmen keinen Bedarf.

Mahnung an Aufsichtsbehörden: eco fordert Rahmenbedingungen für praktikable Umsetzung

eco-Geschäftsführer Alexander Rabe mahnt in diesem Zusammenhang die zuständigen Datenschutz-Aufsichtsbehörden in Deutschland. Diese seien grundsätzlich gefordert, Rahmenbedingen für eine praktikable Umsetzung der Datenschutzgrundverordnung zu schaffen: „Bei der Auslegung der Datenschutz-Grundverordnung mangelt es derzeit an praktischen Hilfestellungen und Anwendungsbeispielen. Unternehmen und Webseitenbetreiber wissen nicht, ob sie rechtskonform handeln. Die Angst vor Abmahnungen mit hohen Bußgeldern ist immens.“

Deutsche Aufsichtsbehörden sollten jetzt nach Inkrafttreten der Datenschutz-Grundverordnung zügig an einer bundes- und europaweit einheitlichen Auslegung der DSGVO arbeiten, so Rabe. „Der Datenschutz droht sonst nicht nur in Europa, sondern auch in Deutschland zu zerfallen und die Betroffenen wären rechtlichen Unsicherheiten sowie Abmahnrisiken ausgesetzt. Die Harmonisierung des Datenschutzes innerhalb Europas würde dadurch gefährdet.“

Service: eco unterstützt Unternehmen, gesetzliche Anforderungen zu erfüllen

Als Verband der Internetwirtschaft bietet eco auch in den kommenden Wochen noch Unterstützung für Nachzügler an, um die Anforderungen zu erfüllen, die die DSGVO stellt: Er stellt seinen Mitgliedsunternehmen auf Wunsch einen externen betrieblichen Datenschutzbeauftragten zur Verfügung, der beispielsweise Mitarbeiter schult und auch Datenschutzaudits durchführt. Weitere Informationen gibt es unter http://go.eco.de/dsb.

* befragt wurden 335 große Unternehmen (über 500 Mitarbeiter), 143 mittelgroße Unternehmen (200-500 Mitarbeiter) und 128 mittlere Unternehmen (50-200 Mitarbeiter)

Die wichtigsten Fragen zur DSGVO beantwortet eco Datenschutzexperte Thomas Rickert

Was genau sind personenbezogene Daten?
„Dazu gehören alle Daten, die Rückschlüsse auf eine Person zulassen. Das kann ein Name sein, ein Geburtsdatum, Telefonnummer oder eine IP-Adresse. Um diese Daten zu verarbeiten braucht ein Unternehmen eine Rechtsgrundlage. Die ist gegeben, wenn eine gültige Einwilligung einer Person vorliegt oder das Unternehmen ein berechtigtes Interesse hat, die Daten zu speichern.“

Was bedeutet das Recht auf Vergessenwerden?
„Bürger haben ein Recht darauf, dass ihre von einem Unternehmen gespeicherten personenbezogenen Daten auf Wunsch gelöscht werden. Das gilt aber nicht für alle Daten, etwa bei Rechnungsdaten gibt es eine gesetzliche Verpflichtung des Unternehmens, diese zu speichern.“

Was ist das Recht auf Datenportabilität?
„Das soll es Kunden erleichtern, den Anbieter zu wechseln. Unternehmen sind verpflichtet, einem Kunden oder einem anderen Unternehmen die Daten in maschinenlesbarer Form zur Verfügung zu stellen, damit dieser leichter von Anbieter A zu Anbieter B wechseln kann.“

Was sind die Anforderungen für Auftragsverarbeiter?
„Im Zuge der erhöhten Dokumentationspflichten ist schriftlich festzuhalten und dem Kunden gegenüber zu dokumentieren, wenn ein Unternehmen beispielsweise einen IT-Service-Dienstleister einschaltet. Der muss dann dokumentieren, dass er die technischen und organisatorischen Maßnahmen einhält, um Datenschutz und Datensicherheit zu gewährleisten.“

Brauche ich einen Datenschutzbeauftragten?
„Wenn mindestens zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind oder wenn die Kerntätigkeit eines Unternehmens die Verarbeitung personenbezogener Daten ist, dann ist ein Datenschutzbeauftragter Pflicht. Das ist entweder ein Beschäftigter, der dann weisungsunabhängig ist und Kündigungsschutz genießt, oder ein externer Datenschutzbeauftragter.“

Seminar: DS-GVO und Cloud Nutzung – Nachweispflichten und Handlungsempfehlungen