Am 25. Mai 2018 ist die Europäische-Datenschutzgrundverordnung in Kraft getreten. Mit dem Inkrafttreten war das Thema Datenschutz in aller Munde, sei es im persönlichen Umfeld durch den Erhalt vieler E-Mails, die darauf hingewiesen haben, dass ab sofort eine Einwilligung notwendig wäre, als auch im beruflichen Umfeld, gerade dann, wenn es darum ging ein Datenschutzbeauftragten einzusetzen. Andererseits konnten viele Organisationen im Jahr 2018 noch nicht einschätzen, was die neuen Regelung für sie bedeuten.
Heute, sechs Jahre später, hat sich der Nebel gelichtet: durch zahlreiche Rechtsprechungen, Handlungshilfen der Aufsichtsbehörden und Kommentare sowie praktische Anwendungsfälle wurde die Europäische-Datenschutzgrundverordnung zum Leben erweckt. Neben vielen verschiedenen Dokumentationspflichten, die Verantwortliche dazu veranlassen ein Datenschutzmanagementsystem aufzubauen, gilt es auch im operativen Geschäft geplante Projekte und Prozesse aus Datenschutzperspektive zu beachten.
In unserem heutigen Blogbeitrag nutzen wir die Chance auf unsere persönliche Erfahrung aus sechs Jahren Europäische-Datenschutzgrundverordnung zurückzublicken. Bildlich ist die Europäische-Datenschutzgrundverordnung für uns manchmal wie ein Staudamm: einerseits sollen Daten geschützt werden, und andererseits „Schleusen“ geöffnet werden, um Daten kontrolliert zu verarbeiten. Welche Faktoren hier eine bedeutende Rolle spielen, zeigen wir nachfolgend auf.
Datenschutz ist ein Grundrecht für natürliche Personen. Auch heute erleben wir es häufig, dass in Organisationen völlig unklar ist, wann die Anforderungen des Datenschutzes überhaupt Anwendung finden. Aus unserer Perspektive ist die Basis für ein funktionierendes Datenschutzmanagementsystem ein Grundverständnis zu datenschutzrechtlichen Grundsätzen und Anforderungen. Hierfür ist es notwendig, dass Verantwortliche und interne Ansprechpartner sensibilisiert werden.
Datenschutz stärkt die Organisation. Ein funktionierendes Datenschutzmanagementsystem, in dem alle Beschäftigten entsprechend ihren eigenen Fähigkeiten eingebunden sind, sei es durch Schulung oder eigene Aufgaben im Datenschutz, stärkt deren eigenes Verständnis und deren Sensibilität für datenschutzkritische Sachverhalte. Auch die Resilienz der Führungskräfte bei Sicherheitsvorfällen und/oder Verletzungen des Schutzes personenbezogener Daten wird durch etablierte und in der Organisation bekannte Prozesse gestärkt. Gerade bei solchen Vorfällen spielt auch der zeitliche Faktor eine wesentliche Rolle. Durch eine gute Dokumentation und Vorbereitung können sicherheitsrelevante Vorfälle zielgerichtet bearbeitet werden.
Datenschutz ist ein komplexes Thema mit Erklärungsbedarf. Die Komplexität der Anforderungen im Datenschutz hat mit der Europäischen-Datenschutzgrundverordnung sowie weiteren Nebengesetzen in den vergangenen sechs Jahren zugenommen. Gerade dann, wenn die praktische Umsetzung von Verarbeitungen in der Organisation nur unter bestimmen Umständen möglich ist, ist es aus unserer Sicht wichtig, dass der Datenschutzbeauftragte dem Verantwortlichen die Hintergründe gut erläutert. Denn nur wer die Rechtslage kennt, kann fundierte und zukunftsorientierte Entscheidungen für seine Organisation treffen.
Datenschutz erfordert einen Perspektivwechsel. Aus Sicht von Verantwortlichen wird Datenschutz immer wieder mit Vorbehalten gesehen. Es ist wichtig, einen Perspektivwechsel zu machen, um aus der eigenen Brille als Betroffener zu verstehen und zu erkennen, welchen Mehrwert Datenschutz für den Schutz der eigenen Daten hat. In der Vergangenheit hat sich immer wieder gezeigt, dass eine offene und transparente Kommunikation mit Betroffenen auch in schwierigen Sachverhalten als positiv bewertet wurde. Dies führt zu einer Stärkung des Vertrauens in die datenverarbeitende Organisation und zu einer positiven Imageförderung.
Aus unserer Sicht ist für Verantwortliche jetzt der richtige Zeitpunkt, um ihr eigenes Datenschutzmanagement auf den Prüfstand zu stellen. Hierzu sollten sich Verantwortliche u.a. folgende Fragen stellen:
Ist meine Dokumentation auf dem aktuellen Stand? Entsprechen meine technischen und organisatorischen Maßnahmen dem aktuellen Stand der Technik? Sind alle Verarbeitungen im Verzeichnis der Verarbeitungstätigkeiten aufgenommen? Werden Betroffene hinsichtlich der Datenverarbeitung, die sie betreffen, ausreichend klar und verständlich informiert? Wurden mit allen Auftragsverarbeitern entsprechende Verträge geschlossen? Sind alle Dienste auf meiner Internetseite datenschutzkonform eingebunden? Werden alle Beschäftigten regelmäßig sensibilisiert und geschult?
Wenn Sie unschlüssig sind, ob Sie alle Anforderungen der Europäischen-Datenschutzgrundverordnung in Ihrer Organisation ausreichend umgesetzt haben, unterstützen wir Sie gerne im Rahmen einer Bestandsaufnahme mit unserer Expertise aus über 15 Jahren Erfahrung im Datenschutz. Für einen kostenfreien und unverbindlichen Austausch zum Thema Datenschutz, sowie zu Ihren aktuellen innerbetrieblichen Anforderungen im Bereich Datenschutz, stehen wir Ihnen gerne zur Verfügung. Auch sind wir gespannt, welche Erfahrungen Sie in sechs Jahren Europäische-Datenschutzgrundverordnung gemacht haben. Zögern Sie nicht und nehmen Sie noch heute Kontakt mit uns auf!