Von der DSGVO betroffen sind alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten und aufbewahren. Das gilt unabhängig vom Standort des Unternehmens und davon, ob Daten von Verbrauchern, Geschäftspartnern oder Mitarbeitern genutzt werden. Allerdings hapert es in der Realität leider noch an der Umsetzung: Laut einer aktuellen Bitkom-Umfrage haben drei Viertel der über 500 befragten Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Gerade für viele Start-ups, kleine und auch mittelständische Unternehmen war die Einhaltung ein kostspieliges und zeitaufwendiges Unterfangen. Da ist es kaum verwunderlich, dass viele von ihnen die Verordnung immer noch nicht umsetzten konnten.

Ein neues Verständnis von Daten

Nach den neuen Regeln der DSGVO kann jede Maßnahme in Bezug auf personenbezogene Daten als Verarbeitung angesehen werden. Darunter fallen die Beschaffung oder Erstellung der Daten bis hin zur Löschung am Ende ihres Lebenszyklus. Diese Verarbeitung umfasst das Kopieren, Ändern, Pseudonymisieren, Übertragen, Speichern - allgemeiner gesagt also alles, was ein Unternehmen mit den Daten macht.

Um diese Vorschriften einzuhalten, reicht es allerdings nicht aus, dass Kunden vorab ein Einwilligungsfenster zur Datennutzung ankreuzen. Die neuen Regeln verlangen, dass Unternehmen eine ausdrückliche Zustimmung, zum Beispiel durch ein aktives Opt-in, einholen, bevor sie Daten erheben, speichern oder analysieren. Gemäß den Regeln der DSGVO dürfen sich Unternehmen nicht mehr auf das verlassen, was die EU "vorgemerkte Kästchen oder Inaktivität" nennt.

Herkömmliche Compliance-Lösungen, wie beispielsweise solche zum Schutz von Personally Identifiable Information (PII), können die Komplexität der Datenschutzgrundverordnung meist nicht bewältigen. Solche Lösungen sind oft prozessspezifisch und beziehen sich nur auf eine enge Interpretation von Daten. Sie betreffen etwa Name, Adresse, Geburtsdatum, Sozialversicherungsnummer und Finanzinformationen.

Personenbezogene Daten im Rahmen der DSGVO umfassen jedoch ein viel breiteres Spektrum an Informationen, zu denen Social-Media-Beiträge, Fotos, Transaktionshistorien und sogar IP-Adressen gehören können. Zudem fallen auch teilweise unstrukturierte Daten unter die Verordnung, wie Sprachaufzeichnungen, Transkripte, gescannte Dokumente, veraltete Datenbankeinträge oder Datenerfassungen aus Webformularen.

Die Rolle des Datenschutzbeauftragten

Der erste Schritt, um der Verordnung Herr zu werden, besteht darin, juristische Unterstützung in Anspruch zu nehmen. Effektives Datenschutzmanagement erfordert Strategien, Mitarbeiter-Ressourcen, neue Prozesse und intelligente Tools, um das Vertrauen der Mitarbeiter und Kunden zu wahren und gleichzeitig die Datenschutzanforderungen zu erfüllen. Um Unternehmen bei der Einhaltung der Vorschriften zu unterstützen, definiert die DSGVO in Artikel 37 auch die Rolle des Datenschutzbeauftragten (Data Protection Officer, DPO) und wann dieser ernannt werden muss.

Bei einem Datenschutzbeauftragten handelt es sich entweder um einen angestellten Mitarbeiter oder externen Berater, dem die formelle Verantwortung für die Einhaltung des Datenschutzes in einem Unternehmen übertragen wird. Nach dem geltenden EU-Datenschutzrecht ist der Einsatz jedoch von Mitgliedstaat zu Mitgliedstaat unterschiedlich. In den meisten Fällen ist die Ernennung eines Datenschutzbeauftragten derzeit zwar nicht zwingend vorgeschrieben, dennoch räumen einige EU-Mitgliedstaaten (wie beispielsweise Schweden) durch die Ernennung eines Beauftragten den Unternehmen praktische Vorteile ein. Darunter fällt beispielsweise der Verzicht auf die Registrierung bei der Datenschutzbehörde.

Braucht Ihr Unternehmen einen Datenschutzbeauftragten?

Da die neuen Datenschutzbestimmungen für eine beispiellose Steigerung der Nachfrage nach Datenschutzexperten sorgen, haben es gerade Geschäftsführer von Start-ups oder aufstrebenden Technologieunternehmen meist schwer, fähige Personen für eine solche Position zu gewinnen. Schließlich sind qualifizierte Experten sowohl sehr gefragt als auch teuer. Leiter von kleineren und auch mittelständischen Unternehmen, die mit dem Business Performance Management betraut sind und planen, vorübergehend Beschäftigte im Rahmen der DSGVO-Compliance einzusetzen, sollten Folgendes beachten:

• Nehmen Sie die Dienste eines Beraters/Datenschutzbeauftragten in Anspruch. Sollten Sie sich einen zertifizierten Datenschutzbeauftragten nicht leisten können, schulen Sie zumindest eine geeignete Person intern oder nutzen Sie bei der Verarbeitung personenbezogener Daten einen Rechtsbeistand.

• Führen Sie Prozesse ein, die den gesamten Umgang mit personenbezogenen Daten auf dem gleichen Standard halten Behalten Sie dabei immer die DSGVO-Anforderungen im Blick.

• Schützen Sie die von Ihrem Unternehmen und/oder in dessen Namen verarbeiteten personenbezogenen Daten, indem Sie sicherstellen, dass ein Datenschutzbeauftragte eng mit den Sicherheits-, Produkt- und Marketingmanagern sowie gegebenenfalls mit Interessensgruppen Dritter zusammenarbeitet.

Auch wenn bisher die große Abstrafungs-Welle ausgeblieben ist, sollten Unternehmen so schnell wie möglich mit der Umsetzung der Verordnung starten. Erst kürzlich kündigte der EU-Datenschutzbeauftragte Giovanni Buttarelli an, dass Unternehmen bei Verstößen mit den ersten Sanktionen bis Jahresende rechnen müssen.