DSGVO-Fragebogen und DSGVO-Bilanz

DSGVO Bilanz

Die Datenschutzgrundverordnung, die seit dem 25. Mai 2018 gilt, ist das strengste und umfassendste Datenschutzgesetz der Welt. Mit dem Gesetz ist Europa sogar zum internationalen Trendsetter geworden. Neben Australien orientieren sich einige asiatische L├Ąnder an dem Regelwerk und sogar die USA haben erkannt, dass Datenschutz kein Hindernis, sondern ein notwendiges Regelwerk ist. Ein Jahr sp├Ąter ist es an der Zeit, Bilanz zu ziehen. Dieser Artikel beleuchtet, wie weit die Umsetzung der DSGVO derweil fortgeschritten ist und welche Ma├čnahmen weiterhin geplant sind. Au├čerdem deckt er die f├╝nf h├Ąufigsten L├╝cken hinsichtlich der DSGVO auf.

Was bisher geschah: Daten und Fakten zur DSGVO

DGSVO Bilanz Mit der Einf├╝hrung der neuen DSGVO wurde die Bef├╝rchtung laut, dass es zu einer un├╝berblickbaren Strafwelle kommen k├Ânnte. Davon ist bisher nichts zu sehen. Im vergangenen Jahr wurde laut Handelsblatt deutschlandweit in insgesamt 70 F├Ąllen ein Bu├čgeld verh├Ąngt, Verwarnungen gab es 54. Auf Nordrhein-Westfalen entfielen dabei rund die H├Ąlfte der Bu├čgelder, gefolgt von Berlin mit neun Bu├čgeldstrafen. Acht Bundesl├Ąnder haben bisher komplett darauf verzichtet, Bu├čgelder in Sachen DSGVO zu verh├Ąngen. Die h├Âchste Bu├čgeldstrafe (80.000 Euro) wurde von Baden-W├╝rttemberg ausgesprochen. Dabei ging es um online ver├Âffentlichte Gesundheitsberichte, die personenbezogene Daten enthielten. Weitet man den Blick und nimmt die ganze EU ins Visier, gingen alles in allem ├╝ber 144.000 Anfragen und Beschwerden mit DSGVO-Bezug bei den Datenschutzbeh├Ârden ein. Die Beschwerden betrafen in der Hauptsache die Bereiche Telefonmarketing, E-Mail-Marketing und Video├╝berwachung.

├ťbrigens: Die Summe aller Geldstrafen belief sich in Deutschland auf rund 485.000 Euro. Zum europ├Ąischen Vergleich: In einem europ├Ąischen Krankenhaus wurde nach einem Datenschutzversto├č mit Patientendaten ein Bu├čgeld in H├Âhe von 400.000 Euro verh├Ąngt.

HinweisPDF-Angebot DSGVO Bilanz: Unsere Berichte sind oft sehr ausf├╝hrlich. Daher bieten wir an PDF „DSGVO Fragebogen und Bilanz“┬áeine Zusendung des Artikels im PDF-Format zur sp├Ąteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie k├Ânnen hierf├╝r auch einfach auf das PDF-Symbol klicken.

Wo kein Kl├Ąger, da kein Richter – geht die Strategie auf?

Momentan ist davon auszugehen, dass die niedrige Zahl an verfolgten Verst├Â├čen nicht darauf zur├╝ckzuf├╝hren ist, dass alle Unternehmen ihre DSGVO-Hausaufgaben gemacht haben. Das zeigt auch die Statistik, die sich auf April 2018, also auf den Zeitpunkt kurz bevor die DSGVO in Kraft trat, bezieht. Vielmehr d├╝rfte ein ├╝beraus milder Umgang mit Verst├Â├čen zugrunde liegen – die Beh├Ârden scheinen teils bewusst beide Augen zuzudr├╝cken. Dies k├Ânnte auch an einer internen ├ťberforderung liegen. Immerhin stellt die DSGVO einen eindeutigen b├╝rokratischen Mehraufwand dar, der in manchen Bundesl├Ąndern kurioserweise mit Budget- und Personalk├╝rzungen einherging. Dabei d├╝rfte es sich allerdings um eine vor├╝bergehende Umgangsweise mit der Datenschutzgrundverordnung handeln. Auf Dauer ist damit zu rechnen, dass die Zahl an Anfragen und Beschwerden steigt und der Umgang mit diesen souver├Ąner werden wird.

DSGVO-BilanzEin Blick auf die Trendentwicklung der DGSVO-Verst├Â├če deutet die Richtung an: In Hessen wurden 2018 bei der zust├Ąndigen Aufsichtsbeh├Ârde 630 Beschwerden eingereicht. Im Vorjahr waren dies nur 85. In Nordrhein-Westfalen waren es 2018 sogar 1200 Vorf├Ąlle, nach nur 60 in 2017. Zu der begonnenen positiven Entwicklung der ersten Monate wird sicherlich auch beitragen, dass die Aufsichtsbeh├Ârden nun verst├Ąrkt auf Umsetzungs├╝berwachung setzen. So k├╝ndigt beispielsweise Dr. Stefan Brink, Landesbeauftragter f├╝r den Datenschutz und die Informationsfreiheit (LfDI) in Baden-W├╝rttemberg, deutlich an: ÔÇ×2019 wird das Jahr der Kontrollen.ÔÇť

├ťbrigens: Mehr zum Stand der Umsetzung der DSGVO lesen Sie im Artikel DSGVO Status Quo. Wenn Sie wissen wollen, welche Ma├čnahmen Sie ergreifen k├Ânnen, um Ihr Unternehmen DSGVO-konform zu machen, hilft Ihnen dagegen dieser DSGVO-Artikel weiter.

Vorreiter der Aufsichtsbeh├Ârden – Wer nimmt die DSGVO ernst?

Der Umgang mit der DSGVO ist in den Datenschutzbeh├Ârden Deutschlands unterschiedlich. W├Ąhrend der Gro├čteil bislang schweigt, was Pl├Ąne f├╝r eine konsequentere Umsetzung betrifft, ├Ąu├čern sich Bayern und Baden-W├╝rttemberg ganz klar: K├╝nftig soll kein Auge mehr zugedr├╝ckt werden.

├ťbrigens: Sieht man sich die Zahl der Verwarnungen an, haben die Niederlande mit ├╝ber 1000 Verwarnungen die Nase vorn.

DSGVO durchsetzen: Welche Kontrollma├čnahmen stehen bevor?

Bundesweit ist man sich ├╝berwiegend einig: Die DSGVO an sich ist nahezu perfekt, lediglich an der Durchsetzung hapert es. Um dies zu ├Ąndern, werden die folgenden Ma├čnahmen diskutiert:

DSGVO-Frageb├Âgen

Laut dem Deutschen Datenschutz Institut werden aktuell von mehreren Aufsichtsbeh├Ârden Frageb├Âgen an Unternehmen versendet, die den Status amtlicher Dokumente besitzen. Unternehmen sind somit dazu verpflichtet, den DSGVO-Fragebogen auszuf├╝llen und nach bestem Wissen und Gewissen Auskunft ├╝ber die DSGVO-Konformit├Ąt im jeweiligen Unternehmen zu geben.

Mehr Geld f├╝r Aufsichtsbeh├Ârden

Damit die Aufsichtsbeh├Ârden f├╝r Datenschutz ihren Aufgaben in den 16 Bundesl├Ąndern nachkommen k├Ânnen, wurde das Personal in den letzten Monaten aufgestockt und auch aktuell wird weiter nach neuen Mitarbeitern gesucht.

├ťbrigens: Mitglieder des EDPB, des europ├Ąischen Datenschutzausschusses, bem├Ąngeln, dass es ihnen nicht erlaubt ist, Verst├Â├čen gegen die DSGVO nachzugehen. Dies ist bislang den Bundesbeh├Ârden vorbehalten. Eine Idee ist daher, den EDPB personell aufzustocken und mit der Befugnis auszustatten, eigene F├Ąlle auf EU-Ebene zu verfolgen.

Welche Rolle spielen die fehlende Objektivit├Ąt und die Angst, Fehler zu machen?

Fragt man einen langj├Ąhrigen Autofahrer, ob er gut f├Ąhrt und sich sicher dabei f├╝hlt, w├╝rde er dies h├Âchstwahrscheinlich bejahen – und im Anschluss z.B. im Rahmen eines Fahrsicherheitstraining den Optimierungsbedarf bei N├Ąsse oder in brenzligen Situationen zustimmen. ├ähnlich scheint es mit der DSGVO zu sein. Angst vor Fehlern bei der DSGVOWie die erste der beiden Statistiken in diesem Artikel zeigt, geben 42% der Deutschen an, die DSGVO zu kennen und sie verstanden zu haben. Dennoch geben 37% zu, die Verordnung nicht wirklich vollst├Ąndig zu verstehen. Bei der Frage, warum es noch immer Unternehmen gibt, die nicht DSGVO-konform sind, spielt sicherlich die Angst, Fehler zuzugeben, eine gro├če Rolle (in diesem Fall, dass man noch nicht alle DSGVO-Ma├čnahmen umsetzen konnte). Die DSGVO wird als sehr komplex wahrgenommen und man traut sich nicht wirklich an sie heran, sondern vertraut der datenschutzbeauftragten Person, ├Ąhnlich wie z. B. dem Steuerberater. Doch wie hei├čt es so sch├Ân? „Unwissenheit sch├╝tzt vor Strafe nicht“ oder um im Sinnbild zu bleiben: Eine selbstst├Ąndige Person ist immer gut beraten, die BWA oder die Bilanz zumindest zu verstehen, auch wenn diese meist durch einen Steuerberater erstellt werden. Vertraut man hier nicht blind, minimiert sich das Risiko steuerlicher ├ťberraschungen im Nachhinein. Ebenso gilt dies f├╝r das Detailwissen hinsichtlich gesetzlicher Pflichten und Rechte, denn bekanntlich steckt der Teufel im Detail.

├ťbrigens:Im Artikel „Fehler im Job“ erfahren Sie mehr dar├╝ber, wie Menschen mit Fehlern und Wissensl├╝cken im beruflichen Kontext umgehen.

HPDF-Angebot DSGVO Bilanzinweis: Unsere Berichte sind oft sehr ausf├╝hrlich. Daher bieten wir an PDF ÔÇ×DSGVO Fragebogen und BilanzÔÇť┬áeine Zusendung des Artikels im PDF-Format zur sp├Ąteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie k├Ânnen hierf├╝r auch einfach auf das PDF-Symbol klicken.

Tipps aus dem Experteninterview mit dem Deutschen Datenschutz Institut

Aus unserem Netzwerk haben wir zur DSGVO-Bilanz das Deutsche Datenschutz Institut befragt, um auf dessen exklusive Erfahrungen aus einer Vielzahl von Beratungen und Umsetzungsma├čnahmen zur├╝ckgreifen zu k├Ânnen. Die folgenden f├╝nf Vers├Ąumnisse im Hinblick auf die Umsetzung der DSGVO treten bei den unterst├╝tzten Unternehmen am h├Ąufigsten auf:

1. Das Verzeichnis der Verarbeitungst├Ątigkeiten

Im Verzeichnis der Verarbeitungst├Ątigkeiten sind alle Kernprozesse, in denen personenbezogene Daten verarbeitet werden, zu dokumentieren. Geschieht dies nicht, kann man im Falle eines Vorwurfs keine schl├╝ssigen Gegenbeweise vorlegen. Das Werk f├╝r den Fall eines DSGVO-Versto├čes existiert oft nicht oder wird zumindest unzureichend gepflegt.

2. Die Risikoanalyse

Jedes Unternehmen sollte eine Risikoanalyse f├╝r die Prozesse vornehmen, bei denen personenbezogene Daten verarbeitet werden. In deren Rahmen werden die Auswirkungen f├╝r den Betroffenen sowie potenzielle Strafen, die das Unternehmen treffen k├Ânnten, er├Ârtert, sodass entweder Ma├čnahmen zum Risikoausschluss getroffen oder aber finanzielle R├╝cklagen f├╝r den Fall der F├Ąlle geschaffen werden k├Ânnen. Oft liegt eine solche Risikoanalyse nicht vor.

3. Weitergabe personenbezogener Mitarbeiterdaten

Besonders gro├če Unklarheit scheint es in Bezug auf den Umgang mit Mitarbeiterdaten zu geben. Auch hier gilt selbstverst├Ąndlich die DSGVO. Folgende drei Beispiele zeigen den Bedarf an allt├Ąglichem DSGVO-Bewusstsein auf:

3.1 Mitarbeiterportr├Ąts im Rahmen von Teamvorstellungen auf Internetseiten oder Projektangeboten oder auch im Rahmen von Marketingkampagnen sind selten schriftlich von der jeweiligen Person genehmigt.

3.2 Nicht nur Manager, F├╝hrungskr├Ąfte oder Abteilungsleiter erfahren den internen Unternehmensservice der zentralen Organisationsunterst├╝tzung im Au├čendienst. Ein Beispiel ist die Mietwagenbuchung f├╝r eine Gesch├Ąftsreise, f├╝r die pers├Ânliche Daten der jeweiligen Person das Haus verlassen.

3.3 Ein weiteres Beispiel ist die zentrale Messeorganisation, bei der im Rahmen einer Zimmerbuchung oder auch Flugbuchung pers├Ânliche Daten an Dritte ├╝bergeben werden.

Tipp: Integrieren Sie eine ├╝bergreifende DSGVO-Einwilligung f├╝r die h├Ąufig notwendige Datennutzung von pers├Ânlichen Daten (Standardf├Ąlle je Aufgabenbeschreibung der Mitarbeiter) in Ihre Arbeitsvertr├Ąge.

4. Schriftliche Vereinbarung ├╝ber die Auftragsverarbeitung

Die Auftragsverarbeitung regelt Gegenstand und Zweck der Verarbeitung und enth├Ąlt, welche Art von personenbezogenen Daten verarbeitet werden, meist auf Grundlage eines Vertrags. Weitere Details und Pflichten erfahren Sie im Art. 28 Abs. 3 DSGVO, der die Mindestanforderungen vorgibt.

In diesem Kontext besteht oft ein unklarer Datenschutz bei Freelancern. Wer mit Freelancern arbeitet, muss klare Vertragsgrundlagen zum Datenschutz schaffen. Die datenschutzrechtliche Vereinbarung kann beispielsweise die Auflage enthalten, dass der Freelancer sich an die unternehmensinternen Regelungen zum Datenschutz halten muss.

5. Nicht DSGVO-konforme IT-Konzepte

Zu den bisherigen Top5 der DSGVO-L├╝cken geh├Âren die nicht Datenschutz-konformen IT-Konzepte, die in vielen Unternehmen noch darauf warten, geschlossen zu werden. Kaufm├Ąnnisch und datenschutzrechtlich lassen sich die Vorgaben meist gut nachvollziehen, doch wenn es auf die technische Ebene der IT-Architektur geht, kann oft die Frage nach dem Standort bestimmter Server nicht beantwortet werden.

Ermitteln Sie Ihren pers├Ânliche DSGVO-Bilanz mit einem objektiven Expertenrat und Blick von Au├čen

Die abschlie├čende Frage an den Gesch├Ąftsf├╝hrer des Deutschen Datenschutz Instituts Jens Burkard lautete:

Welchen Tipp k├Ânnen Sie unserer Leserschaft in puncto Auswahl des richtigen DSGVO-Umsetzungspartners geben?

Sicher ist bei der Einf├╝hrung der DSGVO nicht alles rund gelaufen und auch heute gibt es noch viele offene Fragen. So war das anf├Ąngliche Beratungsangebot sp├Ąrlich. Es ist kein Geheimnis, dass die Nachfrage an DSGVO-Beratungen gro├č und das Angebot an Datenschutzbeauftragten sehr gering war. Ich empfehle Ihren Leserinnen und Lesern, die jeweilige Qualifikation des Datenschutzbeauftragten zu ├╝berpr├╝fen. Handelt es sich um eine Person, welche die Minimalanforderungen durch z.B. einen 2-3 t├Ągigen Online-Kurs absolviert hat oder eine Person, die ausschlie├člich DSGVO-Beratungen durchf├╝hrt und ├╝ber einen umfangreichen Projekterfahrungsschatz verf├╝gt. Es schadet keineswegs, wenn Sie nicht von einer Person abh├Ąngig sind, sondern ein DGSVO-Team bei der Umsetzung unterst├╝tzt.