Die DSGVO (Datenschutzgrundverordnung) kommt mit großen Schritten auf uns zu, bis zum 25. 5. 2018 müssen alle Vorgaben komplett umgesetzt sein. In der letzten Zeit habe ich viel Panikmache, falsche Einschätzungen und Ärger über den Gesetzgeber mitbekommen. Ich versuche einige Dinge in diesem Artikel etwas differenzierter darzustellen als es gerade auf vielen anderen Webseiten geschieht.
Was soll das, schon wieder mehr Bürokratie?
Ja die Regelungsdichte steigt, aber hat der Ansatz nicht auch etwas positives? Als Privatperson werden eure persönlichen Daten durch die DSGVO besser geschützt, ihr bekommt bessere und detailiertere Auskünfte was mit euren Daten gemacht wird. Der Datenschutzstandard wird europaweit vereinheitlicht, die Global Player können sich nicht mehr in einem laxer regulierten Mitgliedsstaat wie Irland verstecken. Nicht einmal ein kompletter Abzug aus der EU schützt Konzerne vor den Regelungen der DSGVO. Sobald personenbezogene Daten innerhalb der EU verarbeitet werden, muss sich das Unternehmen an die europäischen Spielregeln des Datenschutzes halten. Geschäfte zu machen ohne mit personenbezogenen Daten umzugehen ist wohl so gut wie unmöglich.
Warum muss ich auf einmal so viel mehr für den Datenschutz machen?
Datenschutz hat in Deutschland eine etwas längere Tradition, die schon deutlich vor der DSGVO angefangen hat. Das Bundesdatenschutzgesetz (BDSG) regelt schon seit Jahren den Umgang mit personenbezogenen Daten. Etliche Dinge, die jetzt vermeintlich neu sind, hätten viele schon lange beachten müssen. Hand aufs Herz liebe Blogger-Kollegen, wer von euch hat schon seit Jahren ein Verarbeitungsverzeichnis, beschreibt seine technischen und organistorischen Maßnahmen zum Schutz personenbezogener Daten und hat mit relevanten Dienstleistern wie seinem Webhoster einen Auftragsdatenverarbeitungsvertrag? Ich vermute mal, dass sich an dieser Stelle nicht all zu viele melden. Nur weil die meisten bis jetzt die rechtlichen Spielregeln nicht wahrgenommen haben, sind die Forderungen für sie neu. Übrigens die DSGVO wurde schon vor über 2 Jahren veröffentlicht, eigentlich haben wir ausreichend Zeit gehabt die neuen Forderungen umzusetzen.
Aber es hagelt doch demnächst massenhaft Bußgelder und die können bis zu 20 Millionen Euro teuer werden?
Stimmt nicht so ganz, falls euer Blog ein Teil eines Konzerns ist kann es euch sogar bis zu 4 % eures Jahresumsatzes kosten. Im Ernst: Die Bußgelder die mit der DSGVO verhängt werden, sind bestimmt höher als die alten auf dem BDSG beruhenden, aber kein Blogger oder kleiner Handwerker wird eine Millionenstrafe bekommen. Ziemlich sicher ist aber, das die Strafen weh tun werden. Der Gesetzgeber äußert in einem Erwägungsgrund der DSGVO, dass die Strafen nicht nur angemessen sondern auch abschreckend sein sollen. Nur ein kleines Gedankenspiel (ohne böse Hintergedanken): Schaut doch mal wie viele Mitarbeiter die Datenschutzbehörde in eurem Bundesland hat und wie viele Firmen die kontrollieren müssen. Das Verhältnis läßt das Samstagslotto in einem ganz anderen Licht erscheinen…
Butter bei die Fische, was muss ich denn jetzt machen?
Versucht erst einmal euch die Grundsätze des Datenschutzes zu verdeutlichen:
- Transparenz: Sagt offen warum und wie ihr die personenbezogenen Daten verarbeitet.
- Zweckbindung: Benutzt die Daten nur zu dem vorgesehenen Zweck.
- Datenminimierung: Verarbeitet nicht mehr Daten als Ihr wirklich benötigt.
- Richtigkeit: Die Daten müssen natürlich korrekt sein.
- Speicherbegrenzung: Auch die Jäger und Sammler unter euch sollten Daten löschen, die nicht mehr benötigt werden.
- Integrität und Vertraulichkeit: Sorgt dafür, dass kein Unbefugter Zugriff auf die Daten hat und keine Veränderung der Daten stattfinden.
- Jetzt kommt der neue Teil: Die Rechenschaftspflicht: Damit die vorhergehenden Punkte nicht nur ein guter Vorsatz sind, beschreibt euer Datenschutzkonzept in einer verständlichen und nachvollziehbaren Weise.
Wer diese Grundsätzen verinnerlicht, hat es deutlich einfacher sein Datenschutzkonzept zu formulieren und das ist die Aufgabe, die die meiste Zeit verschlingt.
- Widmet euch den beiden zentralen Dokumenten: Der Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) und des Verarbeitungsverzeichnisses. Vorlagen findet Ihr inzwischen auf vielen Webseiten unter anderem hier: http://dsgvo.expectit.de.
- Beschreibt eure Datenschutzmaßnahmen klar und verständlich. Wie Ihr das effizient machen könnt beschreibt dieses Buch:
[amazon_link asins=’B07C32XCZ6′ template=’ProductAd‘ store=’kabellabor-21′ marketplace=’DE‘ link_id=’38ff87b1-5538-11e8-ba7a-610e22687c4d‘]
- Last but not least: Laßt euch nicht verrückt machen, niemand wird am 26.5. geteert und gefedert und um 20 Millionen Euro ärmer aus dem Internet geworfen.