Viele Unternehmen, die sich bisher nicht intensiv mit dem Datenschutz beschäftigt haben, gehen davon aus, dass sie gar keine relevanten Daten verarbeiten. Häufig werden die Begriffe „personenbezogene Daten“ und „Verarbeitung“ auch missverstanden. Die Datenschutzgesetze erfassen jegliche Verarbeitung von Informationen, die irgendeinen Bezug zu natürlichen Personen haben. Dazu gehören zum Beispiel:
Mit dem Begriff „Verarbeitung“ wird von vielen Unternehmen nur das Speichern von Daten in einem System in Verbindung gebracht. Eine Verarbeitung umfasst zum Beispiel auch
Dabei spielt es keine Rolle, ob diese Daten mit dem Computer, dem Handy oder handschriftlich in Akten oder Notizbüchern erfasst werden.
Am Ende verarbeitet wohl jedes Unternehmen bei fast jedem Unternehmensprozess auch personenbezogene Daten.
Ein/e Datenschutzbeauftragte/r muss von jedem Unternehmen benannt werden, das mindestens 20 Mitarbeiter:innen hat, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Deshalb denken Unternehmen immer wieder, der Datenschutz sei für sie nicht relevant. Grundsätzlich gilt die Datenschutz-Grundverordnung für alle Unternehmen in Europa gleichermaßen. Dadurch muss jedes Unternehmen, dass personenbezogene Daten verarbeitet, unabhängig von der Mitarbeiterzahl, die Richtlinien der DSGVO umsetzen.
Einige Unternehmen sind der Auffassung, dass die Umsetzung des Datenschutzes, durch ein einmaliges Handeln erledigt werden kann. Diese Auffassung ist leider nicht richtig, denn die Umsetzung des Datenschutzes ist ein kontinuierlicher Prozess und zielt darauf ab, durch organisatorische und technische Rahmenbedingungen, ein hohes Maß an Datenschutz zu gewährleisten. Änderungen im Unternehmen oder aktuelle Rechtsprechungen machen eine regelmäßige Überprüfung des Datenschutzes notwendig.
Die Einhaltung datenschutzrechtlicher Vorschriften der DSGVO sind für alle Unternehmen verpflichtend. Werden diese missachtet, kann die Aufsichtsbehörde empfindliche Bußgelder verhängen. Bisher waren Kontrollen und die Verhängung von Bußgeldern eher rar. Gemäß den Tätigkeitsberichten der Aufsichtsbehörden ist aber mit stetig steigenden Überprüfungen zu rechnen. Neben diesen finanziellen Einbußen droht Unternehmen mit unzureichendem Datenschutz auch ein Imageschaden.
Umfragen zufolge sind viele Unternehmen der Auffassung, dass der Datenschutz viele Geschäftsprozesse verkompliziert und verlangsamt. Insbesondere da es viele Unsicherheiten im Unternehmen zum Thema Datenschutz gibt. Allerdings regelt die DSGVO auch viele Themen eindeutig. Durch systematische Umsetzung der Anforderungen können Prozesse in der Verarbeitung optimiert werden. Die Reduzierung der Menge gesammelter Daten sowie die vertrauliche Behandlung dieser, können ebenfalls Vorteile für das Unternehmen selbst bringen und sowohl die Mitarbeiter*innen- wie auch die Kund*innenzufriedenheit erhöhen.
Einige Unternehmen denken, es reicht eine Datenschutzerklärung auf der Webseite einzufügen, um den Anforderungen der DSGVO zu entsprechen. So einfach ist es dann leider doch nicht. Denn eine Datenschutzerklärung ist weder das einzige Dokument, das individuell für das Unternehmen erstellen werden muss – noch ist die Website mit einer Datenschutzerklärung DSGVO-konform.
Folgende Datenschutz-Dokumente benötigt ein Unternehmen neben der Datenschutzerklärung:
Eine Datenschutzerklärung informiert betroffene Personen, wer ihre Daten wie verarbeitet (Informationspflicht gem. Art. 13 DSGVO) und welche Betroffenenrechte es gibt. Diese Informationen kann eine Person zur Kenntnis nehmen. Sie kann die Kenntnisnahme per Unterschrift oder Klick dokumentieren. Deswegen ist die Kenntnisnahme aber noch lange keine abgegebene Einwilligung gem. Art. 7 DSGVO. Der Satz „Ich willige in die Datenschutzerklärung ein“ vermengt also die Informationspflicht und die Einwilligung.
Unternehmen beauftragen die unterschiedlichsten Dienstleister: Steuerberater, Sicherheitsdienstleister, Logistikunternehmen, Reinigungsfirmen, IT-Dienstleister und und und. All diese Dienstleister können in irgendeiner Form auch personenbezogene Daten verarbeiten. Deswegen sind sie aber noch längst keine Auftragsverarbeiter im Sinne der DSGVO. Von einer Datenverarbeitung im Auftrag spricht das Gesetz, wenn ein Unternehmen ein anderes Unternehmen mit der weisungsgebundenen Verarbeitung von personenbezogenen Daten beauftragt. Ein Auftragsverarbeitungsvertrag ist nur dann notwendig, wenn diese Kriterien erfüllt sind.
Das ist nicht korrekt. Eine Auftragsverarbeitung, also das Verarbeiten personenbezogener Daten durch einen Dienstleister, darf laut DSGVO auch außerhalb der EU stattfinden.
Die DSGVO knüpft eine Datenübermittlung ins Nicht-EU-Ausland wie die USA allerdings an verschiedene Anforderungen. Dabei muss der Dienstleister, beispielsweise ein amerikanischer Cloud-Service, eine Datenschutzgarantie erbringen, dass deren Datenschutzniveau, dem der Europäischen Union entspricht. Eine Möglichkeit hierfür können die von der EU-Kommission bereitgestellten Standardvertragsklauseln bieten.
Auch das ist nicht korrekt. Personenbezogene Daten dürfen weiterhin in einer Cloud gespeichert werden. Es muss allerdings ein sogenannter Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Betreiber abgeschlossen werden. Für diesen Vertrag gelten konkrete Vorgaben aus der DSGVO. Der Cloud-Anbieter muss unteranderem in dem Vertrag sicherstellen, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, um sicher zu stellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewahrt werden.