Die Allgemeine Datenschutzverordnung (GDPR) ist eine ernste Angelegenheit, wie jeder Risikomanager, der etwas auf sich hält, weiß. Aber bei etwas so Großem hat es keinen Sinn, dass nur eine Minderheit von der Sache weiß.
Muss also mehr getan werden, um die Botschaft unternehmensweit zu verbreiten? Während viele Risikospezialisten wahrscheinlich gut informiert sind und an Seminaren und anderen Fortbildungsveranstaltungen zu dieser wichtigen neuen Gesetzgebung teilgenommen haben, sind sich andere vielleicht weniger bewusst, welche belastenden neuen Verantwortlichkeiten damit verbunden sind.
Darüber hinaus wird sie in weniger als einem Jahr in Kraft treten – im Mai 2018. Trotz des Brexit wird die Einhaltung der DSGVO für jedes Unternehmen, das mit personenbezogenen Daten aus der EU zu tun hat, unerlässlich sein, unabhängig davon, von wo aus das Unternehmen tätig ist. Zu den wichtigsten Änderungen gehören die neue Verpflichtung, Verstöße spätestens 72 Stunden nach Bekanntwerden an das ICO zu melden, sowie die Einführung von potenziell verheerenden Geldstrafen. Die Bußgelder werden von der derzeitigen Obergrenze der ICO von 500.000 € auf 20 Millionen € oder 4 % des weltweiten Jahresumsatzes angehoben und es gibt je nach Verstoß die Möglichkeit einer Sammelklage oder einer individuellen Strafverfolgung.
GDPR – 8 wichtige Fakten
1) Die GDPR gilt für alle Unternehmen weltweit, die personenbezogene Daten von EU-Bürgern verarbeiten – es ist das erste globale Datenschutzgesetz. 2) Gemäß der DSGVO gelten alle Daten, die zur Identifizierung einer Person verwendet werden können, als personenbezogene Daten. 3) Es muss eine einfache und klare Sprache verwendet werden, wenn Unternehmen um die Zustimmung zur Datenerfassung bitten – Schweigen des Kunden bedeutet keine Zustimmung. 4) In folgenden Fällen muss ein Datenschutzbeauftragter (DSB) ernannt werden: Behörden (mit Ausnahme von Gerichten, die in ihrer gerichtlichen Eigenschaft handeln); diejenigen, die in großem Umfang eine systematische Überwachung von Personen durchführen (z.B. die Verfolgung des Online-Verhaltens); diejenigen, die in großem Umfang besondere Kategorien von Daten oder Daten über strafrechtliche Verurteilungen und Straftaten verarbeiten. 5) Es kann ein einziger Datenschutzbeauftragter ernannt werden, der für eine Gruppe von Unternehmen oder für eine Gruppe von Behörden tätig ist, wobei deren Struktur und Größe berücksichtigt wird. 6) Jede Organisation kann einen Datenschutzbeauftragten ernennen, unabhängig davon, ob die DSGVO die Ernennung eines Datenschutzbeauftragten vorschreibt. 7) Eine Firma muss sicherstellen, dass ihre Organisation über genügend Personal und Fähigkeiten verfügt, um die Verpflichtungen der DSGVO zu erfüllen. 8) In der Vergangenheit galten nur die für die Datenverarbeitung Verantwortlichen als verantwortlich, aber die DSGVO dehnt die Haftung auf alle Organisationen aus, die mit personenbezogenen Daten umgehen. Auch wenn Risikomanager mit den Einzelheiten vertraut sind und viele von ihnen bereits Tests durchgeführt haben, um die Einhaltung der Vorschriften zu überprüfen, und vielleicht eine Strategie für das Management von Datenschutzverletzungen entwickelt haben, ist es jetzt an der Zeit, dafür zu sorgen, dass alle Mitarbeiter, die Daten verarbeiten und speichern, in ähnlicher Weise informiert sind. Die GDPT ist keine obskure Gesetzgebung, die erst kommt und dann vergessen wird, und sie kann nicht der IT-Abteilung als deren Aufgabe zugeschoben werden. Risikomanager sollten erklären, dass Datensicherheit eine unternehmensweite Verantwortung ist. Und es könnte auch eine Botschaft sein, die sich nicht nur auf die Aspekte der Bestrafung konzentriert. Der verantwortungsvolle Umgang mit personenbezogenen Daten ist eine positive Eigenschaft und die Einführung strengerer Verfahren, falls erforderlich, kann durchaus positiv sein. Viele würden zustimmen, dass das in der DSGVO geforderte „Recht auf Vergessenwerden“ voll und ganz gerechtfertigt ist und dass alle Kunden das Recht haben, zu wissen, dass ihre Daten auf Wunsch gelöscht werden, und zu erfahren, wie ein Unternehmen Daten verarbeitet. Es kann bedeuten, dass sich die Mitarbeiter daran gewöhnen müssen, gegebenenfalls umfassendere Prüfprotokolle zu führen, d.h. nachzuweisen, dass sie die Zustimmung des Kunden zur Verwendung seiner Daten eingeholt haben, aber dies ist ein solides Protokoll und so, wie jeder Kunde behandelt werden möchte. Wenn etwas schief geht, wie z.B. beim TalkTalk-Verstoß, entsteht ein schwerwiegender Imageschaden, den man nur schwer abschütteln kann. Die GDPR wird also nicht nur als Druckmittel gesehen, sondern es gibt auch eine positive Botschaft: Starke Datenschutzkontrollen sind gleichbedeutend mit einem besseren Kundenservice, und wenn Sie dies nutzen, haben Sie einen Wettbewerbsvorteil. Die Zeit ist kurz und die Details der DSGVO sind sehr detailliert, und diejenigen, die sie verbreiten, sind möglicherweise im Bereich Risikomanagement tätig. Darüber hinaus müssen sie sicherstellen, dass sie auch alle Outsourcing-Unternehmen erreichen, die Daten für ein Unternehmen verarbeiten. Starke Sicherheitssysteme sind eine Grundvoraussetzung, und immer mehr Unternehmen schließen eine Cyber-Haftpflichtversicherung ab, um ihren Schutz zu verstärken – aber das ist noch lange kein Ersatz für solide interne Kontrollen. Letztendlich sind eine gute Haushaltsführung und die Beherrschung des Risikos durch das menschliche Element von entscheidender Bedeutung.
Die Datenschutz-Grundverordnung (GDPR) steht vor der Tür, und auch wenn sie für viele nur noch wenig Bedeutung hat, ist sie ein weitreichendes neues Gesetz, das auf allen Ebenen eines Unternehmens ernst genommen werden muss. Nützliche Links: Versicherer müssen mit „hohen Geldstrafen“ rechnen, wenn sie das neue EU-Datenschutzgesetz nicht einhalten (Insurance Business, 26. Mai 2017) Vorbereitung auf die Allgemeine Datenschutzverordnung (GDPR) – 12 Schritte, die Sie jetzt unternehmen sollten (Information Commissioner’s Office)