Warum jedes Startup jetzt einen Compliance-Profi anheuern sollte
Die neue EU-Datenschutz-Grundverordnung (DSGVO) erweitert in weiten Teilen das europäische Datenschutzrecht und betrifft vor allem junge Unternehmen aus der Digitalwirtschaft. Damit es nicht zu einer Kernschmelze bei der Verpflichtung kommt, ist es bereits jetzt wichtig, sich mit den wesentlichen Änderungen zu beschäftigen.
Bei Nicht-Einhaltung der Richtlinie können neben den immensen Reputationsschäden erhebliche wirtschaftliche Einbußen für die betroffenen Unternehmen entstehen. So müssen ab Mai 2018 Unternehmen Bußgelder in Höhe von bis zu vier Prozent des weltweit erwirtschafteten Jahresumsatzes beziehungsweise bis zu 20 Millionen Euro Strafgeld zahlen, wenn sie die neuen Datenschutzregeln (EU-DS-GVO) verletzen.
Die neue Datenschutz-Grundverordnung erklärt
Unternehmen müssen Kunden künftig weitaus früher und detaillierter darüber informieren, dass sie die Daten dieser verarbeiten und lückenlos dokumentieren werden. Dies führt auf der einen Seite zu einem höheren administrativen Aufwand, erhöht aber auch den Datenschutz für die Bürger erheblich. Um dem bevorstehenden Wandel gerecht zu werden, planen derzeit mehr als 70,5 Prozent der CEOs die Investitionen im Bereich Cybersecurity und Datenschutz zu erhöhen.
Die neue Datenschutz-Grundverordnung stellt ein wichtiges Gegengewicht zur allzu lockeren Transparenzkultur dar. Big Data ist das Gold unserer Zeit, doch muss dieses auch in einer adäquaten Form beschützt und überwacht werden. Deshalb ist „Privacy by Design“ das entscheidende Stichwort: Datenschutzfreundliche Voreinstellungen müssen quasi von Beginn an integraler Bestandteil im Designprozess zur Entwicklung datenschutzfreundlicher Systeme und Dienstleistungen sein. Der Bürger muss von der Sammelwut der Datenkraken geschützt werden.
Wie soll mit personenbezogenen Daten umgegangen werden?
Ob Webseite oder App – jedes Unternehmen, dass Daten verarbeitet, muss die DS-GVO einhalten und dafür sorgen, dass die Betroffenen der Verarbeitung der Daten zustimmen – unabhängig vom Ort der Niederlassung. Dies ist beispielsweise bei der Durchführung eines rechtskräftigen Vertrages der Fall. Diese muss freiwillig erteilt werden.
Eine versteckte Einwilligung durch Datenschutzerklärungen, wie auch Formulierungen wie „Durch das Anlegen eines Accounts willigen Sie ein, dass wir Ihre Angaben zu Marketingzwecken durch Partnerfirmen nutzen.“, sind in diesem Sinne nicht mehr gültig. Bei der Verarbeitung von biometrischen Daten oder Gesundheitsdaten müssen zusätzliche Sicherheitsanforderungen und Dokumentationspflichten erfüllt werden.
Cyberattacken auf dem Vormarsch
Auch die Risiken aus dem Cyberspace steigen stetig. Wie jüngst bekannt wurde, markierte die Hacker-Attacke auf Yahoo, bei der mehr als eine Milliarde Kundenkonten gehackt wurden, die bislang größte Cyberattacke in unserer Geschichte. Aber auch deutsche Unternehmen bleiben von den kriminellen Aktivitäten der Hacker nicht verschont. So wurden im letzten Jahr bis zu 900.000 Router der Deutschen Telekom attackiert, sodass diese bundesweit massenhaft ausfielen.
Der Fall wurde zwar vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bearbeitet, allerdings ohne einen klaren Urheber zu identifizieren. Mit diesem Paukenschlag der Skandale können wir nur darauf hoffen, dass das Bewusstsein für Cybersecurity steigt und sowohl Wirtschaft, als auch Politik mehr in Datensicherheit investieren.
Was Gründer jetzt tun müssen
Zunächst ist es wichtig, eine Bestandsaufnahme der Datenschutz- und Datensicherheitsorganisation durchführen zu lassen, um eine professionelle Einschätzung über die vorherrschende Situation zu erhalten. Um einen festen Ansprechpartner zu haben, sollte jedes Unternehmen einen Compliance-Verantwortlichen ernennen, der dafür sorgt, dass die sensiblen Daten stets den neusten Verordnungen gerecht werden. Außerdem ist es wichtig, insbesondere für Unternehmen und Startups, die personenbezogene Daten sammeln, die Geschäftsführung für das Ausmaß der Verordnung zu sensibilisieren und auf dem neusten Stand zu halten. So müssen Unternehmen nach der neuen Datenschutz-Grundverordnung etwa angeben, ob Daten in Drittländer außerhalb der EU übermittelt werden.
Der ernannte Compliance-Verantwortliche hat außerdem die Aufgabe, existierende Vorlagen, Prüflisten und Verträge zu überarbeiten. Unternehmen ab einer Größe von 250 Mitarbeitern sowie spezieller Datenverarbeitung, wie zum Beispiel aus dem Gesundheitsbereich, sind verpflichtet, Datenverarbeitungsverzeichnisse zu führen. Die Überprüfung der Verpflichtungen und Aufgabengebiete des Datenschutzbeauftragten kann entweder durch einen internen Mitarbeiter oder durch einen externe Beauftragten erfolgen. Wichtig ist nur, das er stets über die aktuelle rechtliche Lage Bescheid weiß und die Daten des Unternehmens im Überblick hat.
Liebes t3n-Team, lieber Autor, das gültige DSG in Deutschland beinhaltet die im Artikel genannten Regeln bereits (seit einigen Jahren). Insofern wäre ein Hinweis m. E. sinnvoll.