Der Count­down für die DSGVO läuft

Im Frühjahr 2016 hat das Europäische Parlament die Datenschutz-Grundverordnung (DSGVO) auf den Weg gebracht. Betroffenen Unternehmen wurde zwei Jahre Zeit eingeräumt, um die neuen Regelungen umzusetzen. Ab dem 25. Mai 2018 ist die DSGVO beziehungsweise GDPR (General Data Protection Regulation), wie sie international genannt wird, in der Europäischen Union anzuwenden. Aber immer noch sind einige Firmen nur unzureichend auf die teils gravierenden Änderungen beim Datenschutz vorbereitet. Sie haben nicht nur Schwierigkeiten beim Auffinden und Klassifizieren der von ihnen gespeicherten Daten, nicht selten sind sie sich auch nicht darüber im Klaren, was sich zum Beispiel beim Umgang mit den eigenen Mitarbeitern ändert. Diese erhalten nämlich künftig erweiterte Rechte, um etwa zu erfahren, was ihr Arbeitgeber mit ihren Daten macht.

„Vielen ist nicht klar, worum es bei der Erfüllung der Anforderungen der DSGVO geht“, kommentiert Gerhard Unger, Regional Director DACH bei Bizagi. Das Unternehmen ist auf Software zur Automatisierung von Prozessen im Bereich Business Process Management (BPM) spezialisiert. Laut Unger geht es bei der Umsetzung der DSGVO im Kern um „digitalisierte und automatisierte Prozesse, die sicherstellen und dokumentieren, dass die Erhebung und Verarbeitung von Kundendaten in jedem Fall und ohne Ausnahme DSGVO-konform ablaufen“. Um dieses Ziel zu erfüllen, sind seiner Ansicht nach mehrere Artikel der DSGVO besonders relevant. So schreibe etwa der Abschnitt von Artikel 13 bis 15 vor, dass Unternehmen der Informationspflicht gegenüber ihren Kunden nachkommen müssen. Artikel 35 gebe vor, dass sie „für jedes System, für jeden Server und für jede Anwendung die Verarbeitungstätigkeiten verzeichnen“ müssen. Das Ganze wird noch zusätzlich erschwert, weil sie laut Artikel 33 nur 72 Stunden Zeit haben, die zuständigen Aufsichtsbehörden „über eine Verletzung des Schutzes personenbezogener Daten zu informieren“.

Werden diese Vorgaben nicht erfüllt, dann drohen empfindliche Strafen. Beispielsweise können nach Aussage von Tim Wybitul, Fachanwalt für Arbeitsrecht in der Kanzlei Hogan Lovells in Frankfurt, bei Nichteinhaltung der Bestimmungen Bußgelder von bis zu 4 Prozent des weltweiten Jahresumsatzes erhoben werden. Aber auch „für Vorgesetzte, Datenschutzbeauftragte oder andere für den Umgang mit Informationen verantwortliche Entscheidungsträger drohen Geldbußen von bis zu 20 Millionen Euro“, schreibt Wybitul in einem Beitrag für die „Frankfurter Allgemeine Zeitung“. Dazu kämen eventuelle Schadenersatzforderungen sowie mög­licherweise Kosten, die durch „immaterielle Schäden“ entstünden.