Wichtig: Artikel 83

Allgemeine Bedingungen für die Verhängung von Geldbußen

...und was Sie als Unternehmer entsprechend tun sollten!

 Warum gibt es die DSGVO überhaupt?

Eine der Beweggründe, der hinter der Idee der Europäischen Datenschutz-Grundverordnung steht, ist das Verhängen von wirksamen und abschreckenden Bußgeldern.

Denn damit sollen die "Großen" wie Facebook, Microsoft, Amazon und Google motiviert werden, die informationellen Grundrechte von Personen endlich zu respektieren und die ihnen anvertrauten Daten angemessen zu schützen.
Die Notwendigkeit ergibt sich aus den unzähligen Datenpannen und Datenskandalen, die wir regelmäßig aus den Medien entnehmen können.

Wichtig: Die DS-GVO gilt selbstverständlich für alle Unternehmen, eben auch die kleinen (und auch Vereine, Behörden,...).

In Absatz 1 von Artikel 83 wird die Idee der empfindlichen Strafzahlungen direkt deutlich:

Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen [...] in
jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

 Jeder Unternehmer ist auch Kunde und Verbraucher

So ärgerlich und aufwändig die neue Verordnung für Sie als Unternehmer vielleicht wirkt, auf der anderen Seite sind Sie sicher auch "Betroffener" und dürfen nun Ihre verbesserte Position gegenüber jenen Unternehmen einsetzen, wo Sie als Kunde registriert sind.

Es geht bei der DSGVO vornehmlich um den Schutz personenbezogene Daten - auch Ihrer Daten als Verbraucher.
Wenn Sie in die Vergangenheit blicken, finden Sie keinen längeren Zeitraum, in dem es nicht zu Datenpannen bei größeren Unternehmen oder gar staatlichen Stellen gekommen ist. Die Folge sind bestenfalls nur nervige Spam-Mails, die sich mit etwas Aufwand in den Griff bekommen lassen. Eine andere Qualität haben dahingegen sensible Finanz- oder Gesundheitsdaten in falschen Händen. 

 Sony: Wenn Unternehmen IT Sicherheit vernachlässigen

Ein gutes Beispiel (wenn auch schon älter), was passieren kann, wenn Firmen die IT-Sicherheit falsch priorisieren, liefert unfreiwilligerweise Sony mit einem Vorfall Ende 2014.  Der lesenswerte Artikel in der Zeit führt anschaulich vor Augen, dass neben einem kaum Vorhandenen Verständnis für die nötige Technik, ebenso die Bequemlichkeit der Anwender zu einem massiven Datenabfluss geführt hat.  Die dahinter stehende Mentalität ist nicht nur bei großen Konzernen verbreitet, sondern findet sich, gerade im Hinblick auf das Anwenderverhalten, auch im Mittelstand wieder. Siehe: http://www.zeit.de/digital/datenschutz/2014-12/sony-spe-hack-daten/komplettansicht

 Wichtige Auswirkungen für Unternehmen durch die DSGVO

Wenn wir das Beispiel mit Sony nochmal aufgreifen, kristallisiert sich direkt eine wesentliche Änderung im Zuge der Datenschutz Grundverordnung heraus. 
Bei diesem Vorfall ist der Konzern Opfer eines Hackerangriffs geworden.

Die DSGVO schafft hier eine entscheidende Rollenverschiebung

Nach der Neureglung ist Sony nicht Opfer, sondern Täter!
Opfer sind in diesem Falle dann die Betroffenen, deren personenbezogenen Daten abgegriffen wurden.  IT-Sicherheit nach Stand der Technik wird quasi Gesetz!
Mit anderen Worten: Das Unternehmen ist verantwortlich für den Schutz der Daten. Schwerwiegenden Pannen können hohe Bußgelder nach Artikel 83 durch die Aufsichtsbehörden nach sich ziehen.

Achtung: Unbenommen davon können auch noch zivilrechtliche Schadensersatzforderungen (Artikel 82) und behördliche Sanktionen (Artikel 84) hinzukommen.
Sie müssen als Verantwortlicher also insgesamt drei Risikoklassen beachten!

 Artikel 83: Handlungsempfehlungen herleiten

Als Unternehmer möchten Sie die Täterrolle und die in Kapitel VIII, Artikel 83 der Grundverordnung angedachten Bußgelder gerne vermeiden. Wenn Sie den "Bußgeldkatalog" dabei einfach invertieren, gewinnen Sie wertvolle Erkenntnisse zum Schutze Ihrer Firma. In Artikel 83 steht eindeutig und nachvollziehbar beschrieben, welche Anforderungen zu beachten sind.

Im Kern sind das Kapitel II (Grundsätze - in der Grafik blau umrandet), Kapitel III (Rechte der betroffenen Person - in der Grafik orange umrandet) und Kapitel IV (Verantwortlicher und Auftragsverarbeiter - in der Grafik grün umrandet).

 Kapitel II


Im Groben steht in Kapitel II (Grundsätze), Artikel 5 das drin, worum es geht:

Die Verarbeitung personenbezogener Daten muss

  • rechtmäßig, verhältnismäßig, transparent, zweckgebunden, datensparsam, richtig, befristet und geschützt sein.

Hintergrund: Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können.

Die DSGVO setzt den Schutz personenbezogene Daten also sehr hoch an und legt den Unternehmen dazu die Nachweispflicht auf, dass die genannten Prinzipien eingehalten werden. Das zieht die oben genannte Rollenverschiebung nach sich und ist eine der wesentlichen Neuerungen, die die Grundverordnung mit sich bringt.

 Kapitel III


Kapitel III (Rechte der betroffenen Person) beschreibt die Grundsätze aus Verbrauchersicht.

Im wesentlichen sind das die Rechte auf

  • Auskunft, Berichtigung und Löschung sowie Datenübertragbarkeit.

 Kapitel IV


Kapitel IV (Verantwortlicher und Auftragsverarbeiter) zeigt auf, was Unternehmen dafür umsetzen müssen.

Zunächst werden allgemeinen Pflichten wie die Beschreibung von Verantwortlichkeiten und der Verarbeitung im Auftrag im Hinblick auf die Dokumentation von Verarbeitungstätigkeiten aufgeführt.
Weiterhin gibt es die Vorgabe, Datenschutz quasi voreingestellt bei der Entwicklung oder Anschaffung neuer Systeme zu berücksichtigen sowie abzuschätzen, ob ein hohes Risiko für die Personenrechte besteht.
Dazu kommt eine Fokussierung auf die Sicherheit personenbezogener Daten.

 

  To Do

Was bedeutet das nun - vereinfacht und verallgemeinert?

  • Analysieren der Verarbeitungstätigkeiten
    Wo und durch welche Systeme laufen personenbezogene Daten von Kunden, Mitarbeitern und Partnern?
    -> Das dokumentieren Sie im Verzeichnis der Verarbeitungstätigkeiten (VVT).
  • Beschreiben der Absicherung
    Wie schützen Sie durch technische und organisatorische Maßnahmen (TOM) die Ihnen anvertrauten Daten?
    -> Das dokumentieren Sie durch das Beschreiben der ebensolchen Maßnahmen.
  • Informationspflichten und Transparenz
    Wie informieren Sie Ihre Kunden, Mitarbeiter und Partner über die Verarbeitung ihrer Daten?
    -> Das erledigen Sie z. B. durch Online-Dokumente sowie Aushänge und Flyer.
  • Verträge Auftragsverarbeitung Ein<>Aus
    Wie verwalten Sie Ihre Verträge als und/oder mit Auftragsverarbeiter(n)?
    -> Je nach Größenordnung kommen hier verschiedene Lösungen in Betracht.
  • Datenschutz Schulung, Sensibilisierung und Verpflichtung auf den Datenschutz
    Wie stellen Sie Ihre Mitarbeiter auf die Herausforderungen zum Datenschutz ein?
    -> Regelmäßige Schulungen sind ein Muss und eine schriftliche Verpflichtung  schafft ein Bewußtsein.
  • Verhaltensregeln zum Datenschutz / (IT-) Richtlinien
    Wie vermitteln Sie verbindliche Regeln für Ihre Mitarbeiter?
    -> Das erreichen Sie mit klar ausformulierten Richtlinien.
  • Prozesse: Anfragen auf Auskunft, Datenschutzpannen und neue Verfahren (Privacy By Design/Default; DSFA)
    Wie stellen Sie sicher, dass Datenschutzthemen im Unternehmen zeitnah und korrekt behandelt werden?
    -> Sorgen Sie für klare Zuständigkeiten und definierte Workflows!

 Idee

Der Ansatz, über den Artikel 83 der DS-GVO compliant zu werden, ist eine Idee, die über Priorisierungen zum Ziel führt.
Wenn Sie mögen, ist das Büro für Datenschutz Ihr Begleiter und unterstützt Sie dabei, die Anforderungen und To Dos der DSGVO zu erfüllen..
Nehmen Sie gerne Kontakt auf!