Die DSGVO feierte Geburtstag – doch die große Party fiel aus
Die DSGVO feierte Geburtstag – doch die große Party fiel aus
Viel wurde über die DSGVO geschrieben. Es wurde und wird geschimpft. Kurzum, es gibt -wie es sich gehört- Pro und Contra, aber auch etwas Wichtiges:
Der Schutz personenbezogener Daten
Für Unternehmen bedeutete die Umstellung seinerzeit einen Paradigmenwechsel. Auch wenn sie sich bereits vor dem 25. Mai 2018 datenschutzkonform verhalten sollten, war der Schmerz bei Datenschutzverstößen für Unternehmen früher nicht so groß wie heute. Drastische Sanktionen mussten sie weniger fürchten, Ansprüche von Betroffenen ebenso wenig. Das hat sich mit der DSGVO geändert. Auch das Risiko zivilrechtlicher Klagen, insbesondere auf Schadenersatz nach Artikel 82 DSGVO nach einem Datenschutzverstoß, ist um ein Vielfaches heute höher als früher. Hinzu kommt meist ein erheblicher Reputationsschaden.
Von Umsetzungsprojekten zur Privacy-Konformität: Blickt man auf die letzten fünf Jahre zurück, sind viele Unternehmen aus einem datenschutzrechtlichen Tiefschlaf erwacht. Viele Unternehmen mussten größere Umsetzungsprojekte vornehmen, um ein Grundniveau an DSGVO-Konformität zu erreichen. Trotz aller Anstrengungen gehört zur Wahrheit: vollständig verhindern lassen sich Datenschutzvorfälle nicht, zumal die Umsetzung von Maßnahmen und deren Priorisierung stets auch von wirtschaftlichen Erwägungen beeinflusst wird. Allerdings ist das Risiko, Opfer einer Cyber-Attacke zu werden, aktuell größer denn je, und hier sind meist nicht nur personenbezogene Daten betroffen – von daher sind angemessene Gegenmaßnahmen (die sogenannten „technischen und organisatorischen Maßnahmen“ (TOM)) obligatorisch.
Allerdings stellt auch ein fahrlässiger Umgang mit der Beantwortung von Betroffenenanfragen oder ein zu lascher Umgang mit Löschfristen („Recht auf Vergessenwerden“) ein wirtschaftliches Risiko für das Unternehmen dar. Eine gute Datenschutzorganisation ist das A und O und hilft dabei, die Anforderungen effizient zu erfüllen. Ein besonderes Augenmerk sollte dabei auf der Nachweisbarkeit der Maßnahmen liegen. Insbesondere Unternehmen, deren Geschäftsmodell stark auf der Verarbeitung von Daten basiert, laufen bei einem Datenschutzvorfall Gefahr, das Ziel von Klagen zu werden. Kann jedoch nachgewiesen werden, dass grundsätzlich angemessene Prozesse und Maßnahmen eingerichtet sind, trägt dies zu einer Enthaftung der Geschäftsführung bei.
Be prepared! - Bei der Umsetzung der datenschutzrechtlichen Anforderungen stehen wir Ihnen mit unserer umfassenden Datenschutzexpertise sowie verschiedener Kompetenzen unseres BDO-Netzwerks zur Seite. Für weitere Informationen kontaktieren Sie unsere Datenschutz-Experten: Datenschutzaudit: Prüfung Datenschutz (bdo.de)