Datenschutz: Compliance-Herausforderungen mit Einführung der Europäischen Datenschutzgrundverordnung (Gastbeitrag)
Am 25. Mai 2018 sind die Europäische Datenschutzgrundverordnung (DSGVO) und die Datenschutzrichtlinie für Polizei und Justiz (DSRL Pol/Jus) sowie das neue deutsche Bundesdatenschutzgesetz (BDSG-neu) in Kraft getreten. Damit gelten für den Datenschutz nicht nur eine Reihe neuer Bestimmungen, sondern es drohen bei Verletzung auch Sanktionsfolgen bis hin zu möglichen strafrechtlichen Sanktionen.
Unterschätzung des Niveaus der Vorbereitung
Wie das Digital Forensics Magazin in einem Blogbeitrag am 23. Januar 2018 mit Bezug auf eine neue Studie des Unternehmens für Datensicherheit Clearswift berichtet, bestehen insbesondere in den Führungsetagen häufig Illusionen über den Stand der Vorbereitung ihrer Unternehmen auf die Herausforderungen und damit eine Unterschätzung der bei Nichterfüllung eintretenden Risiken in Gestalt z.T. erheblicher finanzieller Sanktionen oder gar strafrechtlicher Folgen.
Clearswift hatte hunderte von Führungskräften und Angestellten in Unternehmen im Vereinigten Königreich, den USA, Deutschland und Australien befragt. Während rund 40% der Top-Manager glauben, ihre Unternehmen seinen vollständig auf die Einführung der DSGVO vorbereitet, teilen nur 20-25% der mittleren und unteren Beschäftigtenebene diese positive Einschätzung des Umgangs mit elektronischen personenbezogenen Daten in ihren Firmen.
Graduelle Unterschiede bei der Einschätzung des Standes der Vorbereitung zu Teilfragen der DSGVO etwa zum Recht auf Vergessen, Duplizieren von Kunden-/Mandantendaten und Kopieren von Unternehmensdaten von betrieblichen auf persönliche Computer, innerbetrieblicher Datenaustausch und das Ausfiltern von Daten ändern nichts an dieser generellen Einschätzung.
Risiken bei Nichterfüllung
Vor diesem Hintergrund befürchten Datenschutzexperten eine Welle von Abmahnungen oder sogar Strafverfolgung. So setzt sich offenbar die Auffassung des sächsischen Datenschutzbeauftragten Andreas Schurig zum Erfordernis der Verschlüsselung von E-Mails von Berufsgeheimnisträgern zunehmend durch (siehe Zeitschrift für Datenschutz, 1/2018, ZD Fokus, S. XXIII; datenschutbeauftragter-info.de). Unverschlüsselte E-Mails sind technisch relativ einfach von Jedermann einzusehen (mit dem Versenden einer Postkarte vergleichbar). Die unverschlüsselte Versendung von E-Mails mit Personendaten entspricht damit nicht länger den Datenschutzerfordernissen. Bei Berufsgeheimnisträgern verstößt nach dieser Ansicht eine unverschlüsselte E-Mail mit datenschutzrechtlich sensiblen Daten potenziell gegen § 203 Abs. 1 StGB (Verletzung durch unbefugte Offenbarung von Geheimnissen). Anwälte und Versandapotheken werden hier als möglicherweise betroffener Kreis von Geheimnisträgern genannt.
Datenmanagement überarbeiten
Das Beispiel zeigt auch, dass der Zwang zur Überprüfung des Datenmanagements in Unternehmen im Zuge des Inkrafttretens der DSGVO nicht nur auf Großunternehmen zukommt, sondern substanziell auch kleine und mittlere Unternehmen (KMU) betrifft.
Die Zeit der Vorbereitung läuft aus. Unternehmen sind gut beraten, sich über den eigenen Stand der Vorbereitung auf die Umsetzung des DSGVO z.B. durch interne Untersuchungen zu informieren, um die entsprechenden Anpassungsschritte vorzunehmen. Das allein kann im Falle von Auseinandersetzungen um die Erfüllung der DSGVO Sanktionen vermeiden oder erheblich mildern.
Dost-Roxin & Partner unterstützt Unternehmen bei der internen Analyse zum Stand der Compliance mit der DSGVO.