Wie verhindern Sie eine GDPR-Geldbuße?

Die neue General Data Protection Regulation (GDPR) sieht sehr hohe Geldbußen für Organisationen vor, die unsorgfältig mit Personendaten umgehen. Welche wesentlichen Maßnahmen können Sie direkt ergreifen, um eine solche Geldbuße zu verhindern?

Am 25. Mai 2018 trat die GDPR (General Data Protection Regulation), in Deutschland auch Datenschutz-Grundverordnung genannt, in Kraft. Die neuen Datenschutzauflagen sorgen bei immer mehr Organisationen für Bestürzung. Das Gesetz bringt eine große Zahl von Anforderungen und Verpflichtungen mit sich und sieht außerdem hohe Geldbußen für Organisationen vor, die es nicht rechtzeitig schaffen, diese zu erfüllen.

Ans Duthler von Duthler Associates berät Unternehmen unter anderem in diesem Bereich. Einer der ersten Ratschläge, die sie Kunden gibt, lautet, die neue Gesetzgebung vor allem nicht als ärgerliche Verpflichtung zu betrachten. Die GDPR ist nämlich vor allem eine Chance, um den eigenen Datenhaushalt richtig in Ordnung zu bringen. So stellen Sie die Interessen und Datenschutzrechte des Kunden, Bürgers oder Patienten noch nachdrücklicher in den Mittelpunkt der Organisation..

Einstellung des Wegbereiters

Ein wichtiger erster Schritt in dieser Verfahrensweise ist laut Duthler die Einstellung oder Ernennung eines Datenschutzbeauftragten, auf Englisch heißt dieser Data Protection Officer (DPO). Als Wegbereiter kann dieser die Aufsicht über die Einhaltung des neuen Gesetzes übernehmen. Er sorgt für die Zusammensetzung und die Entfaltung der benötigten Streckenkarte. Kleine Organisationen können hierzu selbstständig oder im Gruppenverband, beispielsweise über einen Berufsverband, einen externen Berater verpflichten.

Wichtiges Thema innerhalb der GDPR ist accountability (Verantwortung). Organisationen müssen genau aufzeigen können, welche Personendaten sie zu welchem Zweck speichern. Dies erfordert das Erstellen einer detaillierten Datenschutzbuchhaltung, in der alle auf die GDPR zurückzuführenden Entscheidungen innerhalb der Organisation festgelegt werden. Guter Anfangspunkt dieser Verwaltung ist eine detaillierte ‚Bestandsaufnahme’ der aktuellen Lage der Dinge.

Bestandsaufnahme als Ausgangspunkt

Nur wenige Organisationen wissen genau, welche Personendaten sie sammeln, wo sie diese speichern und mit wem sie diese teilen. Dazu kommt noch, dass die Organisation nachweisen muss, dass die Verwendung dieser Daten wirklich notwendig ist. Sehr wahrscheinlich führt diese Bestandsaufnahme auch zu einer erheblichen Zahl konkreter Aktionspunkte, mit denen der Wegbereiter direkt an die Arbeit gehen kann. 

Eine Bestandsaufnahme ist auch ein guter Anfangspunkt für den erforderlichen Bewusstwerdungsprozess unter den eigenen Mitarbeitern (und dazu gehört also auch die Geschäftsführung!). Mit jeder neuen Aktion, bei der Personendaten eine Rolle spielen, müssen sie sich selbst automatisch einige kritische Fragen stellen. Um dieses Bewusstsein innerhalb der Organisation zu fördern, kann ein Wegbereiter entweder Workshops oder Webinare organisieren - oder beispielsweise unterstützende Datenschutzhilfsmittel einsetzen.

Nie hundertprozentig GDPR-konform

Auch diese Maßnahmen geraten selbstverständlich in die neue Datenschutzbuchhaltung. Mit Blick auf den breiten Umfang der neuen GDPR-Gesetzgebung und die Beteiligung des Menschen als nicht vorhersahbaren Faktor ist die ‚100% GDPR-konforme’-Organisation eine Utopie. Aber die Organisation, die beweisen kann, dass es ernsthaft versucht worden ist, die gesetzlichen Verpflichtungen zu erfüllen, kann laut Frau Duthler davon ausgehen, dass ein Datenleck nicht zu einer hohen Geldbuße führt.

Die Angst vor einer Geldbuße ist also nicht der wichtigste Grund, weshalb Sie das neue Gesetz begrüßen sollten. Datenschutz ist für den Kunden, Bürger oder Patienten eine immer wichtigere Sache. Organisationen, die ihnen das Gefühl geben, dass ihre sensiblen persönlichen Daten sich in guten Händen befinden, heben sich in Zukunft von der Konkurrenz ab. So bietet das neue Gesetz Organisationen also eine schöne Chance, um sich als zuverlässig und kundenorientiert von anderen Unternehmen zu unterscheiden.   

Fangen Sie deshalb möglichst zeitnah mit der Bestandsaufnahme an, bestimmen Sie Ihre Aktionspunkte und gehen Sie auf die Suche nach unterstützender Software, die Ihnen hilft, möglichst effektiv an die Arbeit zu gehen. Sollte unverhofft doch etwas schiefgehen, können Sie direkt nachweisen, dass Sie solide Maßnahmen getroffen haben, um ein Datenleck zu verhindern und die eventuellen Konsequenzen  zu begrenzen.

Ähnliche Blogs

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Probefahrt mit neuer Software

Wenn man ein Produkt zur langfristigen Anwendung einkauft, erprobt man es am besten vorab und in der tatsächlichen Nutzung. Dieses Prinzip gilt nicht nur beim Autokauf, sondern auch beim Einführen einer neuen Software. In diesem Kontext bezeichnet man die Probefahrt - wie üblich im IT-Englisch - als „Proof of Concept”. Dieser vorangestellte Probelauf in der eigenen […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen