Digital immer auf der sicheren Seite

Mit Verabschiedung der DSGVO auf EU-Ebene hat sich der Umgang mit personenbezogenen Daten wie Namen, Adressen und Einkaufshistorien nachhaltig verändert. Wo vor ihrem Inkrafttreten jeder Mitgliedsstaat in Eigenregie den Datenschutz mehr oder weniger gewissenhaft durchsetzte und nur eine EU-Richtlinie eine gewisse Harmonisierung brachte, beschreibt nun in der gesamten Europäischen Union eine einheitliche Gesetzgebung die Grundsätze und Verpflichtungen von Unternehmen im Bereich Datenschutz. Gleichzeitig nimmt die Menge an tagtäglich generierten Daten und die Anzahl der Nutzer immer weiter zu. Die rasant fortschreitende Digitalisierung und Vernetzung von automatisierten Arbeitsprozessen stellt moderne Unternehmen vor immer komplexere Aufgaben bezüglich ihrer Datenhaltung und vor allem der Bewältigung der vielfältigen juristischen Anforderungen.

Von Strafen und Belohnungen

Datenschutz auf die leichte Schulter zu nehmen, kann erhebliche finanzielle Konsequenzen für Firmen nach sich ziehen. Was früher als Kavaliersdelikt galt, wird heute als eine ernste Verletzung der Persönlichkeitsrechte europäischer Bürger gewertet. So sieht die DSGVO je nach Schweregrad des Verstoßes eine Strafe von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor – je nachdem, welcher der beiden Werte sich als höher herausstellt. Hierbei handelt es sich um Summen, die jedes Geschäft in seiner Existenz gefährden können. All dies klingt düster. Der damit verbundene technische und personelle Mehraufwand lohnt sich jedoch über die Vermeidung von Bußgeldern hinaus. Unternehmen, die transparent und verantwortungsbewusst mit den Informationen ihrer Kunden umgehen, genießen zunehmend hohes Ansehen bei einer Bevölkerung, die durch Skandale wie Cambridge Analytica mittlerweile bezüglich der Verwendung ihrer Daten sensibel geworden ist. Dies schlägt sich in ihrem Kaufverhalten nieder, wobei sie zunehmend lieber mit vertrauenswürdigen Unternehmen handeln.

Evergreens beachten

Bei der praktischen Umsetzung von komplexen Rechtsverordnungen wie der DSGVO treten eine Vielzahl von möglichen Problemen auf: So nutzen viele Unternehmen Google Analytics, Kartenausschnitte von Google Maps und integrieren Social-Media-Plug-ins, um Informationen über das Verhalten ihrer Websitebesucher zu erhalten. Dafür werden zwangsweise personenbezogene Daten verarbeitet, weil diese Tools sich im Hintergrund mit den jeweiligen Anbietern austauschen. Geschieht dies ohne explizite Einwilligung der Nutzer, handelt es sich hierbei um einen Rechtsbruch. Auch Cookie-Banner stellen sich oft als verbesserungswürdig heraus: Sie benötigen für rechtliche Korrektheit die ausgewiesene Möglichkeit, das Erstellen abzulehnen – eine reine Information reicht nicht aus. Zu den häufigsten Komplikationen kommt es jedoch bei der Datenschutzerklärung. Viele verlassen sich auf im Internet auffindbare Generatoren, die oftmals nur generische Formulierungen erschaffen, welche sich auf das individuelle Unternehmen nicht anwenden lassen. Gleiches gilt für die Erstellung des Impressums, das jedes Geschäft verpflichtend auf seiner Homepage aufführen muss. Hier liefern viele Businesswebsites nicht alle geforderten Informationen. Die Liste ließe sich beliebig weiterführen, wobei sich zeigt: Es gibt vieles zu beachten, doch wie lassen sich Fehler vermeiden?

Keine Raketenforschung, sondern eine Verantwortungsfrage

Zwar können sich Schutzkonzepte je nach der Art der zu erhebenden Daten und der entsprechenden Verarbeitungsmethode unterscheiden, jedoch existieren allgemeingültige Ansätze, die grundsätzlich ein höheres Datenschutzniveau gewährleisten. So lassen sich komplexe Sachverhalte am effizientesten verwalten und Prozesse am besten etablieren, wenn eine verantwortliche Person den Überblick behält. Es ist zwar erst ab zehn Mitarbeitern gesetzlich verpflichtend, einen betrieblichen Datenschutzbeauftragten zu benennen, doch auch kleinere Unternehmen profitieren von ihm. Zu seinem Aufgabenbereich zählen die Überwachung der getroffenen Schutzmaßnahmen, deren Dokumentation und das Fungieren als Ansprechpartner für Mitarbeiter.

Einer seiner ersten Schritte wird das Aufsetzen eines rechtskonformen Verarbeitungsverzeichnisses darstellen, welches nach Artikel 30 der DSGVO zur Pflicht gehört. Jede Nutzung von Kundendaten bedarf einer detaillierten Erfassung, inklusive des Zwecks, der Mittel der Erhebung und der angewendeten Sicherheitsmaßnahmen. Ein solches Verzeichnis muss konstant geführt werden, denn bei einer Datenschutzbeschwerde fordern Behörden gerne dieses Dokument an, um sich einen ersten Eindruck zu verschaffen – auch von der Professionalität des Unternehmens im Datenschutz. Mit dem Verfahrensverzeichnis lassen sich auch Löcher im Konzept finden, Betroffenenanfragen schnell beantworten und die regelmäßige Kontrolle von Verträgen mit Auftragnehmern bewerkstelligen. Und nicht zuletzt hilft diese Erfassung dem Unternehmen auch dabei, sich kontinuierlich essenzielle Fragen zu stellen: Ist die Verarbeitung von Namen und Adressen im konkreten Fall wirklich notwendig? Erfüllen sie einen nachvollziehbaren Zweck?

Denn am Ende gilt: Daten, die gar nicht erhoben wurden, können auch nicht aus Versehen missbraucht oder verloren werden. Neben der Datensparsamkeit erweist sich jedoch in der Praxis die sorgfältige und nachhaltige Schulung und Sensibilisierung der Mitarbeiter als wirksamste Waffe für mehr Datenschutz: Wer weiß, was er tut, dem fällt es erheblich leichter, die komplexen Anforderungen und hohen Standards der DSGVO angemessen umzusetzen und sich damit vor unliebsamen Überraschungen zu schützen.