Falsche Ansprechpartner, falsche Annahmen, falsche Schlussfolgerungen: Bei der Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) unterlaufen Unternehmen weiterhin gravierende Fehler. Nach Beobachtung des Unternehmens ER Secure, das mehr als 2.300 Unternehmen betreut, handelt es sich um eine Mischung aus mangelndem Wissen und Ressourcenproblemen.
Fehler 1: Falsche Personalpolitik
„Beim Thema DSGVO tappen gerade kleinere Unternehmen in eine ähnliche Falle wie Unternehmen bei der Umsetzung der Compliance-Richtlinien vor 10 bis 15 Jahren“, sagt Datenschutzexperte René Rautenberg von ER Secure. Damals hatte man in den Abteilungen von IT bis BWL das Thema bevorzugt an Mitarbeiter delegiert, die gerade verfügbar gewesen sind. Ein Fehler, den besonders kleinere Unternehmen begehen, die keine personellen Ressourcen haben. Rautenberg: „Wer die DSGVO vom erstbesten verfügbaren Personal umsetzen lässt, provoziert nicht nur zeitintensive Nachfragen und Schleifen, sondern schlimmstenfalls teure Regelverstöße. Vor allem aber vergeben Unternehmen die Chance, bei diesem zugleich strategischen Thema auch Wertemaßstäbe zu transportieren. DSGVO kann für das einzelne Unternehmen nach Innen und Außen bedeuten: Wir wissen um den Wert von Datenschutz und gehen aus Prinzip sorgsam damit um.“
Fehler 2: Fehleinschätzungen
Noch immer gibt es laut ER Sercure gravierende Wissenslücken rund um die neue Datenschutz-Grundverordnung, die am 25. Mai 2018 in Kraft getreten ist. „Viele Unternehmen wissen nicht, für welche Fälle sie eine Einwilligung brauchen und wann es ein Kopplungsverbot gibt. Rund neun von zehn Einwilligungen, die wir prüfen, sind fehlerhaft“, erklärt Rautenberg. Eine andere Fehleinschätzung: Unternehmen reduzieren die DSGVO auf digitale Prozesse oder sind der Meinung, dass eine Mitarbeiterschulung oder ein externer Datenschutzbeauftragter reichen. „Wieder andere wähnen sich in Sicherheit, weil bisher noch keine Bußgelder verhängt worden sind“, erklärt Experte Rautenberg. Dabei betrifft die DSGVO auch analoge Unternehmensbereiche bis zum Gebäudemanagement und ist mehr als eine Dokumentationsaufgabe. Die gröbste Fehleinschätzung sei jedoch, die DSGVO ignorieren zu können.
Fehler 3: Unterschätzte Rechte und Pflichten durch Auftragsdatenverarbeitung
Gerade kleinere Mittelständler sind der Meinung, dass die DSGVO nur interne Prozesse abbildet. Allerdings müssen Unternehmen vollumfänglich einen regelkonformen Datenschutz garantieren. „Bis heute ist einigen nicht bewusst, dass sie sämtliche Dienstleister ebenfalls in die Pflicht nehmen müssen, da sie für deren Fehler haften. Wie schnell das passieren kann, haben jüngste Datenpannen bei Hosting-Dienstleistern oder Mailanbietern gezeigt“, erklärt Rautenberg. Eine saubere Auftragsdatenverarbeitung befreit ein Unternehmen als Auftraggeber nicht von den Pflichten. Vielmehr fixiert sie, dass der Auftraggeber den Auftragnehmer so ausgewählt hat, dass dieser eine sichere Datenverarbeitung gewährleistet“, erklärt Rautenberg. Allerdings sollte zuvor geklärt werden, in welchen Fällen überhaupt ein Vertrag abgeschlossen werden muss. Auch beim Thema Informationspflichten kommt es zu Fehlern, etwa bei den Angaben zur rechtlichen Grundlage oder bei Festlegung und Angaben zu den Aufbewahrungsfristen.