1. Jeder muss Datenschutz einhalten Unabhängig von der Größe des Unternehmens. Wer mehr als 20 Mitarbeiter hat, die regelmäßig mit der Verarbeitung personenbezogener Daten in Berührung kommen, oder sensible personenbezogene Daten verarbeitet, muss einen Datenschutzbeauftragten (DSB) bestellen. Nur weil ein Unternehmen keinen DSB bestellen muss, bedeutet das jedoch nicht, dass die Datenschutzgrundverordnung (DSGVO) im Unternehmen nicht angewendet werden muss.
2. Betriebliche Datenschutzbeauftragte sind unkündbar Ein Arbeitnehmer, der als interner oder externer DSB angestellt ist, hat seit dem 01.09.2009 Kündigungsschutz. Er kann erst ein Jahr nach Ende seiner Tätigkeit als DSB gekündigt werden, außer eine weitere Zusammenarbeit ist nicht weiter zumutbar. Der Widerruf eines internen DSB ist nur möglich, wenn der Mitarbeiter die Funktion nicht mehr ausüben möchte, oder er einen wichtigen Grund liefert. Dies kann im Extremfall zu einer praktischen Unkündbarkeit in beiden Fällen führen.
3. Imageverlust durch Datenskandal Mit der Einführung der DSGVO zog auch die Meldepflicht bei Datenpannen ein. Laut Art. 33 DSGVO ist der Verantwortliche dazu verpflichtet, eine Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden an die verantwortliche Aufsichtsbehörde zu melden.Durch diese „Präsentation“ eines Datenlecks kann das Image eines Unternehmens beträchtlichen Schaden nehmen. Dieser zusätzliche Druck hilft dabei, dass Unternehmen das Thema ernst nehmen.
4. Strafen und Bußgelder Doch nicht nur eine drohende Imagepleite soll Unternehmen dazu bringen, sich mehr mit dem Thema Datenschutz auseinanderzusetzen, auch die neuen Bußgeldrahmen haben es in sich. Bei besonders gravierenden Verstößen werden Bußgelder in einer Höhe von bis zu 20 Millionen Euro, oder, im Falle eines Unternehmens, bis zu 4% des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Wert höher ist.Bei weniger gravierenden Verstößen beträgt das Bußgeld noch immer bis zu 10 Millionen Euro bzw. 2% des Jahresumsatzes.
5. Rechte der Betroffenen Betroffene Personen haben seit Inkrafttreten der DSGVO das Recht darauf zu erfahren, welche personenbezogenen Daten warum über sie gespeichert werden (Diese müssen in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden) und können deren unverzügliche Löschung fordern (außer, die Daten müssen aus rechtlichen Gründen aufbewahrt werden.). Außerdem können Betroffene eine Zustimmung (z.B. Newsletter Bestellung) jederzeit widerrufen, bzw. eine Berichtigung fordern, sollten die Daten falsch aufgenommen worden sein.
6. Rechenschaftspflicht Der Verantwortliche, der die personenbezogenen Daten verarbeitet ist dafür verantwortlich nachzuweisen, dass er die Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO) einhält. Er unterliegt damit der Rechenschaftspflicht.
7. Minimalismus Die DSGVO schreibt vor, dass Daten nur in der Menge verarbeitet werden dürfen, die für den Zweck angemessen ist. Das bedeutet z.B., dass für die Abarbeitung einer Bestellung nur die Kontaktinformationen des Ansprechpartners sowie seine Anschrift notwendig sind, nicht jedoch sein Geburtsdatum.
8. Datenschutz als Marketingmittel nutzen Aktuell verhängte Bußgelder können hier eingesehen werden: https://www.enforcementtracker.com/
9. IT-Verfügbarkeitsplanung und IT-Sicherheit Ein funktionierendes Datenschutzmanagement ist eine ideale Vorbereitung für IT-Verfügbarkeitsplanung und IT-Sicherheit.
10. Kein Datenschutz ohne Datensicherheit Je weiter Ihr Unternehmen bereits bei der IT-Sicherheit ist, umso höher ist die Wahrscheinlichkeit, dass für den konkreten Datenschutz nur noch geringe Aufwendungen notwendig sind.