In unserem ersten Beitrag zur DSGVO (Teil1.: Warum gibt es überhaupt die DSGVO?), haben wir die Motivation der Politik beleuchtet, den Datenschutz neu zu definieren. Unser Fazit: Primär wollen die europäischen Datenschützer große Internet-Konzerne mit der neuen Regelung in die Pflicht nehmen. Auch sind damit die auf dem Papier hohen möglichen Strafen zu erklären. Maximal können bei Verstoß gegen die neuen Datenschutzbestimmungen bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes als Strafe geltend gemacht werden — je nachdem, welche Wert höher ist. Kein Wunder also, dass bei derart abschreckenden Bußgeldern sich im Vorfeld der DSGVO Panik bei vielen Unternehmen breitmachte. Die ist in vielen Fällen aber unberechtigt, denn viele Richtlinien innerhalb der DSGVO sind im Grundsatz nicht viel anders als bisher unter dem deutschen Bundesdatenschutzgesetz (BDSG a.F.). Wenn ein Unternehmen sich also bislang schon um eine korrekte Umsetzung des Datenschutzes bemüht hat, dürfte es trotz der hohen Sanktionen auch in Zukunft nicht viel zu befürchten haben.
Trotzdem müssen alle Unternehmen, egal welcher Größe, ihre Datenschutzbestimmungen anpassen, sofern sie personenbezogen Daten verarbeiten. Dazu reicht es schon aus, Kunden- oder Mitarbeiterdaten zu erfassen und zu speichern. Leider gibt es keinen Generallösung, die für alle Unternehmen gilt. Vielmehr ist der richtige Text der Datenschutzerklärung davon abhängig, welche personenbezogenen Daten erhoben und wie diese verarbeitet werden. Auch die Branche, in der das jeweilige Unternehmen tätig ist, hat Einfluss auf die Ausgestaltung einer rechtssicheren Datenschutzerklärung. Tipp: Viele Branchenverbände haben spezielle auf ihr Geschäftsfeld zugeschnittene Musterformulierungen veröffentlicht. Betroffene Unternehmen sollten deshalb dort oder gleich bei zertifizierten Datenschutzbeauftragten abklären, ob auch die überarbeitete Datenschutzerklärung mit den Anforderungen der DSGVO vereinbar ist.
Mit dem richtigen Know-how, vom Experten geprüften Datenschutzerklärungen ist schon viel gewonnen. Doch nur eine aktualisierte Datenschutzerklärung genügt nicht, um den Anforderungen der DSGVO zu genügen. Welche Maßnahmen Unternehmen zusätzlich umsetzen müssen, erfahren Sie in unserem nächsten DSGVO-Beitrag.
Unser Gastautor Peter Rother, Geschäftsführer der InfiniSafe GmbH, ist Experte für Datenschutz und Informationssicherheit
