Die neue Website Boosting ist da. Das Heft beschäftigt sich unter anderem mit der Sistrix Toolbox und enthält u.a. Beiträge von Tobias Aubele, Felix Beilharz, Bastian Grimm, Thomas Hutter, Karl Kratz, Stefanie Kroner, Kai Spriestersbach und Björn Tantau.
Auch ich habe einen Beitrag beigesteuert. Unter der Überschrift: „Die neue Datenschutzgrundverordnung – das betrifft Sie“ habe ich kurz zusammengefasst, was die wesentlichen Neuregelungen der DSGVO sind. Zwar wird die neue Verordnung erst im Mai 2018 wirksam, doch sollten schon jetzt alle Datenschutzrelevanten Prozesse im Unternehmen auf den Prüfstand.
Die Website Boosting Ausgabe 42 gibt es am gut sortierten Kiosk und kann hier als Einzelheft bestellt werden. Gerne gebe hier ein tl;dnr meines Beitrags zur DSGVO wieder:
9 Fragen zur Datenschutzgrundverordnung
- Wir sind im Datenschutz eigentlich ganz gut aufgestellt, betrifft uns die DSGVO?
Ja! Jedes Unternehmen, das personenbezogene Daten speichert oder nutzt, muss sich um das neue Recht kümmern. - Ich denke, die Verordnung gilt erst im nächsten Jahr, müssen wir uns jetzt schon kümmern?
Ja! Jedenfalls Einwilligungserklärungen, ADV-Vereinbarungen und Datenschutzerklärung sollten jetzt schon angepasst werden. Außerdem müssen alle datenschutzrechtlich relevanten Prozesse einmal auf den Prüfstand. - Was ist denn die krasseste Änderung?
Die deutlichste Änderung ist sicher der Bußgeldrahmen. Bis zu 20 Millionen Euro oder 4 % vom weltweiten Jahresumsatzes können Datenschutzverstöße in Zukunft kosten. - Und inhaltlich?
Da ist für jeden etwas dabei. IP-Daten werden in Zukunft wohl eindeutig zu den personenbezogenen Daten zählen, so dass jede Erhebung rechtfertigungsbedürftig ist. Die Anforderungen an die Einwilligung des nutzers werden eher steigen. - Gibt es auch positive Dinge?
Die Verordnung an sich ist schon einmal ein Fortschritt: Grundsätzlich gilt nun einheitliches Datenschutzrecht der ganzen EU. Aber auch sonst gibt es einige Bereiche, wo das neue Recht weniger streng zu sein scheint, als das BDSG. So lassen sich Datenverarbeitungsvorgänge mit berechtigten Interessen des Unternehmens rechtfertigen. Ausdrücklich nennt die Verordnung die Direktwerbung als berechtigtes Interesse. - Was gibt es sonst noch Neues?
Vor allem Compliance-Anforderungen: ein Datenschutzkonzept und Datenschutzfolgeabschätzungen. Alles eher Fleißarbeit als Rocket-Science, aber wichtig. - Wer sollte sich kümmern?
Datenschutz sollte jedenfalls zeitweise Chefsache sein. CEO oder Geschäftsführer muss sich davon überzeugen, dass das Unternehmen für 2018 gut aufgestellt ist und alle Hausaufgaben angegangen werden. - Brauchen wir externe Unterstützung?
Ein DSGVO-Projekt braucht Datenschutz-Know-How, das in vielen Unternehmen nicht oder nicht in ausreichendem Umfang vorhanden ist. Für die meisten Unternehmen wird es sich auch nicht lohnen, temporär Know-How aufzubauen. Außerdem sind gute Datenschützer zur Zeit rar. Daher wird es ohne externe Unterstützung nicht gehen. - Was kostet so ein DSGVO-Projekt?
Das lässt sich seriös nicht beziffern und hängt von vielen Faktoren ab. Hauptkriterium ist sicher, wie gut das Unternehmen schon bisher datenschutzrechtlich aufgestellt ist. Wenn es bisher nicht einmal ein Verfahrensverzeichnis und einen vernünftigen Prozess zur Beantwortung eines Auskunftsersuchens gibt, ist das mehr Aufwand, als wenn der bisherige Datenschutzbeauftragte es insofern genau genommen hat. Führt ein Assessment dazu, dass IT-Infrastruktur konzernweit angepasst werden muss, ist offensichtlich, dass es mit ein paar Meetings und ein bisschen Paperwork nicht getan ist. Insofern geht die Spanne bei ein paar tausend Euro los und ist nach oben offen.