Es sind nun weniger als 12 Monate bis zum D-Day der GDPR. Der25. Mai 2018 wird neue robuste Strukturen für alle Unternehmen einführen, die personenbezogene Daten von EU-Bürgern verarbeiten.
Die Geldbußen für einen Verstoß gegen die Datenschutzgrundverordnung in Höhe von 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes sind weithin bekannt. Dies wurde durch die jüngste Analyse der globalen Unternehmensberatung Oliver Wyman noch verstärkt, die ergab, dass FTSE-100-Unternehmen mit Geldstrafen von bis zu 5 Milliarden Pfund pro Jahr rechnen müssen, wenn sie die neue Verordnung nicht einhalten.
Die Datenschutzgrundverordnung geht über das bloße Ankreuzen von Kästchen und das Hoffen auf das Beste hinaus. Es ist zwingend erforderlich, dass jedes Unternehmen dies richtig macht, und der Schlüssel dazu ist die Rechenschaftspflicht.
Die Notwendigkeit der Rechenschaftspflicht im Datenschutz lässt sich bis ins Jahr 1980 zurückverfolgen, als die damaligen Datenschutzrichtlinien der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) die Rechenschaftspflicht als "Aufzeigen, wie die Verantwortung ausgeübt wird und wie sie überprüfbar ist" beschrieben. Diese Definition eignet sich auch für die praktische Umsetzung der DSGVO. Die DSGVO zielt darauf ab, die Verantwortung der für die Datenverarbeitung Verantwortlichen und der Datenverarbeiter in Bezug auf die Verarbeitung personenbezogener Daten zu stärken.
Zu den Maßnahmen, die Organisationen ergreifen müssen, gehören dokumentierte Prozesse, Datenschutz-Folgenabschätzungen und eine Datensicherheitsmethodik. Außerdem müssen sie für jede umfangreiche Verarbeitung personenbezogener Daten einen obligatorischen Datenschutzbeauftragten benennen und sicherstellen, dass die Aufzeichnungen über die Verarbeitungstätigkeiten auf dem neuesten Stand sind.
Verantwortlichkeit als Grundlage für die Einführung der GDPR
Der Europäische Datenschutzbeauftragte (EDSB) stellt in seinem Merkblatt zur Rechenschaftspflicht fest, dass Rechenschaftspflicht bei der Verarbeitung personenbezogener Daten erforderlich ist:
- Transparente interne Datenschutzpolitik, die von der höchsten Führungsebene der Organisation genehmigt und gebilligt wird.
- Information und Schulung aller Mitarbeiter der Organisation über die Umsetzung der Politik.
- Verantwortung auf höchster Ebene für die Überwachung der Umsetzung der Politik, die Bewertung und den Nachweis der Qualität der Umsetzung gegenüber externen Beteiligten und Datenschutzbehörden.
- Verfahren zur Abhilfe bei mangelhafter Einhaltung der Vorschriften und bei Datenschutzverletzungen.
Obwohl das Wort "Rechenschaftspflicht" in der Datenschutz-Grundverordnung nur selten vorkommt, ist das Kernkonzept der Rechenschaftspflicht die Grundlage der gesamten Datenschutz-Grundverordnung.
- Artikel 5: Bestimmt den für die Verarbeitung Verantwortlichen als die Person, die für die Einhaltung der Grundsätze der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten verantwortlich ist. Zusätzlich zur Einhaltung der Grundsätze der DSGVO muss der für die Verarbeitung Verantwortliche dies durch eine Reihe von Verfahren nachweisen, die die Datenregulierung zu einer überprüfbaren Praxis machen.
- Artikel 24: Der für die Verarbeitung Verantwortliche soll organisatorische Verfahren einführen, überprüfen und aktualisieren, um nachzuweisen, dass die Verarbeitungen im Einklang mit den neuen Vorschriften durchgeführt werden.
- Artikel 39: Dem Datenschutzbeauftragten obliegt es, "die Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten und der Maßnahmen des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters zum Schutz personenbezogener Daten zu überwachen, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung des an der Verarbeitung beteiligten Personals und der damit verbundenen Prüfungen.
Die Unternehmen müssen nachweisen, dass sie die Vorschriften ordnungsgemäß einhalten. Dazu gehört auch, dass sie die in der Datenschutz-Grundverordnung beschriebenen Strategien und Verfahren anwenden und durchsetzen. Es liegt an den Unternehmen, einen Rahmen zu schaffen, auf dem eine Kultur des Datenschutzes aufgebaut werden kann.
Dies bedeutet einen echten Wandel in der Kultur einer Organisation. Rechenschaftspflicht ist nicht etwas, das ein nachträglicher Gedanke bei Ihren Vorbereitungen auf die DSGVO sein kann, sondern sie muss jetzt, im Mai 2018 und für immer im Mittelpunkt Ihres DSGVO-Plans stehen.
Bußgelder nach der DSGVO werden nicht nur dann verhängt, wenn es zu einem großen Cyberangriff oder -vorfall kommt, sondern immer dann, wenn festgestellt wird, dass keine Datenschutz-Folgenabschätzung durchgeführt wurde, dass es in einem Unternehmen keine Datenschutzbeauftragten gibt und dass es nicht in der Lage ist, einen durchgängigen DSGVO-Lebenszyklus einzurichten. Schon ein einziges fehlendes Puzzlestück kann Unternehmen viel Geld kosten.
Die Datenschutz-Grundverordnung verlangt von den Unternehmen, dass sie die neue Verordnung einhalten, aber sie bietet auch die Möglichkeit, Ihr Unternehmen zu verbessern, indem Sie sich zu einem ethischen Umgang mit personenbezogenen Daten verpflichten. Sie können diese Rechenschaftspflicht nutzen, um Ihr Unternehmen als eine Bastion der individuellen Datenschutzrechte zu präsentieren, was eine wesentliche Rolle dabei spielen kann, ob sich jemand für Ihr Unternehmen und nicht für einen Konkurrenten entscheidet.
Die Zeit zum Handeln in Bezug auf die DSGVO ist jetzt, aber es ist wichtig, daran zu denken, dass jeder Plan, den Sie aufstellen, die Rechenschaftspflicht als Kernkomponente haben muss, damit Sie im Mai 2018 konform sind und Ihre Organisation für die kommenden Jahre zukunftssicher ist.