Im vergangenen Jahr wurde Tausende Artikel über die neuen Datenschutzgesetze und die Strafgebühren von bis zu 20 Millionen Euro als mögliche Sanktion für Unternehmen verfasst und ebenso geteilt. Da wir uns nun dem Ende des Countdowns nähern, wirft die Datenschutz-Grundverordnung> (DSGVO) für einen erheblichen Teil an Unternehmen und Stakeholdern immer noch viele Fragen auf. Während wir uns mit unseren Kunden zusammengetan haben, um Sie auf Ihrer Reise durch die Konformität der DSGVO hin zu begleiten, sind wir immer wieder auf einige falsche Annahmen im Rahmen der Regelung gestoßen. Um Ihnen bei der Vereinnahmung der Realität der neuen Datenschutzgesetze unter die Arme zu greifen, werden wir in diesem Artikel die am weitesten verbreiteten Mythen im Rahmen der DSGVO entlarven.
Durch die sich abzeichnende Vollstreckungsfrist werden viele Unternehmen im Sinne der Konformität zur Ziellinie hin spurten wollen. Bei anderen wiederum setzt schiere Panik ein, weil sie nicht fristgerecht auf die DSGVO vorbereitet sind. In Wahrheit jedoch bildet der 25. Mai nicht nur eine Frist, sondern viel mehr einen Neuanfang. Die Komplexität und der Umfang der implizierten organisatorischen wie auch kulturellen Veränderungen macht es nahezu unmöglich, alle notwendigen Vorbereitungen bis zum 25. Mai zu treffen. Darüber hinaus stellt die Einhaltung der Vorschriften keine einmalige Lösung dar und Unternehmen werden diese nicht einfach so vergessen können, nachdem sie alle Häkchen auf der Konformitätscheckliste der DSGVO gesetzt haben.
Da sich die DSGVO ausschließlich auf personenbezogene Daten von EU-Bürgern bezieht, wurden einige Unternehmen zu der Annahme verleitet, dass sie nicht der neuen Verordnung unterliegen, wenn sie außerhalb Europas tätig sind. Was so nicht der Wahrheit entspricht! Die Datenschutz-Grundverordnung sollte in erster Linie die Rechte der Europäer im Rahmen der Privatsphäre schützen – ebenso weist diese aber einen "extraterritorialen" Einflussbereich vor. Jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet oder speichert, fällt in ihren Anwendungsbereich – unabhängig vom Firmensitz und ungeachtet dessen, ob sie eine europäische Tochtergesellschaft oder ein europäisches Büro besitzen. Mit anderen Worten müssen sogar US-amerikanische Organisationen oder solche, die in Hongkong, Singapur oder im Nahen Osten ansässig sind, die DSGVO unter Umständen in ihre Prioritätenliste aufnehmen.
Besonders unter Marketingexperten ist dies wohl der am weitesten verbreitete Mythos im Rahmen der DSGVO. Für einige scheint es die einzige Möglichkeit darzustellen, die Erlaubnis von jenen Personen zu erhalten, dessen personenbezogene Daten verarbeitet werden sollen. Aber entspricht dies auch der Wahrheit? Auch wenn die DSGVO in Sachen Einwilligung die Messlatte spürbar höher gelegt hat, weist diese doch eine Reihe alternativer Rechtsgrundlagen für die Verarbeitung personenbezogener Daten auf: rechtmäßiges oder öffentliches Interesse, vertragliche Notwendigkeit, rechtliche Verpflichtungen und wesentliche Interessen. Wenn die Relevanz von Werbebotschaften und eine genaue Ausrichtung sichergestellt sind, können die meisten Marketingaktivitäten weiterhin unter legitimen Interessen durchgeführt werden. Während also eine klare und eindeutige Einwilligung ein Weg darstellt, die Einhaltung zu gewährleisten, stellt dies lediglich eine von vielen Möglichkeiten dar.
Eine der größten Sorgen im Rahmen der DSGVO liegt im Zusammenhang mit den 20 Millionen Euro bzw. den 4% des weltweiten Jahresumsatzes. Ohne die Macht dieser Strafen zu unterschätzen, glauben wir fest daran, dass die Nichteinhaltung zu weiteren negativen finanziellen Folgen führen kann. Beispielsweise kann eine Datenschutzverletzung die Glaubwürdigkeit einer Organisation substanziell schädigen und zu einem Verlust der Kundschaft führen, was sich wiederum maßgeblich auf den Gesamtertrag auswirken wird.
Mit hoher Wahrscheinlichkeit werden in den meisten Unternehmen durch den rechtlichen Rahmen einiger Konzepte – wie z. B. die Einwilligung, der Zugriff und die Datenübertragbarkeit – die juristischen Abteilungen die hauptsächlichen Akteure im Rahmen der DSGVO darstellen. Dennoch kann es nicht einzig und allein als rechtliches Anliegen behandelt werden, wenn sich das schiere Ausmaß der Sache an sich von der IT-, über die Personal-, bis hin zur Finanz- und Marketingabteilung ausstreckt. Die DSGVO kann nicht allein in der Verantwortung einer einzigen Abteilung liegen, sondern viel mehr innerhalb einer kombinierten Strategie. Diese wird nur dann erfolgreich sein, wenn jeder kooperiert und die Transparenz im Geiste über das alltägliche Geschäft hinweg angenommen wird.
Viele Unternehmen mögen schnelle und einfache “DSGVO-Sofortlösungen“ anbieten, aber glauben Sie mir, wenn ich Ihnen sage, dass es kein Allheilmittel gibt, ein Unternehmen über Nacht DSGVO-konform werden zu lassen. Die Komplexität der Verbindungen personenbezogener Daten und Informationsworkflows jeglicher Unternehmen machen es unmöglich, eine universelle Lösung an den Tag zu legen, die automatisch alle Prozesse konform werden lassen. Sicherlich können Sie sich auf Ihrer Reise zur Konformität externe Hilfe einholen. In diesem Rahmen sollten Sie allerdings bedenken, dass diese auf Ihre geschäftlichen Bedürfnisse und Besonderheiten angepasst werden müssen, damit diese überhaupt zum Tragen kommen.
Diese durch die DSGVO eingeführte neue „verantwortliche“ Gestalt hat ebenso zu falschen Vorstellungen geführt. Die Häufigste ist der Irrglaube, dass jede Organisation ihren hauseigenen Datenschutzbeauftragten (DSB) zuteilen muss. Was sagt die DSGVO in diesem Rahmen? Ein DSB ist nur dann erforderlich, wenn Ihre Organisation eine Behörde darstellt oder wenn Sie vorhaben, eine umfassende Bearbeitung personenbezogener oder sensibler Daten abzuwickeln.
Zusammenfassend gesagt ist es klar, dass die DSGVO eine Compliance-Revolution für den Datenschutz losgetreten hat. Der momentane Hype hat allerdings nicht wirklich zum Übergang in die Zeit nach der DSGVO beigetragen. Die meisten Grundsätze der DSGVO sind vernünftige Erwartungen, wenn es um die Verwaltung personenbezogener Daten in unserer heutigen wachsenden digitalen Welt geht. Zögern Sie nicht, sich Hilfe einzuholen, falls Sie das Thema an sich abschrecken sollte,. Mit den geeigneten Ressourcen können Sie ein holistisches Compliance-Programm über alle Abteilungen Ihres Unternehmens hinweg implementieren.