Zum Jahrestag der Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2018 eingeführt wurde, fällt die Bilanz eher sachlich aus: Zumindest in Deutschland wurden keine Strafen in Millionenhöhe verhängt. Von der Hysterie rund um die Einführung ist also wenig übrig geblieben.
Dennoch gibt es Aufgaben, die einige Unternehmen auch heute noch nicht vollständig erfüllt haben. So hat die Deutsche Industrie- und Handelskammer (DIHK) gemeinsam mit den IHKs im April dieses Jahres in einer Umfrage unter 4500 Unternehmen festgestellt, dass immer noch 40 Prozent über hohen Aufwand und Unsicherheit klagen. Insbesondere viele der kleinen und mittleren Betriebe sind sich nicht sicher, ob ihreMaßnahmen auch tatsächlich funktionieren und auch vor Behörden und Gerichten standhielten.
Viele Meldungen unbedeutender Datenpannen
Diese Unsicherheit zeigt sich auch bei den Meldungen zu Datenschutzverstößen. Diese waren auch vorher schon meldepflichtig, viele Unternehmen melden nun aber sicherheitshalber auch eher unbedeutende Datenpannen wie Fehladressierungen von Postsendungen, nicht verschlossene Briefumschläge oder Fehladressierungen von E-Mails. So wurden nach Einführung der EU-DSGVO deshalb im Schnitt fast 20-mal so viele Datenpannen gemeldet, in der Hoffnung, möglichen Sanktionen vorzubeugen.
Wenn jedoch die Datenschutzverletzung im konkreten Fall keinen Schaden zur Folge haben kann oder dieser wahrscheinlich nicht eintreten wird, ist das Melden jedoch gar nicht erforderlich. Da aber in den meisten Fällen ein Schaden oder dessen Eintrittswahrscheinlichkeit nicht gänzlich ausgeschlossen werden kann, ist für eine vorliegende Datenschutzverletzung zunächst die Risikostufe auf der Grundlage einer Risikoanalyse zu ermitteln. (Vgl. DSK - Kurzpapier Nr. 18: “Risiko für die Rechte und Freiheiten natürlicher Personen”).
Datenschutzvorfälle, die nur ein geringes Risiko für die Rechte und Freiheiten der Betroffenen darstellen, müssen der Aufsichtsbehörde nicht gemeldet werden. Allerdings sind der Datenschutzvorfall, die Ergebnisse der Risikoanalyse und die getroffenen Maßnahmen vom Verantwortlichen intern zu dokumentieren.
Kurs „EU-DSGVO kompakt: Rechtslage und Umsetzung für kleine Unternehmen“
Nach der erfolgreichen Durchführung des ersten Termins und sehr positivem Feedback gibt es nun einen zweiten Termin für unseren Kurs „EU-DSGVO kompakt: Rechtslage und Umsetzung für kleine Unternehmen“. Am 21.10.2019 haben Sie wieder die Möglichkeit, das erforderliche Fachwissen zu erlernen, um die Anforderungen der EU-DSGVO zu verstehen und vollständig zu erfüllen.
Haben Sie Fragen oder Hinweise zur EU_DSGVO, wenden Sie sich gerne an Neno Rieger.
Bei Fragen zur Weiterbildung hilft Ihnen das Team der GUTcert Akademie (+49 30 2332021-21).
Dennoch gibt es Aufgaben, die einige Unternehmen auch heute noch nicht vollständig erfüllt haben. So hat die Deutsche Industrie- und Handelskammer (DIHK) gemeinsam mit den IHKs im April dieses Jahres in einer Umfrage unter 4500 Unternehmen festgestellt, dass immer noch 40 Prozent über hohen Aufwand und Unsicherheit klagen. Insbesondere viele der kleinen und mittleren Betriebe sind sich nicht sicher, ob ihreMaßnahmen auch tatsächlich funktionieren und auch vor Behörden und Gerichten standhielten.
Viele Meldungen unbedeutender Datenpannen
Diese Unsicherheit zeigt sich auch bei den Meldungen zu Datenschutzverstößen. Diese waren auch vorher schon meldepflichtig, viele Unternehmen melden nun aber sicherheitshalber auch eher unbedeutende Datenpannen wie Fehladressierungen von Postsendungen, nicht verschlossene Briefumschläge oder Fehladressierungen von E-Mails. So wurden nach Einführung der EU-DSGVO deshalb im Schnitt fast 20-mal so viele Datenpannen gemeldet, in der Hoffnung, möglichen Sanktionen vorzubeugen.
Wenn jedoch die Datenschutzverletzung im konkreten Fall keinen Schaden zur Folge haben kann oder dieser wahrscheinlich nicht eintreten wird, ist das Melden jedoch gar nicht erforderlich. Da aber in den meisten Fällen ein Schaden oder dessen Eintrittswahrscheinlichkeit nicht gänzlich ausgeschlossen werden kann, ist für eine vorliegende Datenschutzverletzung zunächst die Risikostufe auf der Grundlage einer Risikoanalyse zu ermitteln. (Vgl. DSK - Kurzpapier Nr. 18: “Risiko für die Rechte und Freiheiten natürlicher Personen”).
Datenschutzvorfälle, die nur ein geringes Risiko für die Rechte und Freiheiten der Betroffenen darstellen, müssen der Aufsichtsbehörde nicht gemeldet werden. Allerdings sind der Datenschutzvorfall, die Ergebnisse der Risikoanalyse und die getroffenen Maßnahmen vom Verantwortlichen intern zu dokumentieren.
Kurs „EU-DSGVO kompakt: Rechtslage und Umsetzung für kleine Unternehmen“
Nach der erfolgreichen Durchführung des ersten Termins und sehr positivem Feedback gibt es nun einen zweiten Termin für unseren Kurs „EU-DSGVO kompakt: Rechtslage und Umsetzung für kleine Unternehmen“. Am 21.10.2019 haben Sie wieder die Möglichkeit, das erforderliche Fachwissen zu erlernen, um die Anforderungen der EU-DSGVO zu verstehen und vollständig zu erfüllen.
Haben Sie Fragen oder Hinweise zur EU_DSGVO, wenden Sie sich gerne an Neno Rieger.
Bei Fragen zur Weiterbildung hilft Ihnen das Team der GUTcert Akademie (+49 30 2332021-21).
