Digitalisierung und Datenschutz als Aufgabe des Managements?

Bei einer Umfrage „IT-Security und digitale Kompetenz an der Unternehmensspitze[1]“ von Brainloop und Board Search kam einerseits wenig Neues an das Tageslicht, eines erstaunte aber dennoch: Mit den Details der DSGVO sind 59% der Befragten Manager nicht vertraut. Und wenn sie sich wundern, was DSGVO bedeutet, sollten sie weiterlesen.

Das selbst die Topmanager mit den Details der DSGVO nicht vertraut sind, wundert umso mehr, da Konzerne in Zukunft – konkret ab dem 25. Mai 2018 – bei Verstößen mit bis zu 20 Millionen Euro beziehungsweise 4 Prozent des Konzernumsatzes bestraft werden können.

DSGVO ist dabei die Kurzform für das doch recht langatmige „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ oder als Mittelweg „Datenschutz-Grundverordnung“, die 2018 in allen EU-Statten in Kraft tritt.

Gerade im Zuge der Digitalisierung hat die Datenschutz-Grundverordnung Auswirkungen. Denn um das Smart Home aufzubauen oder das Internet der Dinge zu verwirklichen, werden viele sehr persönliche Daten gesammelt und zwischen den Anwendungen und Endgeräten weitergegeben.

Daher kommt die neue EU-DSGVO in Unternehmen überall dort zur Geltung, wo personenbezogene Daten verwendet werden. Also Daten, anhand deren sich die Identität einer Person bestimmen lässt[2]. Und mit der DSGVO werden EU-weit die nationalen Datenschutzbestimmungen weitgehend abgelöst bzw. müssen entsprechend adaptiert werden.

Laut der DSGVO sind zum Schutz nicht nur technische und organisatorische Sicherheitsmaßnahmen zu treffen sondern auch eine Datenschutz-Folgenabschätzung durchzuführen. Die bisher verlangte Meldung an das Datenverarbeitungsregister (DVR) reicht nicht mehr aus: DVR-Registrierungen die vor dem 25. Mai 2018 erfolgen, lassen keine Aussage zu, ob die Datenverwendung der neuen EU-DSGVO entspricht oder nicht. Diese Meldungen entbinden den für die Verarbeitung Verantwortlichen auch weder davon, eine Liste seiner Datenanwendungen zu erstellen noch von gegebenenfalls notwendigen Datenschutz-Folgeabschätzungen.

So ist die Datenschutz-Folgenabschätzung gemäß Absatz 1 insbesondere in folgenden Fällen erforderlich[3]:

1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Da die Digitalisierung aber genau von solche Daten lebt, sollte jedes Unternehmen sich genau informieren. Das allerdings kann nicht einfach an die IT-Abteilung ausgelagert werden, da für die Digitalisierung strategische Neuorientierungen erfolgen müssen. Es ist also Aufgabe des (Top-)Managements, dafür Sorge zu tragen, dass das Unternehmen auf die neuen Herausforderungen vorbereitet ist.

[1]http://www.boardsearch.at/de/veranstaltungen/studie-hp-it-security-und-digitale-kompetenz/

[2]„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann; (https://www.datenschutz-grundverordnung.eu/grundverordnung/%C2%A746-bdsg-begriffsbestimmungen/)

[3]https://www.datenschutz-grundverordnung.eu/grundverordnung/art-35-ds-gvo/

The post Digitalisierung und Datenschutz als Aufgabe des Managements? appeared first on ANECON Blog.