Bereits vor, insbesondere jedoch seit der Geltung der DSGVO vergeht kaum eine Woche, in der über (mögliche) und teilweise hohe Sanktionen berichtet wird. 50 Millionen Euro gegen Google, 220.000 Euro wegen mangelhafter Umsetzung der Informationspflichten, 5.000 Euro wegen einer fehlenden Vereinbarung zur Auftragsverarbeitung (AVV) – dies sind die prominentesten Beispiele der letzten Wochen und Monate.
Unabhängig von den Gründen der Sanktionen, eines lässt sich festhalten: Die Prognose, dass das grundsätzliche „Sanktionsniveau“ durch die DSGVO angehoben wird, hat sich schnell bewahrheitet. Neben monetärer Belastung, kann ein Verstoß gegen die Regelungen der DSGVO zudem einen reputativen Schaden nach sich ziehen, der nur schwierig wieder einzufangen ist.
Nun stellt sich die Frage, wie das Risiko einer Sanktion effektiv und vor allem effizient gemindert werden kann.
Kategorisierung im Risikomanagement
Neben der allgemeinen Risikobetrachtung in Ihrem Unternehmen, empfiehlt sich ein weiterer Blick auf die Systematik der Regelungen und ihrem Verhältnis zum Aufwand ihrer Umsetzung. Somit können Sie die Eintrittswahrscheinlichkeit einer Sanktion in das Verhältnis zum Aufwand ihrer Vermeidung setzen und eine Priorität festlegen.
Um dies an einem Beispiel festzumachen: Die Eintrittswahrscheinlichkeit einer Sanktion auf Grund einer fehlerhaften Datenschutzinformation auf Ihrer Webseite ist hoch. Ihre Webseite ist öffentlich auffindbar, sodass betroffene Personen und auch Datenschutzaufsichtsbehörden Zugriff leichten Zugriff auf diese Informationen haben; die Überprüfung ist nicht verhindert. Der Aufwand, eine vollständige, den Regeln entsprechende Datenschutzinformation auf Ihrer Webseite vorzuhalten, ist hingegen verhältnismäßig gering. Artikel 13 und (sofern anwendbar) Artikel 14 DSGVO geben eine klare Liste an vorzuhaltenden Informationen. Welche Daten auf Ihrer Webseite verarbeitet werden, ist ohne großen Aufwand herauszufinden. Entsprechend sollten Sie bei der Erledigung Ihrer „Datenschutzaufgaben“ priorisiert darauf achten, dass die Datenschutzinformationen auf Ihrer Webseite vollständig sind.
Mit dieser Systematik betrachten Sie nun die sanktionswürdigen Regelungen und setzen diese in das Aufwandsverhältnis. Somit haben Sie eine klare Liste zum Abarbeiten und damit die Konformität mit den Regelungen der DSGVO herzustellen.
Standardisierung, wo Standardisierung möglich ist
Sie werden sich nun die berechtigte Frage stellen, wie das Ganze nicht nur effektiv, sondern auch effizient durchgeführt werden kann. Unsere Empfehlung: Nutzen Sie Vorlagen und standardisierte Dokumente überall dort, wo es möglich ist. Sie müssen das Rad nicht neu erfinden, bauen Sie lieber auf Bestehendem auf. Sie sparen so auch Ihre Ressourcen und Energien für die Herausforderungen, die eine individuelle Betrachtung erfordern (z.B. eine Datenschutzfolgeabschätzung für Ihr Produkt) und grundsätzlich mehr Aufwand mit sich führen. Nutzen Sie diese Möglichkeit, um den Datenschutz in Ihrem Unternehmen selbstverständlich zu machen und damit nicht nur Sanktionen zu vermeiden, sondern sich auch einen relevanten Wettbewerbsvorteil zu verschaffen!
Und keine Sorge: Sie müssen das alles nicht allein bewältigen. Wir sind für Sie da und bieten Ihnen aus Darmstadt eine Datenschutzberatung. Wir versorgen Sie mit allen erforderlichen know-how und Dokumenten.
Sprechen Sie uns gerne an!
Danilo Terrasi