Start Themen Vor Ort Datenschutzgrundverordnung – was tun?

Datenschutzgrundverordnung – was tun?

-
TEILEN

Die Datenschutzgrundverordnung oder kurz DSGVO dürfte zu den wichtigsten Änderungen gehören, auf die sich Unternehmen 2018 einstellen müssen. Und die Vorbereitungszeit läuft.

Kein halbes Jahr mehr, bis die Datenschutzgrundverordnung in Kraft tritt. Sie kommt ungefähr so überraschend wie Weihnachten, denn schon im Mai 2016 stand fest, worauf Unternehmen sich vorbereiten müssen. Normalerweise ist die europäische Gesetzgebung ein recht geräuschloser Vorgang. Bei der Datenschutzgrundverordnung (DSGVO) – oder auf Englisch „General Data Protection Regulation“ (GDPR) – ist dies anders. Sie trat schon am 25. Mai 2016 in Kraft, gilt aber verbindlich erst ab dem 25. Mai nächsten Jahres. Diese zwei Jahre waren eigentlich dafür gedacht, sich auf das Gesetz vorzubereiten – aber natürlich hat so gut wie niemand seine Hausaufgaben gemacht.

Schon seit Monaten werden daher Heerscharen von Beratern nicht müde, zu betonen, wie wichtig das Datum des Inkrafttretens der DSGVO ist. Einerseits haben sie Recht, und gleich lesen Sie auch, warum das so ist. Andererseits wird hier natürlich auch „über Angst verkauft“, und so kann man an dieser Stelle vielleicht auch ein klein wenig Luft aus der Sache lassen.

Die DSGVO gilt für alle EU-Mitgliedsstaaten unmittelbar und das alte BDSG ist nicht mehr anzuwenden. In Deutschland wurde am 5. Juli 2017 das Datenschutz-Anpassungsgesetz (DSAnUG-EU) verkündet, das ebenfalls am 25. Mai 2018 in Kraft tritt und das alte BDSG ersetzt. Die DSGVO gilt für alle Europäer – aber nach dem Marktortprinzip auch für alle, die etwas in Europa zu tun haben, also zum Beispiel auch für alle Unternehmen, die in Europa Waren oder Dienstleistungen anbieten.

Zur Freude der Berater-Zunft ist die DSGVO in einigen Punkten strenger und weitreichender als das deutsche BDSG. Damit kommen neue Verantwortlichkeiten, Aufgaben und Compliance-Regeln auf alle zu, die schon bisher den Datenschutz beachten müssen: Die Neuregelung der Auftragsdatenverarbeitung erfordert Änderungen in jedem Outsourcing-Vertrag und die Informationspflichten für Betroffene insbesondere bei Datenschutzverletzungen wurden verschärft.

Die Einwilligung von Betroffenen in die Verarbeitung ihrer Daten muss sorgfältig geprüft werden, denn das sogenannte Kopplungsverbot wurde deutlich verschärft gegenüber dem BDSG und so ist die Einwilligung in „unnötige“ Datenverarbeitung kaum noch durchzusetzen. Wer also bei dem Verkauf einer Ware auch gleich die Eintragung des Kunden in einen Newsletter erledigen will, hat es zukünftig deutlich schwerer, das rechtskonform umzusetzen. Einen Bestandsschutz gibt es de facto nicht. Wer keine wirksame Einwilligung in die Datenverarbeitung nach dem neuen Gesetz hat, darf diese von allen Betroffenen neu einholen – nach „Erwägungsgrund 171“ spätestens zwei Jahre nach Inkrafttreten des Gesetzes – also zum 25. Mai 2018.

Aber wie immer sind es nicht die neuen Gesetze, die wirklich Angst machen – es sind die drastisch gestiegenen Bußgelder. Diese sollen alle Betroffenen mit der Notwendigkeit konfrontieren, den Datenschutz ernst zu nehmen – ernster als bisher auf jeden Fall: Das maximale Bußgeld nach BDSG von 300 000 Euro ist in Deutschland eine theoretische Größe. Der überwiegende Teil deutscher Unternehmen ist noch nie mit der zuständigen Datenschutzaufsicht in Kontakt gekommen. Oft werden vor einem Bußgeld-Bescheid Ermahnungen verschickt und auch mangels personeller Ausstattung der Aufsichtsbehörden wiegen sich viele Unternehmen in Sicherheit trotz offenkundigem Verstoß gegen gesetzliche Auflagen.

Die DSGVO kommt nun mit möglichen Bußgeldern bis 20 Mio. Euro bzw. bis zu 4 Prozent des weltweiten Umsatzes, und man kann sich sicher sein, dass die Aufsichtsbehörden mit diesem neuen Besen auch einmal auskehren wollen. Daher ist der beste Rat, sich aus Anlass dieser Drohkulisse mit dem eigenen betrieblichen Datenschutz wirksam auseinander zu setzen. Wie fast alles andere auch ist der Datenschutz Chefsache. Die Bestellung einer oder eines Datenschutzbeauftragten ist dabei die wichtigste Entscheidung. Nach dem BDSG ist dies in allen Einrichtungen notwendig, in denen mehr als neun Beschäftigte regelmäßig personenbezogene Daten verarbeiten. In der DSGVO sind die Entscheidungsgründe dafür in Art. 37 deutlich unschärfer gefasst – man kann aber davon ausgehen, dass die zuständigen Stellen dies mindestens so eng wie im BDSG auslegen werden. Wer also bisher die Pflichten zum Datenschutz nicht so genau genommen hat und den Vorschriften des BDSG nicht entsprach, kann fest davon ausgehen, dass dies nun auch für die DSGVO gilt.

Was ist also zu tun? Einerseits entfaltet die DSGVO am 25. Mai 2018 ihre volle Geltung – und wer sich bis dahin nicht auf das neue Gesetz einstellt, hat einen Compliance-Mangel zu verzeichnen und verstößt unter Umständen gegen geltendes Recht. Andererseits ist die Zahl der schwarzen Schafe wohl auch zu diesem Stichtag noch sehr hoch und viele werden sich erst dann mit der Sachlage beschäftigen, wenn die Aufsichtsbehörde vor der Tür steht – zum Beispiel weil man durch in Unfrieden gegangene Mitarbeiter angezeigt wurde. Nun gibt es aber keine Gleichheit im Unrecht und niemand kann sich damit heraus reden, dass „die Anderen“ sich auch nicht richtig kümmern. Fast alle Aufsichtsbehörden haben aber in der Vergangenheit bekundet, dass der 25. Mai 2018 etwas entschärft werden kann, wenn man ein paar Regeln beachtet – und dies vor allem auch deshalb, weil es auch zu diesem Tag noch offene Fragen geben wird, wie zum Beispiel zur Vollstreckbarkeit von Bußgeldbescheiden, der Verträglichkeit der DSGVO mit den Datenschutzgesetzen einiger Bundesländer und einiges mehr.

Die wichtigste Regel wäre, sich am 25. Mai 2018 mindestens an das BDSG zu halten und für alle neuen und geänderten Vorschriften der DSGVO einen schriftlich festgelegten Umsetzungsplan zu haben. Datenschutzbeauftragte nach BDSG kann man auch jetzt noch zu diesem Stichtag wirksam bestellen und den Fahrplan für eine umfassende Compliance festlegen. Im Ergebnis hat man dann zwar auch nach dem 25. Mai 2018 noch Verstöße gegen geltendes Datenschutzrecht zu verzeichnen, kann diese aber abarbeiten und wird bei Besuch der Aufsichtsbehörden höchstwahrscheinlich mit Ermahnungen und Auflagen und ohne Bußgeld davon kommen, sofern nichts Schwerwiegendes passiert ist. Aber Achtung: Es ist andererseits fest davon auszugehen, dass irgendeinen ignoranten Pechvogel, der vorsätzlich den Datenschutz ignoriert und mit einen Zwischenfall öffentlich wird, das volle Bußgeld-Gewitter der DSGVO treffen wird.

Kontakt zum Autor

Dr. Johannes Loxen

leitet die SerNet GmbH, ein auf Informationssicherheit spezialisiertes Unternehmen in Göttingen und Berlin. Dieser Beitrag stellt seine persönliche Einschätzung der aktuellen Lage im Datenschutz dar und ist keine Beurteilung oder Beratung zur geltenden Rechtslage. Eine gleichermaßen inhaltlich fundierte wie grafisch ansprechende Aufbereitung des Themas findet sich hier: http://gdpr.ninja