DSGVO

„Die DSGVO erfordert die Mitwirkung der Unternehmen“

Zahlreiche kleine und mittlere Unternehmen werden es wohl nicht schaffen, bis zum 25. Mai 2018 alle Vorgaben der Datenschutz-Grundverordnung (DSGVO) fristgerecht umzusetzen. Rechtsanwalt und Datenschutzexperte André Schmidt erläutert, welche Themen jetzt im Fokus stehen sollten und wie die Prioritäten zu setzen sind.

Frage: In vielen mittelständischen Unternehmen kommt die Umsetzung der DSGVO nur langsam voran. Welche Probleme begegnen Ihnen im Rahmen Ihrer Beratungspraxis besonders häufig?

André Schmidt: Ein großes Problem ist das fehlende Bewusstsein im Hinblick auf den tatsächlichen Umsetzungsbedarf. Viele KMU denken, dass sich für sie durch die DSGVO nicht so viel ändern werde. Die DSGVO betrifft jedoch nicht nur Konzerne oder Unternehmen im Privatkundenbereich. Sie gilt für alle, und sie fordert tief greifende Anpassungen bezüglich der innerbetrieblichen Abläufe eines Unternehmens. Andere Unternehmen, die zu mir kommen, haben bereits die Tragweite der DSGVO und die mit ihr verbundenen hohen Haftungsrisiken für sich und ihre Geschäftsleitung erkannt. Sie sind allerdings mit der Fülle der umzusetzenden Maßnahmen überfordert. Dieses Problem kann man dadurch angehen, indem man priorisiert und einen Projektplan erstellt, der Verantwortlichkeiten, Ressourcen und Arbeitspakete bestimmt.

Ein weiterer Grund für die schleppende Umsetzung der neuen Anforderungen bei mittelständischen Unternehmen ist, dass nur unzureichende Ressourcen bereitgestellt werden. Die Änderung von organisatorischen Prozessen, der Aufbau eines Datenschutzmanagementsystems sowie die Erstellung datenschutzkonformer Vorlagen kosten Geld und binden personelle Kräfte im Unternehmen. Ein Teil der Unternehmen scheut die erforderlichen Investitionen. Diese Unternehmen gehen ein hohes wirtschaftliches Risiko ein, denn die zukünftig drohenden Sanktionen können die anfänglichen Einsparungen in das Gegenteil verkehren. Andere Unternehmen investieren hingegen viel in externe Berater und erhoffen sich, dass diese alles übernehmen. Das kann aber nicht funktionieren. Externe Berater können sicherlich wertvolle Hilfe leisten und Arbeit abnehmen. Damit die Umsetzung erfolgreich verläuft, ist jedoch ein hohes Maß an Zuarbeit durch die Unternehmen erforderlich, beispielsweise bei der Erfassung der datenschutzrechtlich relevanten Prozesse im Unternehmen.

 

André Schmidt
Dr. André Schmidt verfügt als Fachanwalt für IT-Recht und als zertifizierter Datenschutzauditor (TÜV) über umfangreiche Expertise im Bereich des Datenschutzrechts. Er ist Partner der Kanzlei Lutz | Abel Rechtsanwalts GmbH und arbeitet in Hamburg.
www.lutzabel.com

 

Frage: Angesichts eigener betrieblicher Defizite hinsichtlich der Umsetzung der DSGVO bereitet der näher rückende Stichtag manchem Unternehmer Sorgen. Inwieweit ist damit zu rechnen, dass die Aufsichtsbehörden nach dem 25. Mai 2018 hier und da noch ein Auge zudrücken werden?

André Schmidt: Die Aufsichtsbehörden haben wenig Anlass, auf Unternehmen Rücksicht zu nehmen, die bislang die Anforderungen der DSGVO für sich ausgeblendet haben. Die DSGVO ist immerhin seit Mai 2016 in Kraft. Wenn sie zum 25. Mai 2018 rechtsverbindlich wird, hatten Unternehmen zuvor zwei Jahre die Gelegenheit, sich auf die neuen Anforderungen einzustellen. Aus diesem Grund nehme ich nicht an, dass die Aufsichtsbehörden besonders wohlwollend reagieren, wenn ein Unternehmen kurz vor Torschluss noch eilig mit den ersten Umsetzungsmaßnahmen beginnt.
Sollte allerdings ein Unternehmen belegen können, dass es in den vergangenen Monaten intensiv versucht hat, den Anforderungen nachzukommen, dann wird dies natürlich von den Behörden bei der Bemessung einer möglichen Geldbuße berücksichtigt werden. Dies kann im Einzelfall auch dazu führen, dass von einer Geldbuße abgesehen wird.

 

“Die DSGVO fordert tief greifende Anpassungen bezüglich der innerbetrieblichen Abläufe eines Unternehmens.”

 

Frage: Welche datenschutzrechtlichen Felder werden die Aufsichtsbehörden nach Geltung der DSGVO voraussichtlich besonders in den Blick nehmen?

André Schmidt: Die Aufsichtsbehörden werden sich am Anfang vermutlich auf die Bereiche konzentrieren, die relativ einfach abgefragt oder geprüft werden können. Hierzu gehört das Verzeichnis von Verarbeitungstätigkeiten, welches der Aufsichtsbehörde auf Verlangen vorzulegen ist. In diesem Verzeichnis muss ein Unternehmen sämtliche datenschutzrechtlich relevanten Prozesse im Unternehmen auflisten und jeweils nach vordefinierten Vorgaben beschreiben. Die Erstellung eines solchen Verzeichnisses ist sehr zeitaufwendig. Deshalb kann damit nicht erst begonnen werden, wenn eine Aufsichtsbehörde die Vorlage des Verzeichnisses verlangt. Ohnehin ist das Verzeichnis ein fundamentaler Baustein für eine erfolgreiche Umsetzung der DSGVO. Das Verzeichnis ermöglicht es den Unternehmen, sich einen Überblick darüber zu verschaffen, wo überhaupt angesetzt werden muss.

Auch die Verträge mit Dienstleistern, die personenbezogene Daten der Unternehmen verarbeiten, sind für Aufsichtsbehörden ein beliebter Prüfungspunkt. Unternehmen sind also gut beraten, wenn sie sich eine Übersicht über ihre Dienstleister erstellen und diese dahingehend durchgehen, ob die Verträge anzupassen sind. Soweit Bedarf besteht, sollten Anpassungen zeitnah erfolgen. Das ist aber auch gut machbar.

 

“Für Unternehmen, die noch nicht richtig mit der Umsetzung der DSGVO begonnen haben, steht die Eindämmung von Haftungsrisiken für das Unternehmen und die Geschäftsleitung sowie die Vermeidung von Imageschäden im Vordergrund.”

 

Ein dritter – sehr relevanter – Bereich betrifft das Einwilligungsmanagement und die Informationspflichten des Unternehmens. Wo und wie müssen die betroffenen Personen informiert werden, deren persönliche Daten das Unternehmen verarbeitet? Reichen die bislang verwendeten Einwilligungserklärungen aus oder müssen sie angepasst werden? Hier besteht häufig Handlungsbedarf – und Aufsichtsbehörden reagieren erfahrungsgemäß sensibel, wenn Unternehmen ihrer Verpflichtung in dieser Hinsicht nicht nachkommen.

Im besonderen Fokus stehen natürlich auch Marketingaktivitäten und die Außenauftritte (insbesondere Websites) der Unternehmen. Hier treten Datenschutzverstöße offenkundig zu Tage. Werden beispielsweise die Datenschutzbelehrungen auf der eigenen Website nicht rechtzeitig angepasst, ist das für jedermann leicht zu erkennen. Direktmarketing-Maßnahmen, wie beispielsweise Newsletter und Cold-Calls oder Re-Targeting-Kampagnen, sind ebenfalls im Fokus der Aufsichtsbehörden.

Frage: Welche Schwerpunkte sollten Unternehmensverantwortliche bei der Umsetzung der DSGVO nun setzen? Welche Themen sind mit hoher Priorität anzugehen?

André Schmidt: Unternehmen, die mit der Umsetzung noch nicht richtig begonnen haben, werden es kaum bis zum 25. Mai 2018 schaffen, die Anforderungen der DSGVO zu erfüllen. Für diese Unternehmen steht deshalb im Vordergrund, die Haftungsrisiken für das Unternehmen und die Geschäftsleitung einzudämmen. Aber auch drohende Imageschäden gilt es zu vermeiden.

 

“Die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten sollte bei allen Unternehmen ganz oben auf der Prioritätenliste stehen.”

 

Für eine Risikobewertung sind vor allem zwei Punkte von Interesse. Zum einen die Frage nach der Wahrscheinlichkeit, dass der betreffende Bereich von einer Aufsichtsbehörde oder einer betroffenen Person beanstandet wird. Werden beispielsweise Personen gegen ihren Willen “zugespammt”, ist die Wahrscheinlichkeit einer Beanstandung hoch. Zum anderen spielt auch die Schwere der datenschutzrechtlichen Verfehlung eine wichtige Rolle. Bei besonders gravierenden Verstößen drohen natürlich deutlich höhere Geldbußen oder Schadensersatzforderungen der Betroffenen. So ist beispielsweise denkbar, dass ein großes Datenleck für Außenstehende lange unerkannt bleibt, weil nur Insider Kenntnis davon haben. Wenn dieses Datenleck doch bekannt wird, können diesbezüglich dramatisch höhere Geldbußen drohen, als vielleicht wegen einer inkorrekten Datenschutzbelehrung auf der Website des Unternehmens. Allerdings sollte – unabhängig von der Risikobewertung – bei allen Unternehmen die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten ganz oben auf der Prioritätenliste stehen. Wie bereits gesagt, ist das Verzeichnis ein fundamental wichtiger Baustein für die Umsetzung eines funktionierenden Datenschutzkonzepts.

Frage: Wie bei jedem Regelwerk gibt es auch bei der DSGVO Themen, die noch strittig sind und einer Rechtsauslegung bedürfen. Welche Themen sind dies? Und wie sollten Unternehmen damit umgehen?

André Schmidt: Das stimmt. Zahlreiche Detailfragen zur DSGVO sind noch ungeklärt. Das betrifft beispielsweise Teilfragen hinsichtlich der Videoüberwachung, des Beschäftigtendatenschutzes, der Formerfordernisse bei der Auftragsverarbeitung, der notwendigen Inhalte der Datenschutzbelehrungen und noch eine Vielzahl weiterer Punkte. Ja, es wäre schön gewesen, wenn die DSGVO aus sich heraus für den normalen Bürger leicht verständlich wäre. Das ist nicht der Fall. Selbst Sachkundige müssen bei manchen Rechtsfragen einen Spezialisten konsultieren. Aber das ist bei dem bisherigen BDSG doch ähnlich; und gleichwohl haben wir gelernt, damit umzugehen. Genauso wird es auch bei der DSGVO kommen. Außerdem geben Aufsichtsbehörden und Datenschutzverbände derzeit zahlreiche Praxishilfen und Empfehlungen heraus. Diese helfen den Unternehmen und Datenschutzbeauftragten, die mitunter sperrig formulierten Regelungen der DSGVO im betrieblichen Alltag umzusetzen. Daran kann man sich orientieren. Bei wirtschaftlich wichtigen Datenschutzfragen bietet es sich sicherlich auch an, zur Klärung einen Spezialisten hinzuzuziehen.

Bildquellen: IckeT/Fotolia.com (Beitragsbild oben), Bela Raba (Porträt)

0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht. Es gilt unsere Datenschutzerklärung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert