Die Weiler Zeitung, 25.01.2018

DSGVO: so langsam wird es Zeit!

Die europäische Datenschutz-Grundverordnung (DSGVO) kommt, soviel ist sicher.
Genau genommen ist sie bereits da. Die DSGVO trat am 24.05.2016 in Kraft.

Sie gilt allerdings erst nach einer 2-jährigen Umsetzungsfrist ab dem 25.05.2018 unmittelbar und direkt in der gesamten EU. Anders als bei einer EU-Richtlinie ist keine Umsetzung in nationales Recht erforderlich. Die DSGVO hebt die EU-Datenschutzrichtlinie 95/46/EG auf und verdrängt die deckungsgleichen Vorschriften des Bundesdatenschutzgesetzes (BDSG). Gleichzeitig tritt das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) in Kraft. Mit diesem wird das BDSG neu gefasst, um Widersprüche zur DSGVO zu vermeiden. Die Anforderungen der Verordnung gehen teils weit über die bisherigen Vorgaben des BDSG hinaus.

Zudem erfordern sie zahlreiche neue Prozesse, welche Unternehmen zunächst implementieren müssen. Gerade die Vorschriften zur Information betroffener Personen, zur Dokumentation von Datenschutzprozessen, zur Datenübertragbarkeit, zur Datenlöschung, zum Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen oder zur Datenschutz-Folgenabschätzung erfordern einigen Umsetzungsaufwand. Viele Unternehmen haben erkannt, dass die verbleibende Zeit bis zur verbindlichen Anwendung der DSGVO sehr knapp bemessen ist, um die Vorgaben der Verordnung einzuführen. Es gibt aber auch zahlreiche Unternehmen, die bis heute noch nicht ausreichend vorbereitet sind und keine Schritte zur Implementierung der entsprechenden Prozesse und Strukturen ergriffen haben.

Dabei hat die DSGVO für Unternehmen gravierende Folgen: neben Schadensersatzklagen drohen bei Fehlern Bußgelder von bis zu 4 % des globalen (Konzern-)Umsatzes. Unternehmer, Geschäftsführer, Datenschutzbeauftragte und sonstige Entscheidungsträger müssen bei Verstößen mit Geldbußen bis zu 20 Mio. Euro rechnen. Allein dies verdeutlicht, dass mit der Umsetzung nicht erst im Mai begonnen werden kann.

Die für den Datenschutz Verantwortlichen sollten möglichst bald einen Ist-Soll-Vergleich vornehmen und die Anforderungen der DSGVO zügig umsetzen. In Anbetracht der erheblich gestiegenen Bußgeldrisiken besteht die Notwendigkeit des Aufbaus eines Datenschutz-Management-Systems.

Aber keine Angst: Die DSGVO hat nicht das Ziel, Unternehmen reihenweise in die Insolvenz zu treiben. Vielmehr soll der Datenschutz sowie die Betroffenenrechte gestärkt und effizienter durchgesetzt werden. Man wird davon ausgehen können, dass die Aufsichtsbehörden zunächst noch zurückhaltend sein werden und Strafen, falls diese verhängt werden müssen, nicht gleich mit den Maximalbeträgen ahndet. Entscheidend wird sein, ob zunächst getroffene Anordnungen der Aufsichtsbehörde fristgerecht befolgt wurden. Maßgeblich dürften auch Art, Schwere, Umfang und Dauer des Verstoßes sowie die wirtschaftlichen Folgen und Maßnahmen zur Schadensminderung sein. Dennoch sollte umgehend mit dem Aufbau eines Daten(schutz)managements begonnen werden, zumindest hinsichtlich der Nachweispflichten, des Verzeichnisses der Verarbeitungstätigkeiten sowie einem Vertragsmanagement. Verträge mit Auftragsdatenverarbeitern, Datenschutzerklärungen auf Internetseiten und Einwilligungserklärungen von Kunden und Mitarbeitern müssen aktualisiert und angepasst werden. Gegebenenfalls sollten qualifizierte Berater hinzugezogen werden.

<Bernd Andresen>