Datenschutz: (Fast) ein Jahr nach der DSGVO

|  BTadvice 03/2019

Vor einem Jahr war Datenschutz in aller Munde. Das Inkrafttreten der DSGVO am 25. Mai 2018 führte zu emsigen Bemühungen, die dort geforderten Standards im Unternehmen einzuführen. Wichtige Themen, die viel zu lange eher nachlässig behandelt wurden, gewannen – auch angesichts der drastischen Strafandrohungen – schlagartig an Brisanz. Tatsächlich übersteigen die Strafen, die z. B. gegen Google wegen Datenschutzverletzungen verhängt wurden, bereits heute deren Steuerlast.

1.    Es ist vermehrt mit Kontrollen zu rechnen

So kündigte der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Stefan Brink Anfang Februar im SWR an: „2019 wird das Jahr der Kontrollen.“ Mehr noch, er warnte Unternehmen ausdrücklich davor, unnötige Risiken einzugehen: „Wer auf Lücke setzt, der muss damit rechnen, dass 2019 ein schwieriges Jahr wird.“

Der Teufel steckt dabei im Detail. Bei Einführung der DSGVO-Standards haben sich die meisten Unternehmen gewissenhaft informiert und ihre TOMs (technische und organisatorische Maßnahmen zum Datenschutz) dokumentiert, die geforderten Datenschutzerklärungen verfasst und vorgeschriebene Auftragsdatenverarbeitungsvereinbarungen abgeschlossen. Doch genügen diese den Anforderungen, ist die DSGVO – mit all ihren Unklarheiten, Unwägbarkeiten und offenen Auslegungsfragen – richtig und vor allem zeitgemäß umgesetzt?

So wurden in Hamburg bereits Bußgelder verhängt, weil mit einem Paketlieferdienst keine Auftragsverarbeitungsvereinbarung geschlossen worden war (Art. 28 DSGVO). Mehrere Unternehmen wurden in Baden-Württemberg zu je deutlich fünfstelligen Bußgeldern verurteilt, weil Daten von Nutzern ihres Onlineangebots nicht dem technischen Standard entsprechend gespeichert worden waren (Art. 32 DSGVO). Übrigens hat dies auch eine europäische Dimension. Die französische Datenschutzbehörde CNIL hat unlängst Google mit einer Geldbuße von 50 Millionen Euro wegen diverser Verstöße gegen die DSGVO belegt. Wer europaweit tätig ist, muss daher dafür Sorge tragen, dass auch im europäischen Ausland die Datenschutzbestimmungen eingehalten werden. Immerhin lässt sich dies rechtlich in den Griff bekommen, da die DSGVO zum einen europaweit gilt und zum anderen die Standards in den Unionsländern überwiegend ähnlich sind.

2.    Wechselnde Anforderungen an den Datenschutz

Datenschutz ist in hohem Maße an die aktuellen technischen Standards gekoppelt. Was vor einem Jahr ausreichend war, kann heute bereits ungenügend sein. Hinzu kommt, dass die DSGVO noch in vielen Punkten von der Rechtsprechung und den Datenschutzbehörden zu konkretisieren ist, sodass auch hier ständig mit Anpassungen und Änderungen gerechnet werden muss. Versperren darf man sich diesen Änderungen nicht, da ständig zu überprüfen ist, ob die Maßstäbe der DSGVO eingehalten werden, Art. 5 Abs. 2 DSGVO. Gerade der Erlaubnistatbestand „Berechtigtes Interesse“ nach Art. 6 Abs. 1 f) DSGVO wird fortlaufend – und nicht immer nur zum Nachteil des Datenverarbeiters – konkretisiert. Als Beispiel sei hier die viel diskutierte Videoüberwachung herausgegriffen. Die einzelnen Landesbeauftragten für den Datenschutz haben keine einheitliche Ansicht darüber, wie diese Datenverarbeitung gesetzeskonform abzubilden ist. Genügt bei einem Parkhaus etwa der Hinweis auf eine Videoüberwachung? Wie muss dieser Hinweis gestaltet sein? Muss auf die Widerrufsmöglichkeit des Dateninhabers hingewiesen werden? Genügt der Hinweis darauf, dass die Videoüberwachung dazu dient, Straf- oder Zivildelikte zu verhindern und gegebenenfalls zu verfolgen?

Unklarheiten entstehen auch durch die rege Diskussion der DSGVO in der Öffentlichkeit. Viele Punkte, die vehement angeprangert werden, müssen nicht oder jedenfalls nicht in dieser Form tatsächlich erfüllt werden. Auch hier ist die Frage, wie datenschutzrechtliche Standards in den Unternehmensablauf integriert werden können, in mehrfacher Hinsicht lohnend. Sie reduziert nicht nur das Risiko von Bußgeldern und Schadensersatzansprüchen, sondern erleichtert an anderen Stellen auch die Arbeit. Das berühmte Gerücht, wonach Kunden und Patienten nicht mehr mit Namen aufgerufen werden dürften, sensibilisiert z. B. für das grundsätzliche Problem, ist aber in dieser Form überzogen und zu weit gegriffen.

3.    Datenschutz aus Eigeninteresse

Ignoriert man allerdings die vielerorts medial inszenierte Panikmache, die schon das Ende des Internets prophezeite, bleibt ein begrüßenswerter Ansatz, persönliche Daten vor unbefugter Verwendung zu schützen. Wie der Bundesdatenschutzbeauftragte Ulrich Kelber gegenüber der Nachrichtenagentur dts nochmals betonte, habe sich die „DSGVO weltweit als Leitbild für den Datenschutz etabliert“. Wie wichtig Datenschutz ist, lässt sich daran erkennen, dass die aktuell wertvollsten Unternehmen, Google, Amazon oder Facebook, tatsächlich vorwiegend mit Daten handeln. Gleichwohl wird Datenschutz im Mittelstand vielfach nur als lästige Pflicht, nicht aber als unternehmerisches Potenzial verstanden. „Viele Unternehmen wissen gar nicht, was sie alles wissen“, fasst dies Ursula Podjak, MdL, zutreffend zusammen.

Ein bewusster und verantwortungsvoller Umgang mit Daten ist also nicht nur sinnvoll, um Bußgeldern zu entgehen, sondern liegt tatsächlich im eigenen Interesse der Unternehmen. Eine zulässige Auswertung vorhandener Daten ermöglicht erhebliches Einsparpotenzial in den Unternehmensabläufen, kann für ein besseres Betriebsklima und höhere Mitarbeitermotivation sorgen, bietet Raum für zielgerichtetere Kundenansprachen und marktfähigere Produkte. Dies geht über die Anforderungen der gänzlich anders motivierten DSGVO hinaus, ist aber ein Ansatz, der bei Erfüllung von gesetzlichen Pflichten von den Unternehmen ohne nennenswerten Zusatzaufwand mitverfolgt werden könnte. 

4.    Der Baker Tilly - Datencheck

Baker Tilly bietet als erfahrener Berater, sowohl in unternehmerischen Abläufen als auch in rechtlichen Fragen, für Mandanten einen Datencheck. Auf Grundlage der aktuellen Rechtslage wird in einem Audit geprüft, ob die im Unternehmen eingeführten Standards den gesetzlichen Anforderungen entsprechen, Verbesserungsbedarf aufgezeigt und ggf. die Rechtskonformität bestätigt. Darüber hinaus wird auf Wunsch aufgezeigt, welches Potenzial in den erhobenen Daten angelegt ist, wo Verbesserungspotenzial in den Verarbeitungsvorgängen steckt und wie das theoretisch vorhandene Wissen auch praktisch aktiviert werden kann.

Zurück