DSGVO: Aktion gefragt, Ausreden zählen nicht!

Gastbeitrag von Janina Thieme, Rechtsanwältin PRW Rechtsanwälte, anknüpfend an die Veranstaltung „30 Tage DSGVO“

Keine Panik, aber bitte auch kein Zurücklehnen

Keiner der Teilnehmer des DSGVO-Thementages bei Microsoft Ende Juni meldete sich bei der Frage, wer denn schon eine Abmahnung in Zusammenhang mit der DSGVO bekommen hätte. Das freut mich natürlich, aber es überrascht mich auch nicht. Die befürchtete Abmahnwelle blieb nämlich bislang aus. Das hat aus meiner Sicht zwei Gründe: Zum einen ist es bisher unklar, ob die Vorschriften der DSGVO überhaupt wettbewerbsrechtlich abmahnbar sind. Hierzu müssen zunächst die ersten Gerichtsentscheidungen Klarheit schaffen. Zum anderen dürfen gemäß DSGVO nur Betroffene, Aufsichtsbehörden und Verbände gegen Datenschutzverstöße vorgehen. Betroffene können dabei natürlich auch Kunden oder Mitbewerber sein. Momentan fehlt diesen aber oft noch die Sicherheit, selbst 100% DSGVO-konform aufgestellt zu sein. Wer im Glashaus sitzt möchte nicht den ersten Stein werfen.

Einzelne Abmahnfälle, die meinen Kollegen und mir bisher vor allem auch bei mittelständischen Unternehmen untergekommen sind, betreffen in erster Linie Unternehmens-Webseiten. Hier werden vor allem fehlende oder nicht ausreichende Datenschutzerklärungen oder die fehlerhafte Einbindung von Plug-Ins abgemahnt. Aber selbst hier hält sich die Anzahl der Abmahnungen stark in Grenzen und für Panik gibt es keinen Grund.

Gegen einige große Player wurden dagegen bereits Beschwerden eingereicht. Unmittelbar nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) hat der Verein „Noyb“ erste Anzeigen gegen Google und Facebook wegen sogenannter „Zwangszustimmungen“ auf den Weg gebracht. Der Verein möchte dagegen vorgehen, dass die Dienste teils sehr generelle Zustimmungen in Datenverarbeitungen von den Nutzern verlangen. Ohne diese generellen Zustimmungen können die Dienste nicht genutzt werden. Mit der Akzeptanz der Nutzungsbedingungen stimmt der Nutzer aber auch der Verarbeitung von Daten zu, die nach Meinung der Beschwerdeführer nicht für den Betrieb des Dienstes nötig sind, sondern nur für Werbeprofile genutzt werden, damit die Unternehmen Gewinne machen.

Dass der erwartete „Sturm“ bisher nicht eingesetzt hat, sollte aber nicht dazu führen, dass die Unternehmen sich beruhigt zurücklehnen – schließlich ist dies nur der Status Quo 30 Tage nach Inkrafttreten der Verordnung. Die DSGVO-Umsetzung ist eine Herausforderung, die von Unternehmen jeder Größenordnung unter Einsatz adäquater Ressourcen gut bewältigt werden kann.

Ich darf dazu drei aktuell gängige Thesen aufgreifen und meine Einschätzung als Beraterin dazu abgeben:

These 1: „Der Mittelstand braucht deutlich mehr Zeit, um komplett DSGVO-konform zu werden.“

Hierzu gibt es ein klares Nein von meiner Seite, denn die DSGVO hatte eine Umsetzungsfrist von zwei Jahren und diese ist völlig normal und angemessen. Wer meint, das war zu wenig Zeit, hat der DSGVO vielleicht zu wenig Bedeutung beigemessen oder zu wenige Ressourcen für die Umsetzung beigestellt. Zudem traf uns die neue Verordnung auch nicht überraschend. Jahre bevor die finale Fassung verabschiedet wurde und die Umsetzungsfrist anlief, war klar, dass die Verordnung kommen und neue Anforderungen mit sich bringen wird.

These 2: „Die Umsetzung der DSGVO ist nur für Konzerne mit Rechtsabteilung machbar.“

Consulting GmbH und PRW Rechtsanwälte haben eine Vielzahl von Umsetzungsprojekten betreut. Unsere Kunden sind Konzerngesellschaften wie mittelständische und kleine Unternehmen ohne Fachabteilungen. Meiner Erfahrung nach ist die Umsetzung der DSGVO für die Großen nicht leichter als für die Kleinen. Wir bieten ein modulares Projektsystem, bei dem je nach Unternehmensgröße und -struktur einzelnen Bausteinen eine unterschiedliche Bedeutung beigemessen werden kann. So ist die Umsetzung – angepasst an die Unternehmensgröße, den sich daraus abgeleiteten Aufwand und den vorhandenen Ressourcen – individuell gestaltbar. Es sind personelle und finanzielle Ressourcen notwendig. Aber auch mit kleineren Budgets kann eine erfolgreiche Umsetzung gelingen. An dieser Stelle möchte ich auch auf die unentgeltlichen Hilfestellungen der Aufsichtsbehörden hinweisen, die sich wirklich große Mühe gegeben haben, nützliche Vorlagen bereitzustellen, beispielsweise federführend das Bayerische Landesamt für Datenschutzaufsicht.

These 3: „Die DSGVO führt zur Entdigitalisierung der deutschen Wirtschaft.“

Die DSGVO ist keine Verordnung gegen jemanden. Sie dient nicht dazu, den Mittelstand zu ärgern oder gar die Digitalisierung aufzuhalten. Es ist eine Verordnung für die Betroffenen. Hintergrund ist, dass die Datenverarbeitung exponentiell ansteigt und sich ein eigener Wirtschaftszweig für Datenverarbeitung entwickelt hat, der die Notwendigkeit schafft, die Betroffenen effektiver zu schützen. Es wird nötig, neue Mechanismen zu schaffen, die es den Menschen ermöglichen, selbstbestimmt zu bleiben. Als Privatperson finden wir das begrüßenswert, im Unternehmensalltag eher lästig.

Dabei gibt es Wege und Tools, sämtliche Prozesse datenschutzkonform aufzusetzen. Ein gutes Beispiel sind die Microsoft-Lösungen, welche die Einhaltung der DSGVO leicht machen und so flexibel und skalierbar sind, dass für Unternehmen jeder Größe das Passende gefunden werden kann. Und wer ganz vorbildlich arbeiten möchte, kann sich überlegen, zusätzlich ein spezielles Datenschutztool für die fortlaufende datenschutzrechtliche Projektierung einzusetzen. In diesem Zusammenhang möchte ich kurz die SharePoint App DSGVO365 erwähnen, die wir von PRW Rechtsanwälte gemeinsam mit dem Microsoft-Partner Brüll & Partner entwickelt haben.

3 Schritte zur DSGVO-Umsetzung: Ermitteln, Verwalten, Schützen

  1. Ermitteln bedeutet, sich als Unternehmer zu überlegen, an welcher Stelle im eigenen Unternehmen Datenverarbeitung stattfindet und auf welcher Rechtsgrundlage diese Daten verarbeitet werden dürfen. Bei der Auftragsdatenverarbeitung zum Beispiel sind entsprechende Verträge mit den Dienstleistern wichtig.
  2. Das Verwalten beschreibt die fortlaufenden zu erledigenden Aufgaben. In Unternehmen jeder Größe sollte es jemanden mit dem nötigen Know-how geben – egal ob einen internen oder einen externen Datenschutzbeauftragten oder Koordinator. Es muss klar geregelt sein, wer beispielsweise bei einer Anfrage eines Betroffenen Auskunft erteilt. Auch im Falle einer Datenpanne ist festzulegen und fortlaufend zu kontrollieren, wer mit der zuständigen Aufsichtsbehörde binnen 72 Stunden kommuniziert und wie er das tut.
  3. Ein weiterer Aspekt des Datenschutzes ist die Datensicherheit. Strenggenommen findet das wichtige Thema nur in Art. 32 DSGVO Einzug in die Verordnung. Und der lässt einen großen Handlungsspielraum, denn er gibt lediglich den Grundsatz an die Hand, geeignete technische und organisatorische Maßnahmen treffen zu müssen, sowie einen Beispielkatalog, welche das sein können. Mit welchen Tools und Partnern eine angemessene Datensicherheit gewährleistet wird, muss jedes Unternehmen für sich bewerten und entscheiden. Es gibt aber auch dazu ein gutes Angebot im Markt.

Ich rate jedem Unternehmen: Etablieren Sie die DSGVO als neuen fortlaufenden Unternehmensprozess.  Unabhängig von der Unternehmensgröße gelingt durch Einsatz einiger notwendiger Ressourcen die DSGVO-Konformität bei jedem!

Sehen Sie sich dazu auch dieses Video an:

Und am Dienstag, den 25. September, findet schon das nächste große Mittelstands DSGVO-Event statt – vor Ort in München mit Workshops am Nachmittag (> Zur Agenda) oder als Webcast (> Zur Live-Stream Agenda)


Über die Autorin: Rechtsanwältin Janina Thieme studierte Rechtswissenschaften in München und verbrachte während ihrer Ausbildung Stationen in Hamburg und Washington DC. Nach einer mehrjährigen Tätigkeit als wissenschaftliche Mitarbeiterin, ist sie seit Anfang 2016 als Rechtsanwältin bei PRW tätig.

Frau Thieme berät Mandanten in sämtlichen Bereichen des Informationstechnologierechts. Sie ist spezialisiert auf die Beratungsfelder Vertragsrecht, Outsourcing und Datenschutz.

Steigen Sie in die Konversation ein

0 Kommentare

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *