Fachartikel in der IHK – Mitgliederzeitung – 6 Monate DSGVO

Sechs Monate nach der DSGVO herrscht Unsicherheit bei Unternehmern

Fachartikel in der IHK - 6 monate DSGVO
Fachartikel in der IHK

Vor rund sechs Monaten sind die Datenschutz-Grundverordnung (DSGVO) und  das  neue Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Bereits ab Mitte Februar häuften sich bei den Datenschutzberatern die Anfragen von Unternehmern, die plötzlich das Thema Datenschutz für sich entdeckt hatten. Natürlich nicht freiwillig. Die Unsicherheit wurde größer, umso  näher  der  25. Mai rückte.
„Schwarze Wolken über Europa – Die DSGVO kommt und mit ihr eine Abmahnwelle und existenzbedrohende Bußgelder“. Teilweise reagierten die Unternehmer panisch und diese Panik führte vielfach zu wildem Aktionismus. Dieser gipfelte in einer  fast  unbändigen  E-Mail-Flut  über „Verpflichtungen   zur   Information“  oder der „Bitte um erneute Einwilligung für  den Versand von Newslettern“. Die Nachrichten waren wahlweise der verzweifelte Versuch, nicht rechtmäßig erworbene E-Mail-Adressen im Nachgang zu „legalisieren“ oder schlicht eine Überinterpretation der Anforderungen aus der neuen Verordnung, die zu falschen Maßnahmen führte.

Abmahnwelle blieb aus

Als die Erkenntnis nach dem 25. Mai wuchs, und die Abmahnwelle wie auch Berichte von Horror-Bußgeldern ausblieben, ließ auch das Interesse an der DSGVO, bzw. der Umsetzung in den Betrieben, spürbar nach. Wer als Verantwortlicher glaubt, das Thema Datenschutz war einfach nur aufgeblasen und ist nun wieder vom Tisch, der irrt– und zwar gewaltig.

Das Thema „Abmahnwelle nach dem 25.05.18“ hatte sich sehr schnell erledigt. Es gab kaum Datenschutz-Abmahnungen. Warum? Die DSGVO ist in vielen Bereichen „schwammig“ formuliert. Das Gesetz kann unterschiedlich ausgelegt werden und eine Rechtsprechung gibt es aktuell noch keine. Die E-Privacy-Verordnung, die vieles im Online-Marketing regeln soll, ist noch nicht in Kraft getreten. Um abzumahnen, benötigt es aber eine klare Rechtslage. Die Abmahnwelle wird also, wenn sie überhaupt kommt, eher mit der E-Privacy-Verordnung übers Land schwappen.

Aufsichtsbehörden stellen sich auf

Die Angst vor Bußgeldern ist durchaus berechtigt. Hier haben aber alle Unternehmen in Deutschland aktuell noch eine Art Schonfrist, die sicher noch bis Ende 2018 Bestand haben wird. Die Aufsichtsbehörden stellen sich gerade erst auf. Personal wird ausgebildet und die Behörden schaffen die organisatorischen Voraussetzungen, um ab 2019 „arbeitsfähig“ zu sein. Ab dann wird geprüft. Sicherlich werden wir also im Frühjahr 2019 von den ersten Bußgeldern wegen Verstoßes gegen die DSGVO lesen können. Und diese Bußgelder werden es in sich haben, denn sie sollen „abschreckend“ wirken. Daraus kann man schließen, dass die Zeiten, als man mit einem „blauen Auge“ davon gekommen ist, vorbei sind.

Folgendes sollten die Verantwortlichen bis Ende des Jahres erledigt haben, um das Risiko eines Bußgeldbescheides wegen eines DSGVO-Verstoßes zu reduzieren:

  1. Website DSGVO-konform machen, das heißt: Verschlüsselung, Datenschutz- Erklärung, Einwilligungen, Transparenzpflichten gegenüber Betroffenen
  2. Datenschutzbeauftragten benennen und der Behörde melden
  3. Schulung, Sensibilisierung und Verpflichtungen der Beschäftigten
  4. Erfassen aller Verfahren mit Personenbezug und Dokumentation im Verzeichnis der Verarbeitungstätigkeiten
  5. Erstellen des erweiterten Verzeichnisses der Verarbeitungstätigkeiten, um Rechenschaftspflicht erfüllen zu können
  6. Optimierung der Prozesse und Verfahren überall dort, wo notwendig, z.B. Umgang mit Verstößen und Datenpannen
  7. Erfassen der eigenen technischen und organisatorischen Maßnahmen, gegebenenfalls Umsetzung von notwendigen Maßnahmen
  8. Prüfung, mit welchen Dienstleistern eine Auftragsverarbeitung besteht und passende AV-Verträge abschließen
  9. Löschkonzept entwickeln
  10. Konzept zur Erfüllung von Betroffenenrechten entwickeln, z. B. Recht auf Auskunft, Recht auf Vergessenwerden, Recht auf Löschung usw.

Sicherheit auf vielen Ebenen

Große Bandbreite bei Noz Elektrotechnik

An den drei Standorten Ludwigsburg, Bietigheim-Bissingen und Affalterbach finden regionale und kommunale Unternehmen mit Noz Elektrotechnik einen versierten Part- ner, sowohl für Sicherungstechnik als auch für IT-Sicherheit. Die Firma Noz besteht seit über 40 Jahren und überzeugt mit Kompetenz und ver- lässlicher Nähe zum Kunden.
Von Anfang an war Sicherheitstechnik einer der Schwerpunkte. Blitzschutz und Brandmeldeanlagen zählen genauso zum Angebot wie Schließanlagen, Zugangskontrolle, Einbruchmeldeanlagen und Videoüberwachung. Auch im Bereich IT-Infrastruktur ist das Unternehmen mit rund 80 Mitarbeitern ein erfahrener Ansprechpartner und bietet hochverfügbare Firewall-Lösungen, sichere Datenübertragung (VPN) sowie Unternehmenslösungen für den Virenschutz.

Bestimmung eines Datenschutzbeauftragten

Die DSGVO sieht, wie auch schon das alte Bundesdatenschutzgesetz, vor, dass Verantwortliche einen Datenschutzbeauftragten (DSB) zu benennen haben. Neu ist seit dem 25. Mai 2018, dass dieser auch online der zuständigen Aufsichtsbehörde gemeldet werden muss. Die DSGVO, bzw. BDSG, sieht vor, dass Betriebe ab zehn Beschäftigten einen Datenschutzbeauftragten zu benennen haben. Das ist natürlich zunächst eine Investition für die Unter- nehmen. Aber diese Pflicht hilft, denn mit dem Datenschutzbeauftragten kommt Expertenwissen und Fachkunde in die Organisation.

Datenschutz ist kein Projekt, sondern ein kontinuierlicher Prozess

Die meisten Unternehmen haben, aus Angst vor Abmahnungen, mit Hilfe ihrer Web-Agentur und einem Rechtsanwalt die eigene Website aktualisiert und die Anforderungen der DSGVO umgesetzt. Spätestens mit Einführung der E-Privacy-Verordnung muss die Website wieder angepasst werden, gegebenenfalls auch schon früher, sollte es eine entsprechende Rechtsprechung geben. Das Verzeichnis der Verarbeitungstätigkeiten ist ebenfalls kein Dokument, das nur einmal erstellt wird. Es soll ständig überarbeitet und entwickelt werden. Die Datenschutzbehörde wird hier bei einer Prüfung entsprechende Revisionsstände einsehen wollen, durch welche die Entwicklung dokumentiert ist.

Im Verzeichnis werden Sie Löschfristen angegeben. Damit allein ist es aber nicht getan. Sie müssen auch tatsächlich löschen können. Das heißt, ein Löschkonzept muss kreiert werden, Prozesse optimiert und eventuell ein Dokumentenmanagementsystem eingeführt werden.

Sie werden sehr oft die Rechtmäßigkeit einer Datenverarbeitung mit Ihrem berechtigten Interesse begründen. Dem berechtigten Interesse geht immer eine Interessenabwägung voraus. Auch dieser Prozess sollte gewissenhaft durchgeführt und dokumentiert sein.

Die oben genannten Beispiele sind nur einige Punkte, die man im Bezug auf den Datenschutz beachten und umsetzen muss. Auch für den Datenschutz gilt das Prinzip des kontinuierlichen Verbesserungsprozesses.

Fazit

Mit der DSGVO können sich Unternehmer und Freiberufler nicht mehr erlauben, das Thema Datenschutz auf die leichte Schulter zu nehmen. Wenn die Aufsichtsbehörde anfragt, müssen Sie nachweisen, dass Sie Datenschutz können. Bleiben Sie diesen Beweis schuldig, laufen Sie Gefahr, ein empfindliches Bußgeld bezahlen zu müssen. Haben Sie keinen Datenschutzbeauftragten, der Sie unterstützt und das Fachwissen einbringt, müssen Sie selbst für Wissen und Umsetzung sorgen, immer – auch als Freiberufler, Einzelunternehmer, Vereinsvorstand oder Kleinunternehmer mit weniger als zehn Beschäftigten.

Zusammenfassung

Die Verantwortlichen müssen dafür sorgen, dass die Vorgaben der DSGVO in ihrem Betrieb umgesetzt werden. Zur Unterstützung und für die notwendige Fachkunde müssen Betriebe ab zehn Beschäftigten einen Datenschutzbeauftragten benennen. Kleinere Unternehmen können dies freiwillig tun. Datenschutz endet nicht nach dem Abarbeiten einer Checkliste, sondern ist ein kontinuierlicher Prozess. Ab 2019 werden die Aufsichtsbehörden Bußgelder für Verstöße gegen die DSGVO erheben.

Quelle: Magazin Wirtschaft 12/2018

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Geschäftsstelle

Barth Datenschutz GmbH
Theodor-Veiel-Straße 94
70374 Stuttgart

Tel: 0711 / 40070720
Fax: 0711 / 40070729
info@barth-datenschutz.de

Logo Mitglieder des BvD in blau

© Copyright - Barth Datenschutz GmbH - 0711 / 40070720 - info@barth-datenschutz.de