Zehn Fragen zum Thema DSGVO

1.Hilfe! So viele E-Mails!

Durch die DGSVO sind personenbezogene Daten im Besonderen geschützt. Das betrifft Newsletter und E-Mail-Adressen.

Daher sollten Unternehmen diese nur nutzen, wenn dies rechtskonform ist oder der Empfänger explizit zugestimmt hat.
Viele Anbieter überarbeiten daher seit Mai ihre Prozesse und bitten Betroffene auf diversen Wegen, dem Erhalt der versendeten Informationen zuzustimmen.

Bei vorhandenen Kundenbeziehungen ist dieses Anfragen der Versender allerdings nicht unbedingt zwingend. Wenn vorauszusetzen ist, dass der Empfänger die Informationen haben möchte/muss, besteht für die sendenden Unternehmen keine Pflicht zur erneuten Anfrage. Besagte Voraussetzung muss allerdings einwandfrei gegeben sein.

2. Betrifft die DSGVO auch mich und meine Firma?

Jeder, der personenbezogene Daten verarbeitet, ist betroffen. Das meint nicht nur Unternehmen, sondern auch Gruppierungen, die eher Freizeitniveau haben, so z.B. Vereine.
Wer also Namen, Adresse etc. von seinen Kunden oder Geschäftspartnern kennt, ist in der Pflicht. Das gilt auch für alle, die Daten gar nicht selbst bearbeiten oder vorhalten, sondern nur als Instanz in der Mitte zu Dritten übermitteln.

3. Hat die DGSVO auch irgendeinen Nutzen?

Betroffene konnten bereits nach alter Gesetzeslage von Unternehmen verlangen, über die gespeicherten Personendaten informiert zu werden. Dazu gehören Name, Adresse, Geschlecht, Alter, Konfession, Ausweis- oder Fahrzeugdaten und mehr.
Durch die DSGVO ist in Zukunft über das bisherige Maß hinaus nun auch eine Löschung solcher Daten durchsetzungsfähig.

Personenbezogene Daten (pbD) müssen von Unternehmen noch umsichtiger gehandhabt werden. Noch sind die Abmahninstanzen nicht spürbar aktiv. Mit zunehmendem Wissensaufbau auf solchen Seiten wird ergo auch eine spürbare Abmahnwelle zu erwarten sein. Exotische Ausnahmen sind Österreich und Bayern. Dort wird zwar der Einhalt der Rechtsprechung versprochen, aber die schmerzhaft hohen Bußgelder werden jeweils nicht angedroht. Das soll nicht heißen, dass die DSGVO in beiden Lokationen nicht gilt – es fehlt nur der „Büttel aus dem Sack“.

4. Dürfen meine Daten einfach so weitergegeben werden?

Definitiv: Nein. Betroffene müssen vor der (Weiter-)Verwendung ihrer Daten durch einen Dritten diesem Vorgang jeweils zustimmen. Dabei müssen die vom abgebenden Unternehmen gemachten Angaben zum geltenden Datenschutz auch für Nichtjuristen verständlich formuliert sein.

5. Welche Strafen drohen bei Nichterfüllung?

Das ist der Sorgenpunkt Nummer eins in der Wirtschaft. Vom Gesetzgeber und den kontrollierenden Instanzen werden harte Maßnahmen bei Nichterfüllung verhängt. Bei Nichtbeachtung der DSGVO können bis zu 20 Millionen Euro oder vier Prozent des erzielten weltweiten Jahresumsatzes zu zahlen sein – je nachdem, welcher Wert  höher ist. Und das ist nur die halbe Miete. Private Schadensersatzforderungen z.B. bei Rufschädigung o.ä. sind damit nicht gar nicht erschlagen. Einziger Bonus aktuell: Einige Abschnitte innerhalb der DSGVO lassen keine klare Entscheidungslage erkennen. Die geltenden Formulierungen sind nicht so griffig, wie das zu wünschen gewesen wäre. Hier wird die nächstfolgende Evolutionsstufe sicherlich Besserung bringen.

Nach der ersten Panik Ende Mai 2018 hofft die Wirtschaft nun scheinbar auf Milde vonseiten der Behörden.
Laut einer Umfrage des Branchenverbands Bitkom plädieren 50% der befragten Unternehmen, dass die Aufsichtsbehörden bei Verstößen zunächst nur abmahnen, also zu Nachbesserungen auffordern sollten. Die allgemein gehegte Hoffnung ist wohl, dass mit dieser Vorstufe überschaubare oder keine Kosten drohen.
Zumindest EU-Justizkommissarin Vera Jourova stützt diesen Hoffnungsschimmer. Sie deutete an, dass Unternehmen auf Nachsicht hoffen dürfen, sollten sie die Anforderungen nicht sofort erfüllen.

6. Ist die DSGVO nun wirklich etwas Neues?

Nein. Schon vor dem 25. Mai 2018 galt ein klares Reglement zum Umgang mit dem Datenschutz. Auch das Bundesdatenschutzgesetz (BDSG) drohte schon mit Bußgeldern in Höhe von bis zu 300.000 Euro.
Die Durchsetzung dieser Maßnahme war allerdings überschaubar. Dennoch herrscht selbst bei den Behörden keine Klarheit, wie mit Verstößen real zu verfahren ist. Der Datenschutzbeauftragte aus Hessen, Michael Ronellenfitsch, wird sinngemäß so zitiert: „Wir haben zwar Zähne erhalten, sind aber nicht bissig geworden“.

Doch auch diese gelebte Milde birgt Risiken. Jede Aufsichtsbehörde kann nämlich bei nachgewiesener Untätigkeit sowohl von Betroffenen wie auch von Verbänden verklagt werden.

7. Wird nun eine Abmahnwelle kommen oder nicht?

Klares Jain. Wer sich intensiv mit dem Thema auseinandersetzt, muss zu dem Schluss kommen, dass es eine solche Abmahnwelle geben wird. Das Wissen um die eigenen Rechte ist noch nicht wirklich breit gestreut. Daher ruht der Verkehr auf dieser Ebene im Moment.
Man muss sich jedoch verdeutlichen, dass jeder Betroffene ein Recht auf Beschwerde bei der Aufsichtsbehörde hat, sofern es die Vermutung von Zuwiderhandlungen im Umgang mit personenbezogenen Daten gibt, oder dieses sogar nachweisbar ist.
Das wird bei uns in Deutschland sicherlich nicht ungenutzt bleiben.
Ein potentielles Folgeproblem ist:  Es gibt zu wenig Kompetenz im Dienstleistungssektor und ebenso fehlt es an Ressourcen bei den Behörden um das zu erwartende Maß überhaupt abwickeln zu können.

8. Also zusätzlich auch eine Beschwerdewelle?

Das ist zu erwarten. Die von der Veritas Technologies (Cloud Dienstleister) durchgeführte Umfrage ergab, dass 40% der Deutschen innerhalb von sechs Monaten die neue Gesetzeslage und ihren resultierenden Rechten nutzen möchten. Das Hauptinteresse bei den Befragten liegt in der Information, welche Daten genau die entsprechenden Anbieter über sie vorhalten.

9. Schadet die DSGVO nicht unserer Wirtschaft?

Auch hier gibt es zwei Lager. Nach einer von IBM durchgeführten Studie glaubt etwas mehr als die Hälfte der befragten Unternehmen, dass die DSGVO den europäischen Firmen einen Wettbewerbsvorteil bringt.

Ungefähr derselbe Prozentsatz von Befragten ist sich allerdings auch sicher, dass die geltende Verordnung die Geschäftsprozesse komplizierter mache. Genau 38 % gehen davon aus, dass die Digitalisierung in Europa durch Belegung der vorhandenen Ressourcen, ausgebremst würde.
Nach Expertenmeinung kann Deutschland allerdings dennoch von der Entwicklung profitieren, da es bei uns bereits vorher deutlich schärfere Bestimmungen als im Rest von Europa gab. Im Wettbewerb innerhalb der EU liegt nach deren Meinung Deutschland also vorn.

10. Ist die DSGVO nun fertig?

Nein, sicherlich nicht (siehe Punkt 5.).
Wie bald jedoch eine Überarbeitung erfolgen kann, ist noch nicht abzusehen. Immerhin betrifft das Thema die gesamte EU. Die Abstimmungen einer potentiellen Neuregelung werden sicherlich nicht zeitnah absolviert sein. Es kann aber nicht schaden, proaktiv einige der momentanen Definitionen bereits auszudehnen. Das beste Beispiel hier ist das Verfahrensverzeichnis (VVT). Nach geltender Verordnung sind Unternehmen, die keine besonders schützenswerten Daten nach Art. 9 DSGVO verarbeiten UND weniger als 250 Mitarbeiter haben, nicht zur Anlage eines VVT verpflichtet. Nun ist es aber leider so, dass ein VVT eine hervorragende Grundlage für notwendige Folgearbeiten darstellt (z.B. Ausarbeitung der „technischen und organisatorischen Maßnahmen – TOMs, Datenschutzkonzept etc.).  Ein freiwilliges Abarbeiten der VVT-Anforderungen, auch wenn man die notwendigen Eckdaten nicht erfüllt, wäre also kein unnützes Strebertum.