DSGVO: Längst vergessen oder aktueller denn je?

 

Im vergangenen Jahr ist die Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Sorge und Aufregung erreichten im Frühjahr des letzten Jahres ihren Höhepunkt: Arbeitet mein Unternehmen datenschutzkonform? Drohen Geldstrafen? Brauche ich einen externen Datenschutzbeauftragten? Und was müssen Unternehmen, Vereine und Ärzte eigentlich genau beachten? Inzwischen ist es um dieses Thema recht ruhig geworden. Was hat sich in den letzten Monaten getan und gibt es überhaupt noch Handlungsbedarf? Diese Fragen beantwortet unser Experte und zertifizierter Datenschutzbeauftragter im Interview.

Erlebte die Diskussion um neue Datenschutzregeln mit der Frage nach der Verwendung von Klingelschildern ihren Höhepunkt? Wurde die DSGVO überstrapaziert?

Die Berichterstattung über angeblich unrechtmäßige Klingelschilder und ähnliche skurrile Fälle hat gezeigt, dass noch viele Missverständnisse bestehen. Dies ist ärgerlich, da der Datenschutz ein wenig ins Lächerliche abdriftet und der Blick für das Wesentliche abhandenkommen kann. Die DSGVO gilt in erster Linie für die automatisierte Verarbeitung von personenbezogenen Daten, also für die Verarbeitung mittels technischer Geräte. Daneben gilt sie für die nicht automatisierte Verarbeitung nur, wenn die personenbezogenen Daten in einem Dateisystem gespeichert werden sollen. Ein Dateisystem erfordert eine strukturierte Sammlung von Daten. Klingelschilder stellen keine solche strukturierte Sammlung dar. Selbst wenn die DSGVO Anwendung findet, lassen sich häufig Rechtsgrundlagen für die Verarbeitung finden. Die muss auch nicht immer bloß in der Einwilligung der Betroffenen gesehen werden. Insbesondere die Erforderlichkeit zur Vertragserfüllung oder das berechtigte Interesse sollten als mögliche Rechtsgrundlagen geprüft werden. Daneben ist es auch möglich, die Informationspflichten zu erfüllen und so Transparenz herzustellen.

Somit können sich die Unternehmen jetzt zurücklehnen?

Nein, zurücklehnen sollte sich kein Unternehmen. Die Kunden, Geschäftspartner und Mitarbeiter sind beim Thema Datenschutz sensibilisiert. So verzeichneten die Behörden im Jahr 2018 ein erhöhtes Aufkommen an Beschwerden und auch viele Unternehmen haben schon Erfahrung mit der Geltendmachung von Betroffenenrechten, insbesondere dem Auskunfts- und Löschungsrecht, gemacht. Ein Datenschutzverstoß erschüttert das Vertrauen in die Zuverlässigkeit des Unternehmens und kann sich daher schnell negativ auf die verschiedenen Geschäftsbeziehungen auswirken. Zudem sollten Unternehmen die Anforderungen der DSGVO nicht als lästige Pflicht wahrnehmen, sondern als Möglichkeit begreifen, eigene Prozesse zu optimieren und auch die Sicherheit ihrer Betriebs- und Geschäftsgeheimnisse sowie ihrer IT-Infrastruktur zu steigern. Die DSGVO fordert eine angemessene Datenschutzorganisation, sprich ein Manage-
mentsystem hinsichtlich der personenbezogenen Daten, welches stetig aktualisiert und verbessert werden soll.

Wie kann ein Unternehmen wieder in eine gute Balance zwischen betrieblichen Aufgaben und Datenschutz kommen?

Unternehmen sollten versuchen, sich nicht von den Anforderungen der DSGVO lähmen zu lassen, schließlich müssen der Vertrieb ebenso wie die Prozesse der Personalabteilung weiterlaufen. Vielmehr sollte die Chance genutzt werden, das Thema Datenschutz als Reputationsthema zu betrachten und die entsprechende Konformität in der Unternehmenskommunikation zu implementieren. Schließlich muss jeder Betrieb für sich ausloten, was in puncto Datenschutz und -verarbeitung beachtet und umgesetzt wird. Setzen Sie sich in diesem Zusammenhang damit auseinander, wo Ihre berechtigten Interessen liegen. Mit unseren Mandaten erreichen wir eine gute Balance, wenn die Grundlagen geklärt sowie Risikofaktoren erkannt worden sind. Hierbei setzen wir auf eine Analyse der Datenverarbeitungsprozesse, die Etablierung von Mechanismen für Schulungen, Dokumentationen, einen reichhaltigen Erfahrungsschatz sowie Konzentration auf die Big Points. Dies ist sicherlich häufig ein arbeitsintensives Projekt. Sind die Grundlagen aber einmal geschaffen, Prozesse definiert und klare Regeln im Unternehmen implementiert, kann der normale Betriebsablauf mit einigen Ergänzungen fortgeführt werden.

Hat sich zum Jahreswechsel im Bereich Datenschutz noch etwas geändert, was Unternehmen beachten müssen? Kann man erwarten, dass sich an den doch scharfen Bestimmungen der DSGVO etwas ändert?

Seit dem Jahreswechsel ist die „Schonfrist“ abgelaufen. Nun muss der Datenschutzbeauftragte auch in NRW gemeldet sein und die Aufsichtsbehörden prüfen aktiv. An den relevanten Datenschutzgesetzen hat sich nichts geändert. Änderungen an der DSGVO sind vorerst auch nicht zu erwarten, da europäische Gesetzgebungsprozesse langwierig sind. Der Spielraum des nationalen Gesetzgebers ist eingeschränkt, sodass auch die Ankündigungen einiger Politiker, man wolle die DSGVO abschwächen, unter den Datenschützern als unwahrscheinlich eingestuft werden. Änderungen werden sich kurzfristig insofern ergeben, als dass der Gesetzestext durch Interpretation der Aufsichtsbehörden und der sich häufenden Gerichtsentscheidungen konkretisiert wird und sich insofern die Gestaltungsspielräume verengen dürften.

Wie kann ein Datenschutzbeauftragter unterstützen und was sind die Vorteile eines externen Datenschutzbeauftragten?

Der Datenschutzbeauftragte kann durch seine Prüfungs- und Beratungstätigkeit einen wichtigen Beitrag zur Datenschutzorganisation leisten. In erster Linie bietet er den Unternehmen mit seiner Expertise Sicherheit. Bei Fragen oder Problemfällen haben alle Beteiligten die Gewissheit, umfassend beraten zu werden, und riskieren keine voreiligen Schnellschüsse. Durch gut abgestimmte Prozesse kann sichergestellt werden, dass auftretende Themen umgehend beim Datenschutzbeauftragten landen und so fristgerecht bearbeitet werden können, insbesondere bei fristgebundenen Meldepflichten oder Betroffenenanfragen. Der externe Datenschutzbeauftragte unterstützt bei der Implementierung eines Datenschutz-Management-Systems sowie eines Verfahrensverzeichnisses und behält stets die Aktualisierung von Richtlinien oder der Datenschutzerklärung auf der Homepage im Auge. Daneben ist natürlich auch nicht von der Hand zu weisen, dass mit ihm mangels Interessenkonflikten und dem externen Blick eher zu den relevanten Punkten vorgedrungen wird und letztendlich auch Risiken aus dem Unternehmen ausgelagert werden.

Dr. Christian Lenz

Rechtsanwalt, Fachanwalt für Steuerrecht

Zum Profil von Dr. Christian Lenz

Permalink