1 Jahr DSGVO: Wo stehen wir? (Gastbeitrag)

Mit dem ersten Jubiläum der Europäischen Datenschutzgrundverordnung ist es an der Zeit, einmal zu sehen, wo wir aktuell stehen. Dafür lassen wir den auf IT- und Datenschutzrecht spezialisierten Anwalt Herrn Michael Voltz in einem Gastbeitrag zu Wort kommen.

Wir erinnern uns, zu Beginn des letzten Jahres rückte ein Thema in allen kleinen und mittleren Unternehmen immer mehr in den Vordergrund: das neue Datenschutzrecht der DSGVO in Europa. Während große Unternehmen und Konzerne datenschutzrechtlich immer schon recht gut aufgestellt waren, sahen sich nun die KMUs mit neuen Rechtsfragen konfrontiert. Ich erinnere mich, dass es vor allem kleinere Betriebe, aber auch Vereine und mittelständische Unternehmen waren, die ihre Abgesandten zu meinen regelmäßigen Vorträgen zur DSGVO schickten und diese förmlich „überrannten“. Kaum ein anderes Thema meiner Vorträge warf so viele Fragen auf zog die Veranstaltungen ein ums andere Mal in die Länge.

Und dann war er da, der 25. Mai 2018. Und mit ihm jede Menge Formalien, Belehrungen, Dokumentationen und Datenschutzbeauftragte. Für sehr viele Unternehmen immer noch ein Thema, das nur halb begonnen wurde. Dabei muss man sich die Ziele und den Zweck der DSGVO nochmal vor Augen führen: Erstens, den Datenschutz fit zu machen für die neuen Technologien, zweitens, ihn EU-weit auf den selben Standard zu bringen und drittens, die Personen wieder zum Herr über ihre Daten zu machen. Aus diesem Grunde spreche ich übrigens immer gerne davon, dass der Begriff „Datenschutz“ eigentlich unpassend ist. Denn zuvorderst geht es um den Schutz der Person, um deren Daten es geht.

Sehr schnell umgesetzt wurden die Datenschutzhinweise auf den Internetseiten der Unternehmen. Interessant war aber schon hier zu beobachten, wie oftmals der Sinn der Regelung missverstanden wurde. Die DSGVO verlangt eine datenschutzrechtliche Information in einfachen und klaren Worten. Was einfach und klar bedeutet, war aber oftmals selbst nicht so ganz klar. Denn hier wurden viele Fehler gemacht. Ein Betreiber, dessen Datenschutzbelehrung mir zur Prüfung vorgelegt wurde, schoss dabei den Vogel ab, indem er ein komplettes Handbuch datenschutzrechtlicher Informationen als Belehrungstext abdruckte. Das liest natürlich kein Mensch und erfüllt auch nicht den Zweck einer Belehrung. Ein weiteres Missverständnis offenbarte sich immer dann, wenn die Belehrten den Datenschutzhinweisen des Betreibers „zustimmen“ sollten. Auch das ist natürlich Unsinn. Datenschutzhinweise sind keine AGB. Was soll denn gelten, wenn ich nicht zustimme? Tatsächlich geht es darum auch gar nicht, sondern um die Hinweispflichten darüber, was mit den personenbezogenen Daten des Betroffenen passiert, aus welchen Rechtsgründen dies erlaubt ist und zu welchem Zweck. Oder kurz gesagt um die Rechte des Betroffenen.

Im regelmäßigen Austausch mit Kollegen kann aber auch durchaus Positives berichtet werden. Zuerst, mit den befürchteten Bußgeldern haben sich die Aufsichtsbehörden bislang noch sehr zurückhaltend gezeigt. Das sollte allerdings nicht mit einem Freibrief verwechselt werden. Den Aufsichtsbehörden ist zunächst daran gelegen, bei der korrekten Umsetzung des Datenschutzes im Unternehmen behilflich zu sein. Misstrauisch werden die Aufsichtsbehörden aber zunehmend dann, wenn keinerlei Datenpannen passiert sein sollen, die ihnen eigentlich gemäß der DSGVO zu melden sind. Denn Hand aufs Herz, wo Menschen arbeiten, passieren Fehler. Auch die TOMs, die „Technischen und Organisatorischen Maßnahmen“ wurden größtenteils ausformuliert. Oft nicht wirklich verstanden wurden hingegen die Verfahrensverzeichnisse und die Aufgabe, diese als einen laufenden Prozess zu betrachten, der immer wieder überprüft und hinterfragt werden muss.

Trotz allem, aus meiner Sicht hat die Datenschutz Grundverordnung eines zumindest schon klar erreicht, nämlich die Schärfung des Bewusstseins über den Datenschutz. Wünschenswert wäre aus meiner Sicht, unnötige bürokratischen Hürden, vor allem für die kleineren Betriebe, zu überdenken und abzubauen und eine Vereinheitlichung der rechtlichen Einschätzungen der Aufsichtsbehörden untereinander. Aber das braucht eben seine Zeit. Schauen wir mal, wie weit wir damit nächstes Jahr sind.

Dieser Artikel ist ein Blogbeitrag von Michael Voltz, Rechtsanwalt für gewerblichen Rechtsschutz, Urheber- und Medienrecht, Inhaber der Kanzlei VOLTZ | RECHTSANWALT . Wir bedanken uns für die Kooperation.

Erfahren Sie mehr über Verschlüsselung und die einfache Einführung von DSGVO-konformer E-Mail-Kommunikation in Unternehmen. Im kostenlosen Praxis-Guide E-Mail-Verschlüsselung.