DSGVO

Ab dem 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) sowie ergänzend das neue Bundesdatenschutzgesetz (BDSG) in Kraft.

Zahlreiche Anfragen habe ich deswegen bereits erhalten. Einige dieser Anfragen resultieren daraus, dass irgendjemand irgendetwas über die neue DSGVO gehört oder gelesen hat. Und in der Tat wurde in den letzten Wochen und Monaten vieles über die neue DSGVO geschrieben, insbesondere im Internet. Einiges, was geschrieben wurde, ist – man muss es auch in dieser Deutlichkeit sagen – der blanke Unsinn. Manches soll gewisse Ängste bei Unternehmen schüren – insbesondere in Veröffentlichungen, in denen immer wieder plakativ auf drohende horrende Bußgelder, die ab dem 25. Mai 2018 verhängt werden können, hingewiesen wird.

Falls Sie sich bereits umfassend mit den Voraussetzungen der kommenden DSGVO auseinander gesetzt und Ihr Unternehmen bereits entsprechend vorbereitet haben, müssen Sie nicht mehr weiterlesen.

Sollten Sie sich noch nicht oder noch nicht ausreichend mit der Thematik befasst haben, so gibt es tatsächlich etwas zu tun.

Durch die neue DSGVO entsteht ein gewisser Verwaltungsaufwand, der betrieben werden sollte. Denn der – in diesem Fall europäische – Gesetzgeber setzt beim Datenschutz auf Information und Transparenz. Dies bedeutet wiederum, dass im Vergleich zur noch geltenden Gesetzeslage ein Unternehmen umfangreichere Informations- und Aufklärungspflichten ab dem 25. Mai 2018 treffen werden.

Als erste „Sofortmaßnahme“ sind aus meiner Sicht zwei Punkte bis zum 25. Mai 2018 zu erledigen:

Zum einen sollte derjenige, der eine Webseite betreibt, die nicht nur rein privaten Zwecken dient, die auf einer Webseite online abrufbare „Datenschutzerklärung“ unbedingt überarbeiten. Denn die DSGVO stellt umfassendere Informationspflichten gerade auch für Webseitenbetreiber auf, so dass eine Datenschutzerklärung auf einer Internetseite, die den jetzigen Maßstäben genügt, ab dem 25. Mai 2018 nicht mehr ausreichend sein kann.

Zum anderen sollte ein Unternehmen einer Person, mit der es erstmals geschäftlich in Kontakt tritt, ab dem 25. Mai 2018 darüber informieren, was mit den personenbezogenen Daten des Anfragenden (z.B. mit seiner E-Mail-Adresse) im Unternehmen passiert. Dafür könnte man z.B. ein einfach gehaltenes Infoblatt erstellen, das man dem ersten Antwortschreiben an den Anfragenden übermittelt, z.B. als pdf-Datei.

Sofern Sie diese „Sofortmaßnahmen“ ab dem 25. Mai 2018 beachten und umsetzen, zeigen Sie „nach außen“, dass Sie die neue DSGVO „auf dem Schirm“ haben.

Die dritte Maßnahme, die getroffen werden sollte, ist die Erstellung eines „Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO“. Das ist eigentlich nichts Neues. Denn auch das BDSG in der jetzigen Fassung verlangte bereits die Erstellung eines sog. Verfahrensverzeichnisses. Jeder, der sich an die bisherigen gesetzlichen Regelungen gehalten und bereits ein Verfahrensverzeichnis erstellt hat, kann daher beruhigt sein, da nur bestimmte Anpassungen an die neue Gesetzeslage notwendig sind. Da bislang das Fehlen eines solchen Verfahrensverzeichnisses quasi sanktionslos war, habe ich die Erfahrung gemacht, dass viele Unternehmen nicht über ein solches Verzeichnis verfügen. Auf diese Unternehmen kommt in der Tat ein gewisser Verwaltungsaufwand zu: Denn in diesem Verzeichnis muss ein Unternehmen dokumentieren, welche Daten von welchen Personen in welcher Weise erfasst und verarbeitet werden, auf welcher Rechtsgrundlage die Verarbeitung beruht, welche Hard- und Software zur Datenverarbeitung eingesetzt wird sowie schließlich welche Maßnahmen zur Datensicherheit getroffen werden. Dabei sollte beachtet werden, dass der Begriff der personenbezogenen Daten nicht nur die digitalen Daten erfasst, sondern auch die „analogen Daten“. Also auch der Akten-Ordner mit Angeboten oder Rechnungen enthält personenbezogene Daten, so dass auch in einem Verfahrensverzeichnis dokumentiert werden muss, wo z.B. diese Akten-Ordner aufbewahrt und wie diese gesichert werden.

Auch dieses Verzeichnis sollte bis zum 25. Mai 2018 eigentlich vorhanden sein. In Anbetracht der Tatsache, dass – mit Ausnahme der zuständigen Datenschutzbehörden – kein Dritter ein Recht hat, dieses Verzeichnis ausgehändigt zu bekommen, kann man die Erstellung eines solchen Verzeichnisses hinter die oben beschriebenen „Sofortmaßnahmen“ anstellen, falls man nicht mehr rechtzeitig vor dem 25. Mai 2018 damit fertig wird.

Gerade die bei mir eingegangenen Anfragen von Mandanten zeigen, dass größere Unternehmen, die über eine eigene Rechtsabteilung oder einen (internen oder externen) Datenschutzbeauftragten verfügen, sich mit der Umsetzung der Vorgaben der DSGVO leichter tun als kleinere Unternehmen oder Freiberufler. Gerade Unternehmen, in denen sich „der Chef“ oder „die Chefin“ um alles kümmert, trifft die zusätzliche Arbeit besonders hart, weil man diesen Aufwand neben dem normalen Arbeitsalltag bewältigen muss.

Sollte Ihnen der Aufwand zu viel sein, kann ich Ihnen helfen. Gerne dürfen Sie mich deswegen kontaktieren.