DB: Ihre Meinung: Ist die Panik rund um die DSGVO übertrieben bzw. wird die DSGVO-Suppe denn tatsächlich so heiß gesessen, wie sie gekocht wurde?
Knake: „Wie heiß die Suppe letzten Endes tatsächlich gegessen wird, lässt sich heute noch gar nicht beantworten. Die teilweise vorhandene Panik beruht aber im Wesentlichen auf den erheblichen Sanktionsandrohungen in Höhe von potenziell 4 % des (weltweiten) Unternehmensumsatzes. Wir sprechen hier über einen Rahmen bis zu 20 Mio. Euro. Fest steht damit, dass das Drohpotenzial gewaltig ist und nach meiner Einschätzung werden die Behörden auch dafür Sorge tragen, dass das Gesetz ernstgenommen wird. Das wiederum geht nur mit entsprechenden behördlichen Überprüfungen ab dem 26. Mai 2018“.
DB: Ist es denn realistisch, dass die Aufsichtsbehörden solche hohen Strafen tatsächlich durchsetzen werden?
Dr. Bauer: „Diese Frage wird derzeit wohl kaum jemand seriös beantworten können. Einerseits ist von Vertretern der Aufsichtsbehörden zu hören, dass bei den Geldbußen zunächst mit Augenmaß sanktioniert werden soll. Andererseits ist auf EU-Ebene zu hören, dass der Sanktionsrahmen ausgenutzt werden soll, damit die DSGVO und ihre Instrumente kein zahnloser Tiger werden.“
DB: Und welche Folgen könnten Verstöße – neben den beachtlichen Geldbußen – noch haben?
Knake: „Zum einen haben Betroffene zukünftig die Möglichkeit, auch einen etwaigen immateriellen Schaden geltend zu machen, notfalls auch gerichtlich. Und sie haben die Wahl, vor welchem Gericht sie klagen wollen. Hierdurch erhöht sich die Wahrscheinlichkeit von Klagen ganz erheblich, zumal sich Verbraucherschutzverbände und Abmahnanwälte genau hierauf schon vorbereiten.“
DB: Was sind die größten Veränderungen für die Unternehmenspraxis durch die DSGVO?
Dr. Bauer: „Wie von Herrn Knake bereits angesprochen, verändern sich die Sanktionen ganz erheblich. Die Sanktionen sind aber lediglich die Folge eines Verstoßes gegen eine der zahlreichen neuen Verpflichtungen. Hierzu zählt insbesondere, Betroffenenrechte gewährleisten zu können. Die wichtigsten Betroffenenrechten umfassen das Recht auf Auskunft, das Recht auf Datenübertragung und das Recht auf Vergessen. Diese Rechte führen zu Pflichten der Unternehmen, die personenbezogene Daten verarbeiten. So müssen sie beispielsweise Auskunft darüber erteilen können, wo überall im Unternehmen personenbezogene Daten eines Betroffenen verarbeitet werden, und sie müssen sowohl in der Lage sein, diese Daten dem Betroffenen zur Verfügung zu stellen, als auch diese Daten vollständig zu löschen. Darüber hinaus müssen Unternehmen technische und organisatorische Maßnahmen vorhalten, um personenbezogene Daten zu schützen und haben Informationspflichten gegenüber den Aufsichtsbehörden und ggfls. auch gegenüber den Betroffenen im Falle von Datenpannen. Schließlich müssen Unternehmen über die Einhaltung der datenschutzrechtlichen Grundsätze Rechenschaft ablegen.“
DB: Das sind einige neue Spielregeln … Können Unternehmen die Vorgaben jetzt überhaupt noch rechtzeitig umsetzen, wenn Sie bisher noch nicht damit begonnen haben?
Knake: „Sicher ist, dass Unternehmen, die jetzt erst mit ihrem Datenschutzprojekt beginnen, bis zum 25. Mai 2018 nicht fertig werden. Nach unseren Erfahrungen dauern solche Datenschutzprojekte eher Monate als Wochen. Zudem hat sich gezeigt, dass bei der Reihenfolge der zu bewältigenden Aufgaben im Wesentlichen zwei Maßstäbe gelten: Zum einen müssen gewisse Aufgaben zuerst erledigt werden, weil andere Aufgaben von deren Erledigung abhängen. Ein Beispiel ist die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten: In dieses Verzeichnis werden sämtliche Prozesse aufgenommen, in denen personenbezogene Daten verarbeitet werden und die das Unternehmen identifiziert hat. Erst mit Erstellung dieses Verzeichnisses kann das Löschkonzept erstellt werden, das das Recht des Betroffenen auf Vergessen umsetzt. Das Unternehmen löscht auf Verlangen sämtliche verarbeiteten personenbezogenen Daten, soweit keine Verpflichtung mehr für die Speicherung besteht. Folglich ist für das Löschkonzept die Information, wo überall im Unternehmen personenbezogene Daten verarbeitet werden, von substantieller Bedeutung.
Zum anderen müssen gerade in den Datenschutzprojekten, die bis zum 25. Mai 2018 nicht abgeschlossen sein werden, die Aufgaben prioritär erledigt werden, die mit der Visibilität der Datenschutzcompliance des Unternehmens zusammenhängen. So sollte also zum Beispiel die Datenschutzerklärung auf der Webseite des Unternehmens den Anforderungen der EU-Datenschutz-Grundverordnung entsprechen, um nicht sofort von außen erkennbar zu machen, dass das Datenschutzprojekt im Unternehmen noch nicht abgeschlossen ist. Dies wird für größere Unternehmen sicherlich auch von größerer Bedeutung sein als für kleinere Unternehmen. Denn die Wahrscheinlichkeit, auf den Radar von Aufsichtsbehörden, Verbraucherschützern oder Abmahnanwälten zu kommen, steigt auch mit der Größe des Unternehmens, insbesondere dann, wenn diese Unternehmen ein Endkundengeschäft haben.“
DB: Größere Unternehmen sollten also längst gehandelt haben. Doch je kleiner die Struktur, desto eher hat man bislang die DSGVO verdrängt …. Was können beispielsweise der Einzelanwalt mit einer Sekretärin sowie der mittelständische Spediteur mit 20 Angestellten jetzt noch umsetzen?
Knake: „Da wir in Deutschland ja einen verhältnismäßig hohes Datenschutzniveau haben, bestehen die derzeitigen DSGVO-Projekte aus Anpassungen und Änderungen der Strukturen, weniger auf Auf- oder Ausbau. Kleine Unternehmen verfügen naturgemäß über wenige bzw. wenig formelle Strukturen. Daher muss das individuelle Wissensniveau entsprechend hoch sein. So ist beiden angesprochenen Unternehmensteilen folgendes zu anzuraten:
- Informieren Sie sich genau über die Pflichten, die das eigene Unternehmen treffen. Zwar gibt es gesetzliche Erleichterungen für Unternehmen unter 250 Beschäftigte (Art. 30 DSGVO), jedoch ist zunächst einmal eine besondere Sensibilität gegenüber personenbezogenen Daten notwendig. Wer keine oder nur wenige Beschäftigte hat, muss jetzt dringend das Bewusstsein schaffen, dass auf Computern abgelegte Daten von Mitarbeitern und Kunden nicht von jedermann sorglos eingesehen oder weitergegeben werden dürfen. Holen Sie falls notwendig professionelle Hilfe ein, um die eigenen Prozesse zu strukturieren und im Hinblick auf das neue Datenschutzrecht neu anzuordnen.
- Auf Basis der gewonnen Informationen sollten Sie nun eine Bestandsanalyse durchführen. Da die Anwendung des neuen Datenschutzrechts keine Pauschallösungen vorsieht und die Regelungen eher den Verbraucher als die Unternehmen schützen, sollten auch kleine Unternehmen eine individuelle Bestandsaufnahme durchführen, um den jeweiligen Handlungsbedarf zu identifizieren.“
DB: Ihr abschließender Rat, um mit dem Thema DSGVO als genervter Unternehmer Frieden zu schließen?
Knake: „Unsere zahlreichen Datenschutzprojekte haben nicht zuletzt auch gezeigt, dass die Unternehmen im Rahmen ihrer Projekte sich selbst zumeist viel besser kennengelernt haben. Welche Prozesse in welchen Abteilungen wie ablaufen, mit wem alles Verträge geschlossen wurden, ob Berechtigungskonzepte vorhanden oder bestehende IT-Sicherheitsmaßnahmen ausreichend sind, zeigt sich in aller Regel ebenfalls anhand der Datenschutzprojekte. Damit werden zugleich zahlreiche Themen adressiert, die weit über das Thema Datenschutz hinaus für das Unternehmen ganz erhebliche Bedeutung haben können. Datenschutzprojekte sind also auch eine Art Bestandsaufnahme, die einen Beitrag zur Prozessverbesserung und Risikoreduzierung leisten können.“
