DatenschutzGrundverordnung (DSGVO)
Expertengespräch mit Dr. Cornelius Böllhoff, Rechtsanwalt und Experte für Datenschutz in der renommierten Kanzlei Redeker Sellner Dahs
Am 25. Mai 2018 entfaltet die neue Datenschutz-Grundverordnung (DSGVO)ihre volle Wirkung.
Was ändert sich und worauf müssen Unternehmen achten? Bald muss die Datenschutz-Grundverordnung (DSGVO) / General Data Protection Regulation (GDPR) in der europäischen Union angewendet werden. Durch diese soll die Einhaltung von Regeln im Umgang mit personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der europäischen Union sichergestellt und vereinheitlicht werden. Sollte gegen die Regeln verstoßen werden, so drohen Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Gesamtumsatzes des Unternehmens. Die Auswirkungen auf Unternehmen hierzulande hat unser Geschäftsführer Simon Schoop in einem Interview mit Dr. Cornelius Böllhoff von der renommierten Anwaltskanzlei Redeker Sellner Dahs erörtert. Dr. Böllhoff lieferte uns spannende Einsichten und Einschätzungen zu den Auswirkungen für die Wirtschaftsakteure.
1. Welche Auswirkungen hat die DSGVO auf die Unternehmen?
Transparenz und ein immenses Bußgeldrisiko – das sind die wesentlichen Neuerungen der DSGVO. Der gesamte Umgang mit personenbezogenen Daten muss in Unternehmen also zukünftig transparent dokumentiert werden. Und wer transparent sein muss, der muss sich im Vorfeld überlegen, wie er mit seinen Kundendaten, seinen Beschäftigtendaten oder den Daten seiner Dienstleister umgeht. Dazu bedarf es auch einer ausreichenden Schulung und Sensibilisierung der Mitarbeiter. Was diese notwendige Sensibilisierung und den Transparenzgewinn betrifft, wird die Verordnung eine echte Revolution darstellen. Hinzu kommt die europaweit einheitliche Regulierung.
“Bezüglich der Transparenz im Umgang mit personenbezogenen Daten stellt die DSGVO eine echte Revolution dar.”
2. Worauf müssen kleine und mittelständische Unternehmen, die keine eigene Rechtsabteilung haben, im Rahmen der DSGVO achten?
Ihre Frage legt eines der großen Probleme der DSGVO und des Datenschutzrechts an sich offen: Es werden für alle Unternehmen gleichermaßen Pflichten geregelt, ohne auf die Größe des jeweiligen Unternehmens Rücksicht zu nehmen. Wir hoffen, dass die Aufsichtsbehörden hier maßvoll vorgehen werden. Unternehmen mit weniger als 10 Mitarbeitern, die sich regelmäßig mit der Datenverarbeitung befassen, benötigen zwar keinen Datenschutzbeauftragten, sie müssen aber dennoch mit Blick auf die Sensibilisierung ihrer Mitarbeiter und die Transparenz der Datenverarbeitung dokumentieren, wie in ihrem Hause mit personenbezogenen Daten umgegangen wird.
3. Welche Beispiele gibt es, bei denen Unternehmen nun sensibler und transparenter agieren müssen?
Das Unternehmen muss ab dem ersten Kundenkontakt transparent auftreten und deutlich machen, welche Daten, wie lange, wozu und auf welcher Grundlage verarbeitet werden. Dies führt zu einer proaktiven Informationspflicht: Auch wenn der Betroffene gar nicht danach gefragt hat, müssen die Informationen zur Verfügung gestellt werden. Alleine beim Umgang mit Kundendaten sollten Unternehmen kein Risiko eingehen, da bereits das Erfassen von Kundenaktivitäten auf Websites als Auswertung von personenbezogenen Daten gilt. Bei Newslettern oder anderer Kontaktaufnahme ist grundsätzlich ein Double-Opt-In notwendig.
4. Sollte ein Kunde bei einem Unternehmen anfragen, welche Daten von ihm gespeichert wurden, so muss das Unternehmen binnen eines Monats auf die Anfrage reagieren. Wie auskunftsfähig muss das Unternehmen dann sein?
So auskunftsfähig wie irgendwie möglich.
- Welche personenbezogenen Daten sind im Unternehmen von dem Antragsteller gespeichert.
- Wie lange sollen die Daten gespeichert sein?
- Wo kommen die Daten her?
Sie sehen also: Ein Unternehmen muss grundsätzlich „sprechfähig“ sein und auf Fragen ausreichend konkret reagieren können. Hier ist es wichtig, im Vorfeld festzulegen, wer Ansprechpartner für das Thema Datenschutz ist, wer sich also bei Anfragen um die Beantwortung kümmert und wer etwa bei Datenschutzverstößen innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informiert. Das bedeutet: Jedes Unternehmen braucht bereits im Vorfeld einen klaren Fahrplan in der Schublade.
5. Wie kann ein Unternehmen ein gesundes Maß zwischen der Umsetzung der DSGVO und der Anwendbarkeit bzw. Benutzerfreundlichkeit im Berufsalltag finden?
Leider muss man offen sagen: Die strikte Umsetzung aller Anforderungen der DSGVO ist oftmals nicht sonderlich praktikabel. Wir werden beobachten müssen, wie maß- und rücksichtsvoll die Aufsichtsbehörden hier mit kleineren Unternehmen umgehen.Grundsätzlich gilt: Je größer das Unternehmen ist, desto bedeutender ist der sensible Umgang mit personenbezogenen Daten.
6. Womit müssen Unternehmen am 25. Mai 2018 rechnen, wenn die DSGVO in Kraft gesetzt wird?
Es ist zu erwarten, dass die Aufsichtsbehörden Präzedenzfälle schaffen werden, um Abschreckung und Aufmerksamke
it zu erreichen. Dabei wird es auch Bußgeldverfahren gegen Unternehmen geben. Es ist ggf. auch zu erwarten, dass eine klassische Abmahnwelle beginnt, es also Wettbewerber oder Verbraucherschutzverbände gibt, die gegen Datenschutzverletzungen im großen Stil vorgehen werden.
“Es ist zu erwarten, dass die Aufsichtsbehörden Präzedenzfälle schaffen werden, um Abschreckung und Aufmerksamkeit zu erreichen. ”
7. Was sind die Top 3 Tipps zur Einhaltung der DSGVO?
Der erste Hinweis richtet sich auf eine klare und transparente Dokumentation. Sie müssen sprechfähig sein, also in allen für den Datenschutz relevanten Aspekten in der Lage sein, auf Fragen zu reagieren.
Als Zweites sollten sich Unternehmen darum bemühen, ihre Mitarbeiter für das Thema Datenschutz zu sensibilisieren. Es muss der Unterschied zwischen personenbezogenen Daten und Betriebsgeheimnissen erklärt und den Mitarbeitern vermittelt werden, wann es sinnvoll ist, den Datenschutzbeauftragten – oder den im Grundsatz für das Datenschutzthema zuständigen Kollegen – mit einzuschalten.
Drittens sollten Unternehmen sich einen Fahrplan erstellen, in dem sie festhalten, wie sie ab dem 25. Mai mit dem Thema Datenschutz umgehen. Mit Blick auf die fortschreitende Digitalisierung wird es sich um ein ständig veränderndes und ständig erweiterndes Compliance-Thema, also um ein klassisches Moving Target handeln. Daher müssen Unternehmen sich nicht nur bis zum 25. Mai 2018 sondern auch in der Zeit danach kontinuierlich fortbilden und anpassen.