4-advice. Digital. Change. Innovation
Datenschutz-Grundverordnung

DatenschutzGrundverordnung (DSGVO)

Expertengespräch mit Dr. Cornelius Böllhoff, Rechtsanwalt und Experte für Datenschutz in der renommierten Kanzlei Redeker Sellner Dahs 

Am 25. Mai 2018 entfaltet die neue Datenschutz-Grundverordnung (DSGVO)ihre volle Wirkung.

Was ändert sich und worauf müssen Unternehmen achten? Bald muss die Datenschutz-Grundverordnung (DSGVO) / General Data Protection Regulation (GDPR) in der europäischen Union angewendet werden. Durch diese soll die Einhaltung von Regeln im Umgang mit personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der europäischen Union sichergestellt und vereinheitlicht werden. Sollte gegen die Regeln verstoßen werden, so drohen Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Gesamtumsatzes des Unternehmens. Die Auswirkungen auf Unternehmen hierzulande hat unser Geschäftsführer Simon Schoop in einem Interview mit Dr. Cornelius Böllhoff von der renommierten Anwaltskanzlei Redeker Sellner Dahs erörtert. Dr. Böllhoff lieferte uns spannende Einsichten und Einschätzungen zu den Auswirkungen für die Wirtschaftsakteure.

1. Welche Auswirkungen hat die DSGVO auf die Unternehmen?
Transparenz und ein immenses Bußgeldrisiko – das sind die wesentlichen Neuerungen der DSGVO. Der gesamte Umgang mit personenbezogenen Daten muss in Unternehmen also zukünftig transparent dokumentiert werden. Und wer transparent sein muss, der muss sich im Vorfeld überlegen, wie er mit seinen Kundendaten, seinen Beschäftigtendaten oder den Daten seiner Dienstleister umgeht. Dazu bedarf es auch einer ausreichenden Schulung und Sensibilisierung der Mitarbeiter. Was diese notwendige Sensibilisierung und den Transparenzgewinn betrifft, wird die Verordnung eine echte Revolution darstellen. Hinzu kommt die europaweit einheitliche Regulierung.

“Bezüglich der Transparenz im Umgang mit personenbezogenen Daten stellt die DSGVO eine echte Revolution dar.”

2. Worauf müssen kleine und mittelständische Unternehmen, die keine eigene Rechtsabteilung haben, im Rahmen der DSGVO achten?
Ihre Frage legt eines der großen Probleme der DSGVO und des Datenschutzrechts an sich offen: Es werden für alle Unternehmen gleichermaßen Pflichten geregelt, ohne auf die Größe des jeweiligen Unternehmens Rücksicht zu nehmen. Wir hoffen, dass die Aufsichtsbehörden hier maßvoll vorgehen werden. Unternehmen mit weniger als 10 Mitarbeitern, die sich regelmäßig mit der Datenverarbeitung befassen, benötigen zwar keinen Datenschutzbeauftragten, sie müssen aber dennoch mit Blick auf die Sensibilisierung ihrer Mitarbeiter und die Transparenz der Datenverarbeitung dokumentieren, wie in ihrem Hause mit personenbezogenen Daten umgegangen wird.

3. Welche Beispiele gibt es, bei denen Unternehmen nun sensibler und transparenter agieren müssen?
Das Unternehmen muss ab dem ersten Kundenkontakt transparent auftreten und deutlich machen, welche Daten, wie lange, wozu und auf welcher Grundlage verarbeitet werden. Dies führt zu einer proaktiven Informationspflicht: Auch wenn der Betroffene gar nicht danach gefragt hat, müssen die Informationen zur Verfügung gestellt werden. Alleine beim Umgang mit Kundendaten sollten Unternehmen kein Risiko eingehen, da bereits das Erfassen von Kundenaktivitäten auf Websites als Auswertung von personenbezogenen Daten gilt. Bei Newslettern oder anderer Kontaktaufnahme ist grundsätzlich ein Double-Opt-In notwendig.


4. Sollte ein Kunde bei einem Unternehmen anfragen, welche Daten von ihm gespeichert wurden, so muss das Unternehmen binnen eines Monats auf die Anfrage reagieren. Wie auskunftsfähig muss das Unternehmen dann sein?
So auskunftsfähig wie irgendwie möglich.

  • Welche personenbezogenen Daten sind im Unternehmen von dem Antragsteller gespeichert.
  • Wie lange sollen die Daten gespeichert sein?
  • Wo kommen die Daten her?

Sie sehen also: Ein Unternehmen muss grundsätzlich „sprechfähig“ sein und auf Fragen ausreichend konkret reagieren können. Hier ist es wichtig, im Vorfeld festzulegen, wer Ansprechpartner für das Thema Datenschutz ist, wer sich also bei Anfragen um die Beantwortung kümmert und wer etwa bei Datenschutzverstößen innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informiert. Das bedeutet: Jedes Unternehmen braucht bereits im Vorfeld einen klaren Fahrplan in der Schublade.

5. Wie kann ein Unternehmen ein gesundes Maß zwischen der Umsetzung der DSGVO und der Anwendbarkeit bzw. Benutzerfreundlichkeit im Berufsalltag finden?
Leider muss man offen sagen: Die strikte Umsetzung aller Anforderungen der DSGVO ist oftmals nicht sonderlich praktikabel. Wir werden beobachten müssen, wie maß- und rücksichtsvoll die Aufsichtsbehörden hier mit kleineren Unternehmen umgehen.Grundsätzlich gilt:  Je größer das Unternehmen ist, desto bedeutender ist der sensible Umgang mit personenbezogenen Daten.

6. Womit müssen Unternehmen am 25. Mai 2018 rechnen, wenn die DSGVO in Kraft gesetzt wird?
Es ist zu erwarten, dass die Aufsichtsbehörden Präzedenzfälle schaffen werden, um Abschreckung und Aufmerksamke
it zu erreichen. Dabei wird es auch Bußgeldverfahren gegen Unternehmen geben. Es ist ggf. auch zu erwarten, dass eine klassische Abmahnwelle beginnt, es also Wettbewerber oder Verbraucherschutzverbände gibt, die gegen Datenschutzverletzungen im großen Stil vorgehen werden.

“Es ist zu erwarten, dass die Aufsichtsbehörden Präzedenzfälle schaffen werden, um Abschreckung und Aufmerksamkeit zu erreichen. ”

7. Was sind die Top 3 Tipps zur Einhaltung der DSGVO?

Der erste Hinweis richtet sich auf eine klare und transparente Dokumentation. Sie müssen sprechfähig sein, also in allen für den Datenschutz relevanten Aspekten in der Lage sein, auf Fragen zu reagieren.
Als Zweites sollten sich Unternehmen darum bemühen, ihre Mitarbeiter für das Thema Datenschutz zu sensibilisieren. Es muss der Unterschied zwischen personenbezogenen Daten und Betriebsgeheimnissen erklärt und den Mitarbeitern vermittelt werden, wann es sinnvoll ist, den Datenschutzbeauftragten – oder den im Grundsatz für das Datenschutzthema zuständigen Kollegen – mit einzuschalten.
Drittens sollten Unternehmen sich einen Fahrplan erstellen, in dem sie festhalten, wie sie ab dem 25. Mai mit dem Thema Datenschutz umgehen. Mit Blick auf die fortschreitende Digitalisierung wird es sich um ein  ständig veränderndes und ständig erweiterndes Compliance-Thema, also um ein klassisches Moving Target handeln. Daher müssen Unternehmen sich nicht nur bis zum 25. Mai 2018 sondern auch in der Zeit danach kontinuierlich fortbilden und anpassen.

In the Design Sprint, our Master Digital Management students developed solutions for marketing the digital service tool „Meine-Wartung“ from Niemann-Laes, a wholesaler for industrial supplies. Within just 4 days, they developed an expert-tested prototype under the, as always, sympathetic and knowledgeable guidance of our lecturers from 4-advice Digital Change & Innovation. It's always great to see how much we can achieve together in such a short space of time - a win-win-win situation for the university, students and industry partners. Keep up the good work and thanks to our students, the industry partners Maximilian Krause & Philipp Mitzscherlich and the lecturers Marcus Jansen and Simon Schoop, who successfully implement innovative and effective formats at Fresenius University of Applied Sciences every semester!

Simon has been teaching as a lecturer with a high level of professional expertise and great personal commitment for many years in the international master's program in Digital Management at the private Fresenius University of Applied Sciences in the Mediapark Cologne. The innovative teaching methods introduced by Simon and 4-advice, applying methodologies like the Google Design Sprint, add great practical value for our students. I have experienced 4-advice's methodological competence within their lectures „Digital Innovation“ and „Digital Transformation“. The Design Sprint is a great tool to reduce time-to-market to a bare minimum. That's why it's a very valuable method to develop new products, processes, organization and business models. Actually it can be used to tackle most types of challenges.”

I have come to know Simon and his 4-advice team as proven experts in change management and innovation. His approach of „playful change“, for example, is always breaking new and creative ground to achieve better results. One highlight is certainly the „Business Escape Rooms“, which I myself have experienced as very positive. As a specialist in project management, Simon and his team also support companies with organizational development teams with many years of experience and a great deal of intuition. Simon has absolute integrity, is always highly motivated and 100%ig reliable. He is true to his word! This is one of the reasons why I enjoy working with him so much - and why I recommend him.

The combination of theory and practice. We were able to apply what we learned in the training course directly to our day-to-day work and build a bridge directly to our job. The content is applicable to everyday work. I will integrate the methods but also the learned ways of thinking into my everyday work and act accordingly to successfully implement my changes. Change, change management will receive even more attention in the coming years and having already learned the relevant methods will help me personally to handle my tasks/changes in the best possible way. The training definitely fits in with the professional world and is not just theory.

The structured increase in knowledge led to aha-effects and often to questions as to why we hadn't thought of this ourselves. In any case, the DCM course enriches everyday project work and will lead to better change initiatives.
Thanks to the open and friendly lecturers, many practical points were addressed honestly and there was a good atmosphere in the course. What we learned will not just be put into practice in the future. It can already be felt in discussions and new projects. For the future, I will develop a standardized basic „substructure“ that will be individually adapted and/or expanded to the projects.
We will also need to address our most fundamental problems (communication, stable role allocation, rewards).
Last but not least, I'll probably be dreaming about agile working for a while ... great exchange, comprehensive consideration of the change, lots of practical tips, thinking outside the box, re-evaluation of our own activities in the past - most of the time we've already done a lot of things right, but never realized it

The mixture of change methods and their practical application. The documents, scripts, Excel templates and workbooks are absolutely practical for your own daily work in change projects. The module breakdown from the general understanding of digitalization to dealing with change is clearly structured. The trainers' distinct field of expertise in change management across different industries and organizations. The application of the methods for successful change in digitization that I have learned will help me a lot to achieve acceptance among stakeholders.
Through a mix of eLearning, teaching methods, case studies and live coaching, I have built up very valuable knowledge of digital change management, which I will also pass on to other project managers, especially young engineers.
The intensity and speed of change continues to increase rapidly - the digitalization skills taught by 4-advice are worth their weight in gold. Digitization as a rationalization factor will pick up speed rapidly in the coming years. There is still a considerable need for process digitization in many companies, especially in the medium-sized mechanical engineering sector, my core area. Training your own employees to become digital change managers is the basis for successful change and securing the company's future.

The content was very comprehensive and well-founded, the preparation of the content was very well structured and appealing. The speakers (Markus, Simon) presented the content in a very interesting way and supplemented it with practical examples. Questions from the participants were dealt with very well. The group composition was enriching due to the different backgrounds and the group work. I am constantly involved in change projects, so I can apply what I have learned very well, now with a much more sound background and more tools. Reason for recommendation: See above! However, you have to be aware of the disadvantage of a remote WB - the informal exchange of practical experience falls somewhat by the wayside. But all in all, a great training course!

The course was staffed by two extremely well-prepared trainers who not only guided the participants through the training in a competent and humorous manner, but also knew how to form a „harmonious learning group“ despite the virtual training sessions. In addition to an incredibly varied transfer of knowledge, there was never a shortage of fun and sharing of experiences!
I was able to apply almost all of the learning content during the training phase, be it in customer projects, in offers or in my daily work with colleagues.
Even in the private sphere, some of the content conveyed was of great benefit. Firstly, the „philosophy“ conveyed, what is behind „change“ and why it is worthwhile to deal intensively with direct and indirect influences and consequences. Secondly, because the training is more generalist in nature and therefore guarantees a wide range of professional and personal applications. Thirdly, because the combination of „firstly“ and „secondly“ generates maximum added value