Datenschutz Grundverordnung: 1 Jahr DSGVO

Milena Droste Informationssicherheit, Marketing und Public Relations (PR), Unternehmertum

Seit dem dem 25. Mai 2018 gilt die Datenschutz Grundverordnung (DSGVO) in allen Mitgliedsstaaten der Europäischen Union. Durch sie wurden die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht. Nicht nur für Unternehmen, sondern auch für Privatpersonen führte die Umsetzung der Datenschutzverordnung zu Verwirrung und Unsicherheit. Die Stolpersteine sind noch längst nicht beseitigt. Erst kürzlich hat die Bundesregierung einen Gesetzesentwurf auf den Weg gebracht, der den Abmahnmissbrauch eindämmen soll. Wir blicken zurück auf ein Jahr DSGVO im Unternehmen.

Fakten zur Datenschutz Grundverordnung

Das Bild zeigt eine betriebliche Datenschutzbeauftragte zur Umsetzung der Datenschutz Grundverordnung, die ein T-Shirt in die Kamera hält, auf dem "DSGVO Guru" steht.

Bestens gerüstet für die Umsetzung der Datenschutz Grundverordnung (DSGVO)

Die Datenschutz Grundverordnung DSGVO (englisch „GDPR“ für General Data Protection Regulation) der Europäischen Union enthält Regeln zum Umgang und speziell zur Verarbeitung personenbezogener Daten und zur Vereinheitlichung des Datenschutzes. Erstmalig vorgestellt wurde sie bereits im Januar 2012. Im April 2016 wurde sie dann beschlossen und trat im Mai 2016 in Kraft. Seit dem 25. Mai 2018 ist sie europaweit anzuwenden. Zuvor galt in Deutschland das Bundesdatenschutzgesetz (BDSG), welches 2018 im Zuge der Einführung der DSGVO in einer Neufassung in Kraft trat und ist gemeinsam mit der Datenschutz-Grundverordnung anwendbar.

Viele der aktuellen Regelungen zum Datenschutz galten schon zuvor in Deutschland. Jedoch haben sie u.a. mit der Erweiterung des Bußgeldrahmens und der geänderten Stellung des betrieblichen Datenschutzbeauftragten eine höhere Brisanz für Unternehmen bekommen. Tatsächlich wurden Regelungen zum Umgang mit personenbezogenen Daten vor Inkrafttreten der DSGVO eher stiefmütterlich behandelt und viele Unternehmen hatten sich bis dato mit geeigneten Maßnahmen zum Datenschutz kaum auseinander gesetzt. Sogar noch im September 2018 stellte die der BITKOM in einer repräsentativen Umfrage fest, dass erst rund ein Viertel der Unternehmen DSGVO-konform aufgestellt ist.
Laut heise online wurden bisher 75 Bußgelder wegen Verstößen gegen die Datenschutz Grundverordnung verhängt. Jedoch blieben befürchtete Strafen in Millionenhöhe aus. Angeblich wurde das höchste Bußgeld in Baden-Württemberg verhängt, weil dort Gesundheitsdaten unverschlüsselt bzw. ungesichert im Internet gelandet waren.

Ein Blick auf den heutigen Stand der DSGVO

Problemfall Klingelschild

Schaut man sich an, was im Jahr nach dem Inkrafttreten der Datenschutz Grundverordnung geschehen ist, lohnt sich zunächst ein amüsierter Blick auf skurrile Anfragen von Privatpersonen. So berichtete Spiegel Online jüngst von Kundenbeschwerden zu Falschlieferungen, Produktreklamationen sowie gewünschten Tischreservierungen zum Essen, die bei den Landesdatenschutzbauftragten eintrafen. Diese für eine Datenschutzbehörde eher ungewöhnlichen Anfragen lassen sich leicht erklären: Kunden suchten in der Regel nach Kontaktinformationen auf den Webpräsenzen der Unternehmen, fanden aber nur den Hinweis zum zuständigen Landesbeauftragten für Datenschutz und wählten diese erstbeste Telefonnummer oder sendeten Nachrichten an die angegebene eMail-Adresse, ohne darüber nachzudenken, dass sie es dort gar nicht mit dem Unternehmen selbst zu tun haben würden. Bei der diesjährigen re:publica in Berlin griffen Katharina Nocun und Lars Hohl in ihrem Vortrag den DSGVO-Wahnsinn auf und berichteten unter anderem über das „Klingelschild-Chaos“, das eine Meldung der Bild im Herbst 2018 auslöste. In Nordrhein-Westfalen sei durch diese -aber auch durch wirklich den Datenschutz betreffenden- Anfragen ein Volumen von 12.000 schriftlichen Mitteilungen sowie 140 Anrufen im Jahr 2018 entstanden.
Tatsächlich bekommen auch wir -die Business Academy Ruhr– Anfragen zur Auskunft oder zur Löschung personenbezogener Daten von Personen, von denen wir keine Daten haben und auch in der Vergangenheit nie erhoben hatten. Das macht die Erfüllung des Auskunftsrechts der betroffenen Person natürlich besonders einfach. Das Urteil der Bürger, ob die Datenschutz Grundverordnung im Alltag wirklich eine Verbesserung mit sich gebracht hat, ist gespalten. Laut dem weltweiten Marktforschungsnetzwerk YouGov meint mehr als die Hälfte der Deutschen, dass die DSGVO keinen nennenswerten Einfluss auf die Sicherheit ihrer Daten im Internet hat.

„Reagieren Sie nicht auf diese eMail, gilt dies als Einwilligung, dass Ihre Daten unseren Werbepartnern übermittelt werden.“

Und wie reflektieren Unternehmen die Auswirkungen der DSGVO? Vertreter von Datenschutzbehörden geben an, dass die neuen Regelungen zum Datenschutz besonders bei Vereinen, Ärzten, Schulen, Kitas und in der Jugendarbeit viel Unruhe gestiftet hätten. Oft sei es zu falschen Reaktionen und mehr oder weniger blindem Aktionismus gekommen, weil die Datenschutz Grundverordnung dort für Verwirrung gesorgt hat. Gleichzeitig sei dies auch eine Schwachstelle der Verordnung, sagt Stefan Brink, der Landesbeauftragte für den Datenschutz in Baden-Württemberg. Für kleine Vereine gelte der gleiche Rahmen wie für weltweit agierende Großkonzerne und das sorgt für Schwierigkeiten. Das Ergebnis sind z.B. Benachrichtigungen per eMail, die Sätze enthalten wie: „Reagieren Sie nicht auf diese eMail, gilt dies als Einwilligung, dass Ihre Daten unseren Werbepartnern übermittelt werden.“. Das ist selbstverständlich nicht DSGVO-konform.
Von den Unternehmen wird es als positiv bewertet, dass die DSGVO den Grundstein für einen gemeinsamen Markt der Digitalisierung in Europa lege, so Marek Jansen, Referent in der Abteilung
Recht, Wettbewerb und Verbraucherpolitik im Bundesverband der Deutschen Industrie, im Interview. Er sieht sogar Potenzial, dass die europäische Datenschutz Grundverordnung sich zu einen weltweiten Standard entwickeln könnte. Kritisiert werden nach wie vor Zeitaufwand und Kosten, besonders für kleine und mittelständische Unternehmen. Zudem herrsche nach wie vor große Verunsicherung in der Umsetzung der Regelungen. Marek Jansen warnt zudem davor, dass durch die DSGVO Entwicklungen im Bereich KI gebremst werden und Forschung und Entwicklung zunehmend ins nicht europäische Ausland abwandern könnten.

Tipps für kleine und mittelständische Unternehmen

Wie in vielen anderen Bereichen auch, kann man zum Thema Datenschutz sagen: Perfekt aufgestellt ist man vermutlich nie. Man kann nur stetig darauf hinarbeiten. Wichtig ist zunächst, dass betroffene Unternehmen längst jemanden bestimmt haben sollten, der die Aufgaben eines Datenschutzbeauftragten wahrnimmt, und diesen bei der zuständigen Landesbehörde gemeldet haben.
Ihre Webpräsenz ist nicht nur ein Aushängeschild für Kunden, Partner und Bewerber. Sie ist in der Regel auch die erste Anlaufstelle für Prüfungen. Landesdatenschutzbehörden sehen anhand der Webpräsenz schnell, ob sich ein Unternehmen bereits mit dem Datenschutz auseinander gesetzt hat oder nicht. Die Internetauftritte sollten sorgfältig auf Erfüllung der Anforderungen der Datenschutz Grundverordnung geprüft und optimiert werden.
Zudem sollte jedes Unternehmen in regelmäßigen Abständen seine Systeme und Prozesse analysieren und deren Qualität und Effizienz bewerten. Prüfen Sie dabei auch Vollständigkeit und Umfang Ihrer Verträge mit Partnern, Dienstleistern, Mitarbeitern, etc. Dies gilt nicht nur im Hinblick auf den Schutz personenbezogener Daten, sondern zum Beispiel auch für den Schutz von Interna oder allein schon zur Gewährleistung reibungsloser Arbeitsabläufe. Diese Analyse, Bewertung und Optimierung sollte man dokumentieren. Jedes betroffene Unternehmen und jede betroffene Institution sollte seine Verfahrensverzeichnisse aktuell und übersichtlich halten. Auf Anfragen von betroffenen Personen und Behörden reagiert man am besten zeitnah, souverän und gut vorbereitet.
Eine der wichtigsten Verantwortungen eines Unternehmens ist die Schulung und Qualifizierung der eigenen Mitarbeiter. Verantwortliche sollten stets informiert und auf aktuellem Wissensstand sein. Zuständige Mitarbeiter sollten ihren Handlungsrahmen kennen und umsetzen können. Dies betrifft Zeit und Ressourcen ebenso wie das Fachwissen.

Empfehlungen für Unternehmen:

  • Qualifizieren Sie Ihre Mitarbeiter durch Weiterbildungen, Schulungen und Workshops
  • Die Webseiten der Landesbeauftragten für den Datenschutz bieten vielseitige Informationen, Vorlagen und Arbeitsmaterialien. Tipp: Nicht nur auf das eigene Bundesland schauen! Die Behörden der Länder sind unterschiedlich aufgestellt und auf den Webpräsenzen anderer Bundesländer findet man durchaus Material, welches die für einen selbst zuständige Institution nicht anbietet.
  • Durch Juristen betriebene Blogs bieten verschiedene Informationen, Vorlagen und Stellungnahmen zur Datenschutz Grundverordnung. Gerade spezielle Bereiche, wie zum Beispiel der Blick auf die DSGVO im Zusammenhang mit Social Media Marketing ist hier spannend. Jedoch sollte man mit Bedacht an diese Seiten herangehen, da zahlreiche Akteure in der Umsetzung der DSGVO eine Chance gesehen haben, kostspielige Leistungen zu verkaufen, die in vielen Fällen gar nicht notwendig sind. Zu empfehlen sind etablierte Blogs wie der von Rechtsanwalt Dr. Thomas Schwenke oder Rechtsanwalt Dr. Carsten Ulbricht.
  • Tauschen Sie sich mit anderen aus. Es ist völlig normal, dass nach wie vor Fragen und Unsicherheiten bzgl. der DSGVO auftreten. Wie aktuelle Umfragen zeigen, geht es einem Großteil der Unternehmen so. Holen Sie sich bei Networking Events, Vorträgen oder sonstigen Gelegenheiten Tipps und Anregungen von „Leidensgenossen“ oder entwickeln Sie gemeinsam Lösungen zu aufgeworfenen Fragestellungen.
  • Lösen Sie sich von Ihren Prozessen und hinterfragen Sie diese im Hinblick auf die Regelungen zum Datenschutz. Die Ausrede „Das haben wir schon immer so gemacht!“ gilt nicht! Ist die Gewährleistung des Schutzes personenbezogener Daten nicht gegeben, so sollte man den Prozess als solchen hinterfragen: Ist es für uns überhaupt notwendig diese Daten zu erheben? Sollten wir den Prozess anders gestalten, um diese Regelungen einhalten zu können? Kann ich Vorkehrungen treffen, um die Einhaltung des Datenschutzes nachhaltig zu gewährleisten?

Fazit

Das Inkrafttreten Datenschutz Grundverordnung hat viele Prozesse aufgerollt und Fragen aufgeworfen. Durch richtungsweisende Präzedenzfälle wird sie sich im weiteren Verlauf entwickeln und an einigen Stellen vielleicht auch noch ändern. Sie ist eine Chance für einen gemeinsamen Markt der Digitalisierung und gleichzeitig ein Risiko für das Vorankommen von Forschung und Entwicklung. Sowohl Unternehmen als auch Privatpersonen sind geteilter Meinung über ihre Auswirkungen und ihre langfristigen Vorteile.

Unternehmen sollten sich längst mit ihren Prozessen und Strukturen auseinandergesetzt haben und geeignete Maßnahmen ergriffen haben, um den Schutz personenebezogener Daten zu gewährleisten. Gleichzeitig beinhaltet dies auch oft den Schutz von unternehmensinternen Daten und kann zu reibungsloseren Abläufen führen.

Insgesamt ist es ein laufender Prozess zur Qualitätssicherung, der dauerhaft gelebt und weiterentwickelt werden sollte. Mit Neugier schauen wir auf die kommenden Jahre und sind gespannt, auf welche Entwicklungen wir in der Zukunft zurückblicken werden.

Milena Droste ist Diplom-Betriebswirtin, Social Media Managerin (BAD), Online Marketing Managerin (IHK), Online Redakteurin (IHK) sowie Ausbilderin (AEVO) und Datenschutzbeautragte (FFD).
Im Team der Business Academy Ruhr arbeitet sie als Projektmanagerin und kümmert sich ebenso um interne Prozesse und Strukturen.