„Der Nächste bitte!“ – Ein halbes Jahr Datenschutz-Grundverordnung

Download PDF

(c) BBH

Mit der Datenschutz-Grundverordnung (DS-GVO/VO (EU) 2016/679) (wir berichteten)  dringt der Datenschutz mitunter in Lebensbereiche vor, die der Verordnungsgeber so wohl nicht unmittelbar im Fokus hatte: Im Wartezimmer beim Arzt namentlich aufgerufen werden. Von dem Fleischerei-Fachverkäufer mit Namen begrüßt werden. Ist das nach dem neuen Datenschutzrecht überhaupt noch zulässig? In Wien fragte man sich, ob bei 220.000 städtischen Wohnungen die Namen auf den Klingelschildern durch Nummern ersetzt werden müssen. Diese Beispiele werden gerne als Indiz dafür genommen, welche Absurditäten die DS-GVO mit sich bringt. Dabei zeigen diese und andere Fälle doch eigentlich etwas ganz anderes: nämlich die Unsicherheiten, die mit einem neuen, komplexen Rechtsrahmen verbunden sind. Einschlägige Gerichtsurteile, die zur Orientierung dienen können, fehlen (noch), unionsweit abgestimmte Konkretisierungen durch der Aufsichtsbehörde ebenso.

Diese rechtlichen Unsicherheiten sind das eine, Unternehmen macht aber auch der enorme Umsetzungsaufwand zu schaffen. Schließlich muss das, was die DS-GVO mit sich bringt „nebenher“ im laufenden Betrieb umgesetzt werden. So ist es kaum überraschend, dass nach einer Umfrage von Bitkom nur rund ein Viertel der deutschen Unternehmen bisher die DS-GVO vollständig umgesetzt hat. Fünf Prozent haben sogar kürzlich erst mit der Umsetzung begonnen. Besonders die erweiterten Dokumentations- und Informationspflichten sind es, die mehr Ressourcen im Unternehmen binden. Außerdem müssen die eigenen Mitarbeiterinnen und Mitarbeiter zu den neuen „Datenschutz-Spielregeln“ geschult werden.

Wie wichtig die Umsetzung der DS-GVO im Unternehmen ist, verdeutlicht Art. 5 DS-GVO: Der Verantwortliche für die Einhaltung gesetzlich definierter Grundsätze für die Verarbeitung personenbezogener Daten obliegt eine Rechenschaftspflicht. Der Verantwortliche muss u.a. nachweisen können, dass die geforderte Rechtmäßigkeit und Transparenz, Zweckbindung und Datenminimierung, aber auch Speicherbegrenzung sowie Integrität und Vertraulichkeit bei allen Verarbeitungstätigkeiten eingehalten werden. Bei Verstößen drohen deutlich empfindlichere Bußgelder als vor dem 25.5.2018.

Auch die Aufsichtsbehörden der Bundesländer haben ein waches Auge darauf, wie die Datenschutz-Regeln in den Unternehmen eingehalten werden. So hat beispielsweise die Landesbeauftragte für den Datenschutz in Niedersachsen im November 150 Kommunen angeschrieben und sie zum Umsetzungsstand der DS-GVO befragt. Bereits zuvor hatte sie 50 große und mittelgroße niedersächsische Unternehmen aus verschiedenen Branchen angeschrieben. Auch die Aufsichtsbehörden weiterer Bundesländer sind tätig geworden. So hat kürzlich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) angekündigt, weitere Datenschutzprüfungen, u.a. zum Schwerpunkt „Datenlöschung“, durchzuführen.

Das Thema Datenschutz sollte spätestens mit der DS-GVO ernst genommen werden. Nicht zuletzt schafft ein angemessener Datenschutz gegenüber Kunden Vertrauen und grenzt Unternehmen von ihren Wettbewerbern ab.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Alexander Schulte-Ahlswe