22.10.2018 | Gesetze

Quo vadis DSGVO?

Zwischenfazit zur Datenschutzgrundverordnung

Die Aufregung um die DSGVO war groß, mittlerweile ist sie stark abgeklungen. Was ist seit dem 25. Mai 2018 passiert – und wie sollten sich Unternehmen darauf einstellen.

Die DSGVO ist zum Unwort für rechtliche Herausforderungen an Unternehmen geworden. In der öffentlichen Wahrnehmung schien der 25. Mai 2018 – jener Tag, an dem die EU-Datenschutzgrundverordnung ihre unmittelbare Wirkung entfaltete – der Wendepunkt für Unternehmen und Verbraucher zu sein. Prägend in der öffentlichen Wahrnehmung waren die zahlreichen formellen Anforderungen an Unternehmen und der hohe Strafrahmen, mit denen mögliche Verstöße gegen die DSGVO geahndet werden können: bis zu 20 Millionen Euro oder (für globale Konzerne weitaus beängstigender) bis zu vier Prozent des weltweiten Jahresumsatzes.

Erfahren Sie hier mehr zur DSGVO.

Tatsächlich gab es bislang nur wenige behördliche Verfahren aufgrund der neuen Vorschriften der DSGVO. Das liegt auch daran, dass die zuständigen Datenschutzbeauftragten der Länder personell stark unterbesetzt sind und gar nicht in der Lage wären, sämtliche Betriebe unterschiedlicher Branchen und Größe zu überprüfen. Es ist davon auszugehen, dass die Behörden einzelne Branchen nacheinander „abarbeiten“ werden. In den wenigen bisherigen Verfahren schöpfen die Datenschutz-Aufsichtsbehörden den Strafrahmen nicht annähernd aus.

Auch die vielfach prognostizierten Abmahnwellen sind weitgehend ausgeblieben. Eine „Abmahnindustrie“ hat sich im Zusammenhang mit der DSGVO (noch) nicht entwickelt. Das verwundert nur auf den ersten Blick. Die größte Quelle von Abmahnungen ist vielmehr der Verbraucher, dessen Beschwerden sich aber vielfach anderweitig aufklären und beheben lassen.

Als Zwischenfazit nach dem DSGVO-Sommer lässt sich festhalten: Die Panik ist verklungen.

Allerdings sollten sich Unternehmen nicht in falscher Sicherheit wiegen. Die DSGVO hat bei aller gebotenen Gelassenheit zusätzliche datenschutzrechtliche Anforderungen mit sich gebracht. So muss nun jeder Datenprozess gründlich dokumentiert werden. Unternehmen müssen etwa festhalten, wann es welche Verbraucherdaten aufnimmt und zu welchem Zweck es diese verwendet.

Ein Grundgedanke der DSGVO ist es, die Einhaltung datenschutzrechtlicher Vorgaben nicht nur sicherzustellen, sondern diese darüber hinaus auch zu dokumentieren und beweisen zu können. Es gilt also in gewisser Weise keine „Unschuldsvermutung“. Verschärft und ergänzt wird die Dokumentationspflicht durch die Selbstanzeigepflicht bei Datenpannen. Bemerkt ein Unternehmen eine Verletzung datenschutzrechtlicher Vorschriften, etwa weil Kundendaten ohne Einwilligung an Geschäftspartner weitergegeben wurden, muss das Unternehmen dies proaktiv bei der Aufsichtsbehörde melden, solange der Verstoß nicht völlig unerheblich ist. Diese Verpflichtung ist eine bemerkenswerte Ausnahme zu dem Grundsatz, dass sich niemand selbst wegen einer Ordnungswidrigkeit (oder gar Straftat) belasten muss.

Die Vorschriften der DSGVO gelten für alle Branchen und Unternehmen. Auch kleine Startups können mit einem erheblichen Aufwand konfrontiert sein, um sie umzusetzen. Ein Beispiel hierfür ist die Notwendigkeit eines eigenen Datenschutzbeauftragten. Die DSGVO stellt nicht nur auf die Größe des Unternehmens ab (mehr als zehn Mitarbeiter mit Datenzugang), sondern auch darauf, ob dieses ein besonders datensensibles Geschäftsmodell verfolgt. Selbst ein kleines Startup mit weniger als zehn Mitarbeitern benötigt daher einen Datenschutzbeauftragten, wenn es beispielsweise besonders schutzbedürftige Gesundheitsdaten verarbeitet.

Das Datenschutzrecht spielt also bereits bei der Entwicklung eines Geschäftsmodells eine wichtige Rolle. Je früher datenschutzrechtliche Überlegungen einbezogen werden, desto leichter fällt die Umsetzung der DSGVO. Datenschutz gehört per se zum Kernbereich des Compliance-Systems in Unternehmen. Und alle Bemühungen zur Einhaltung von Rechtsvorschriften (Compliance) sind frühzeitig und präventiv umzusetzen.