© Julian Rentzsch© Julian Rentzsch

Hard- & Software, vernetzt

Die Umsetzung hakt – und die Zeit drängt

Die EU-Datenschutz-Grundverordnung beschäftigt weiterhin die deutsche Unternehmerlandschaft. Zwar ist das Regelwerk bereits in Kraft getreten. Zur Umsetzung der Richtlinie in die Praxis verbleiben den Organisationen jedoch noch einige Wochen und Monate.

Der Stichtag ist der 25. Mai 2018. Der verbleibende Umsetzungszeitraum mag zunächst großzügig klingen. Aufgrund der Komplexität dürfte die Zeit für Mittelständler, die sich mit der anspruchsvollen Materie noch nicht auseinandergesetzt haben, knapp werden.

Symbolmaßnahmen werden nicht ausreichen

Im Vergleich zur Vorgehensweise nach dem alten Bundesdatenschutzrecht sollten Unternehmen nämlich nicht darauf vertrauen, dass sie mit symbolischen Maßnahmen viel erreichen – auch wenn die EU-DSGVO den Verhältnismäßigkeitsgrundsatz betont. Um ein Mindestmaß rechtlicher Compliance zu gewährleisten, sollten die wesentlichen Risiken für personenbezogene Daten strukturell angegangen werden. Insofern ist es wichtig, vor dem 25. Mai 2018 die Eckpfeiler einer passenden Datenschutzorganisation für das jeweilige Unternehmen festzulegen. Das schließt auch eine IT-Sicherheitsstruktur mit ein. Es gilt, insbesondere diese Datenverarbeitungsprozesse mit der Rechtsgrundlage aufzunehmen und die wesentlichen Risiken zu identifizieren. Die Erfüllung formeller Voraussetzungen, wie die Meldung eines Datenschutzbeauftragten gegenüber der Aufsichtsbehörde, ist ebenfalls ein Basisaspekt.

Allerdings offenbart der Blick in die Unternehmen oft noch deutliche Defizite. Auch wenn die Digitalisierung für viele kleine und mittlere Unternehmen ein wichtiges Thema ist, sind diese oft nicht bereit, in Datenschutz und Compliance zu investieren, und vernachlässigen beide Themen entsprechend. Ein Bewusstsein dafür, dass eine wirksame Datenschutzorganisation erforderlich ist, entsteht meist erst, wenn der Fall der Fälle eingetreten ist. Reputationsschäden werden ebenso unterschätzt wie Geldbußen für Verstöße.

In den meisten Fällen dürfte das Ganze aber auch ein Ressourcenthema sein. Viele Unternehmen tun sich hier schwer, beispielsweise das notwendige IT-Know-how und die juristische Expertise zu gewährleisten. Schließlich lässt sich mit dem relativ offenen, unbestimmten Text der Verordnung im Zusammenspiel mit den Ausführungsgesetzen ohne dieses Wissen kaum angemessen umgehen. Hier ist der Rückgriff auf externe Experten die wahrscheinlich beste Option. Diese können eine Lückenanalyse durchführen und geeignete Maßnahmen einleiten.

Die Verwaltungspraxis wird sich herausbilden

Eine externe Expertise wird aber auch in Zukunft helfen, gerade in Anbetracht gewisser Auslegungsfragen der Verordnung. Hier wird erst im Laufe der kommenden Jahre mit Herausbildung einer Verwaltungspraxis der Aufsichtsbehörden und ersten Gerichtsentscheidungen eine Präzisierung erfolgen. Insofern werden die Aufsichtsbehörden den Bußgeldrahmen zu Beginn mit Sicherheit nicht ausschöpfen. Die hohen Strafen dürften ohnehin eher auf einige internationale Großkonzerne gemünzt sein, die sich in der Vergangenheit um die Einhaltung des Datenschutzes gedrückt haben.

Andererseits sagt die Verordnung aber auch, dass die Bußgelder wirksam, verhältnismäßig und abschreckend sein sollen. Gerade mit Blick auf die Verbote in der Verordnung – beispielsweise die Weitergabe personenbezogener Daten ohne Grundlage oder eine Videoüberwachung ohne eine Folgenabschätzung – werden die vielen überzeugten Datenschützer in den Aufsichtsbehörden den Bußgeldrahmen daher auch nutzen wollen.

Zur Person:
Dr. Christian Lenz ist Rechtsanwalt und Datenschutzexperte beim Beratungsunternehmen dhpg.

 


Wir freuen uns über Diskussionen und Ihre Kommentare.
Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

CAPTCHA-Bild

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>