Datenschutzgrundverordnung (DSGVO) ab 25.05.2018 umzusetzen

In wenigen Stunden ist es soweit. Die Datenschutzgrundverordnung muss zum 25.05.2018 umgesetzt sein. Diese gilt für alle nicht-privaten Verarbeiter von Daten. Welche Pflichten genau für welches Unternehmen oder auch z.B. Kleingewerbetreibende, Blogbetreiber oder Vereine gelten, kommt auf den Einzelfall an.

Einige Beispiele, die je nach Unternehmen umgesetzt oder angepasst werden müssen oder sollen, sind:

  • Datenschutzerklärung auf Homepage
  • Verarbeitungsverzeichnis zu den verarbeiteten persönlichen Daten im Unternehmen
    • inklusive „Technischer und Organisatorischer Maßnahmen“ (kurz TOM) und gegebenenfalls Erstellung eines Sicherheitskonzeptes
  • Abschluss von Auftragsverarbeitungs-Verträgen (früher Auftragsdatenverarbeitungs-Verträgen, kurz ADV-Verträge)
  • Bestellung eines internen oder externen Datenschutzbeauftragten
  • Erstellung einer Datenschutz-Folgenabschätzung
  • Meldung von Verstößen an die Aufsichtsbehörde

Grundsätzlich ist davon auszugehen, dass ein Unternehmer, der eine Webseite betreibt oder eine Kundenkartei führt oder Angestellte hat, solchen Pflichten hat. Hierbei ist ohne Belang, ob der Unternehmer einen Umsatz von 1.000 € oder 1.000.000 € macht. Wenige Unternehmer, wie möglicherweise ein freiberuflich tätiger Einzelunternehmer, der nur gelegentlich eine Rechnung schreibt, keine Internetseite besitzt, keine Angestellten hat, keine Kundenkartei besitzt und nur eine geringe Zahl von Auftraggebern hat, könnte möglicherweise aus dem engmaschigen Raster fallen.

Um das viel diskutierte Verarbeitungsverzeichnis kommt man kaum herum. Einzelne Verarbeitungszwecke wie die Lohnbuchhaltung, Verwaltung, Bereitstellung eines Internetauftrittes, Elektronische Kommunikation, Führung von Kundenkarteien und vieles mehr ist dort niederzuschreiben. Einziger Lichtblick für Gegner der  Datenschutzgrundverordnung ist, dass es grundsätzlich nicht veröffentlicht werden muss, sondern nur auf Anforderung vorgelegt werden muss.

Insgesamt bleiben zwar viele Rechtsunsicherheiten durch die Datenschutzgrundverordnung und die neue Regelung des Bundesdatenschutzgesetzes, verzweifeln muss man jedoch nicht. Im Wesentlichen muss man die Verarbeitung von Daten transparent machen und sich hierzu vorher – leider mit teilweise viel Aufwand – allen Datenverarbeitungen im Unternehmen bewusst werden. Den im Übrigen vielfach kursierenden Gerüchten und Informationen mit Halbwissen, nach denen scheinbar die Welt untergeht, ist nicht zuzustimmen. Wenn Sie bisher Briefe per Post ganz normal in den Briefkasten geschmissen haben dann können Sie das auch weiterhin – ohne einen Auftragsverarbeitungsvertrag mit der Post abzuschließen – machen. Wenn Sie allerdings einen Paketdienstleister beauftragen und Kundendaten in dessen elektronisches System eingeben um zum Beispiel die Versandlabel zu erstellen, dann mag die Lage schon wieder anders sein. Die meisten der Auftragsverarbeiter bieten solche Verträge als Standardvertrag an und können – von einzelnenen Ausnahmen mal abgesehen – bedenkenlos unterschrieben werden.

Die Zukunft wird zeigen, ob neue Abmahnwellen über Deutschland ziehen werden. Bekannt ist, dass jetzt schon Anbieter existieren, die Websiten vollautomatisiert auf Verstöße überprüfen. Wenn Sie also alle nach außen sichtbaren Maßnahmen, insbesondere neben den weiteren Rechtstexten eine Datenschutzerklärung auf der Homepage und den datenschutzkonforme Umgang mit Daten auf Homepages, umgesetzt haben, haben Sie schon die wichtigsten Schritte zur Absicherung gegen Abmahnungen getan. Die aufsichtsbehördlichen Maßnahmen werden zwar in den Medien als sehr scharfes Schwert angeprießen und eine deutlich schärfere Klinge als bisher haben diese tatsächlich auch, aber auch mit dem schärftsten Schwert kann man angemessen und vorsichtig umgehen. Es ist eher davon auszugehen, dass existenzbedrohende Maßnahmen und Strafen nur im extremen Ausnahmefall vorkommen werden. Lassen Sie sich also nicht (zu sehr) verunsichern, aber bleiben Sie immer am Ball, denn es wird sicherlich in nächster Zeit noch einige neue Entwicklungen geben!