Wie DSGVO umsetzen

Wie DSGVO umsetzen?

Die DSGVO – ein bürokratisches Monster?

An vielen Stellen herrscht momentan eine Art von Konfusion, wenn es um das Thema „DSGVO umzusetzen“ sowie um die Bedeutung der DSGVO geht. Während Portale wie heise.de kenntnisreich berichten, scheint anderenorts Verwirrung zu herrschen. Niemand scheint so recht zu wissen, was damit gemeint ist und was hiervon konkret auf die eigene Firma zutrifft. Die DSGVO wird teils als ein bürokratisches Monster dargestellt, welches mit Kanonen auf Spatzen schießt und nicht zwischen einem Großkonzern und einem Kleinbetrieb unterscheidet.

Bei der Umsetzung der DSGVO herrscht Verwirrung

Als Beispiel für die derzeit herrschende Verwirrung möchte ich auf einen Artikel von ZEIT Online eingehen, welcher am 12. Mai erschienen ist.
„Laut der Verordnung muss XXX jetzt einen Datenschutzbeauftragten für seine Sieben-Mann-Firma XXX benennen“, so ein Zitat und gleichzeitig eine Behauptung aus dem Artikel.
Doch: Stimmt dies? Bei XXX handelt es sich um einen kleinen Online-Shop, welcher hochwertige Drucke von Kundenbildern vertreibt. Schauen wir uns doch einmal die entsprechende Regelung der DSGVO über die Notwendigkeit eines Datenschutzbeauftragten an.
Weder sind in dem genannten Shop durchgängig mehr als 10 Personen mit der „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt, noch werden hier „personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeitet. Ebensowenig treffen die in Artikel 35 der DSGVO „Datenschutz-Folgenabschätzung“ genannten Voraussetzungen zu, welche zu einem verpflichtenden Datenschutzbeauftragten führen würden. Sprich: die Angabe in dem ZEIT Online Artikel ist schlechterdings falsch und irreführend.

Viele Vorschriften der DSGVO gab es bereits vorher

Und weiter geht es in dem Artikel.
„Ein Versicherungsvertreter fragt sich zurzeit, ob er seine Kunden überhaupt noch mit Mailings anschreiben darf oder ob er von jedem einzelnen seiner 3.000 Kunden dafür eine Erlaubnis einholen muss.“
Selbstverständlich benötigt er hierfür eine Erlaubnis seiner Kunden – dies war jedoch bereits auch vor der DSGVO der Fall. Der einzige Unterschied ist, dass die Zustimmung zum Newsletterversand nicht mehr mit einem anderen Vertrag gekoppelt werden darf, sondern immer separat und freiwillig erfolgen muss. Wenn keine Zustimmung der Newsletterempfänger vorliegt, hätte der Versicherungsvertreter bereits vor Inkrafttreten der DSGVO abgemahnt werden können. Dem Versicherungsvertreter sei geraten, sich die entsprechende Erlaubnis einzuholen und Newsletter nur noch an die entsprechenden Kunden zu versenden. Und dies vollkommen unabhängig von der DSGVO.

Datenschutz als Firmeninteresse

Als dritter Fall wird in dem Artikel ein Spediteur genannt, welcher über eine entsprechende Software die Ortungsdaten sowie „Spritverbrauch und die Unfallhäufigkeit“ seiner LKW erfasst und auswertet.
„Jetzt aber muss er fragen: Wo dürfen diese Daten künftig gespeichert werden? Er muss Zugriffsrechte an einzelne Mitarbeiter vergeben, statt die Daten in Exceltabellen auf Firmenrechnern abzulegen.“
Auch dies hätte der entsprechende Betrieb schon lange vor der Einführung der DSGVO tun müssen. Der Schutz der hier beschriebenen personenbezogenen Daten war bereits vor der DSGVO im Bundesdatenschutzgesetz geregelt. Die Vergabe von verschiedenen Zugriffsrechten an Mitarbeiter hingegen sollte zum kleinen Einmaleins einer jeden Firmen-IT gehören.

Und auch in den Kommentaren zum Artikel wird fleißig diskutiert (Originalrechtschreibung übernommen): „Typisches EU mir kanonen auf spatzen schiessen.“, „Die Verordnung ist ganz klassisch ein Projekt der Heldenhaften Deutschen Grünen, „Die DSGVO ist genauso ein Skandal wie die EU-Pauschalreiserichtlinie.“, „Die DSGVO wäre für mich fast schon ein Grund für einen Dexit“, „Private Websites und alles was geht abschalten.“. Statt einer sachlichen Diskussion gibt es pauschalisierende Parolen.

DSGVO – viele Firmen sind nicht vorbereitet

Immerhin, eine einzige konkrete und bedenkenswerte Aussage ist in dem Artikel vorhanden:
„Laut einer Umfrage des Versichererverbands GDV von Ende April gaben sogar 56 Prozent der Firmen zu, die DSGVO sei ihnen gar nicht bekannt oder sie hätten sich noch nicht darauf eingestellt. Nur 22 Prozent sagten, sie hätten bereits Vorbereitungen getroffen.“

Dieser Artikel macht folgendes deutlich:

  • Die DSGVO trifft viele Firmen, Journalisten und auch Leser vollkommen unvorbereitet. Und dies, obwohl die DSGVO bereits im Mai 2016 veröffentlicht wurde.
  • Oftmals scheint nicht klar gewesen zu sein, dass auch vor dem Inkrafttreten der DSGVO in Deutschland mit dem Bundesdatenschutzgesetz umfangreiche Regelungen bzgl. des Datenschutzes bestanden. Durch die DSGVO wurde dies nun etwas ergänzt und durch die hohen Strafandrohungen wurden dem ganzen zusätzliche Zähne verliehen.
  • Die oben beschriebenen Punkte führen zu teils vollkommen übertriebenen Reaktionen. Wenn bereits vor der DSGVO Datenschutz gemäß des Bundesdatenschutzgesetzes betrieben wurde, wird sich nicht allzuviel ändern. Wenn dies nicht getan wurde, so lag bereits vor der DSGVO ein Gesetzesverstoß vor.

Was sind die Vorteile der DSGVO?

Überhaupt nicht in der Diskussion werden typischerweise die Vorteil der DSGVO. Dabei sind jene gerade für den Endverbraucher nicht zu mißachten:

  • Es herrscht in der gesamten EU ein einheitliches Mindestniveau im Datenschutz, Verbraucher besitzen EU-weit einheitliche Rechte.
  • Keine Firma kann sich mehr hinter einem außereuropäischen Firmensitz verstecken. Es gilt das Marktorprinzip: entscheidend für die Gültigkeit der DSGVO ist nicht der Firmensitz, sondern der Ort der Leistungserbringung. Auch facebook, google, amazon und co. müssen sich an die Regelungen der DSGVO halten.
  • Diverse Öffnungsklauseln sorgen dafür, dass die DSGVO an landestypische Gegebenheiten angepasst werden kann. In Deutschland ist die genaue Umsatzung beispielsweise der DSGVO beispielsweise im BDSG (neu) geregelt.
  • Es ist zu erwarten, dass die DSGVO – auch durch das Marktortprinzip – früher oder später auch in nicht-EU Ländern zum Standard wird, wenn diese Länder weiter mit der EU Handel treiben möchten.
  • 0 Antworten

    Hinterlassen Sie einen Kommentar

    Wollen Sie an der Diskussion teilnehmen?
    Feel free to contribute!

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.