In ein paar Tagen ist es soweit – endlich – die Datenschutz-Grundverordnung (DS-GVO) wird gültig. Vor zwei Jahren ist sie in Kraft getreten, nach vier Jahren intensiven Gesprächen und Verhandlungen in Brüssel.
Besonders in den letzten Wochen überschlugen sich Presse und „Experten“ in ihren Artikeln mit roten Zahlen und in Fettschrift „Es drohen Bußgelder von 20 Mio. Euro.“
Also, zum einen heißt es im Gesetzestext „bis zu“ und zum anderen geht es nach der Summennennung im Gesetzestext, Art. 83 DS-GVO, Allgemeine Bedingungen für die Verhängung von Geldbußen, noch weiter. In Abs. 2 heißt es […] Geldbußen werden je nach den Umständen zusätzlich zu oder anstelle von Maßnahmen […] verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
(a) Art, Schwere und Dauer des Verstoßes, unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung […];
(b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
(c) Jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
(d) Grad der Verantwortung […];
(e) Etwaige einschlägige frühere Verstöße […];
(f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
(g) […]
Sie sehen, es gibt viele Rahmenbedingungen, die eine Aufsichtsbehörde bei der Festsetzung des Bußgeldes zu berücksichtigen hat und nicht jeder Verstoß muss automatisch zu einem Bußgeld führen. Die „Vogel-Strauß-Taktik“ oder die weitere Einstellung „uns wird es nicht treffen“ aber mit Bestimmtheit.
Unternehmenn verfallen in Panik und operative Hektik. „Dann können wir zusperren.“, „Das ist nicht zu schaffen.“ Liebe Verantwortliche, erstmal durchatmen und den Ball flach halten.
Ja, die Datenschutz-Grundverordnung hat einiges an Herausforderungen, auch die eine oder andere neue. Aber es gilt auch zu berücksichtigen: für deutsche Unternehmen und Betriebe war vieles auch schon im Bundesdatenschutzgesetz (BDSG) umzusetzen. Das BDSG galt auch, wie jetzt die DS-GVO, für alle Unternehmen, Betriebe, Vereine und Selbständige – vieles wurde nur nicht sanktioniert und vor allem nicht in dieser Höhe. Und ja, leider haben viele Unternehmen – ich unterstelle mal, weil das Bußgeld nicht hoch genug war – dieses nicht umgesetzt. Die DS-GVO ändert die Konzeption und weitgehend auch die Detailregelungen des geltenden Datenschutzrechts nicht grundlegend. Vielfach sind Bestimmungen aus dem BDSG übernommen worden.
So war auch bereits im BDSG von einem internen Verfahrensverzeichnis die Rede. Dies geführt, waren nur Ergänzungen auf Basis der DS-GVO erforderlich. Der Unterscheid: das BDSG-alt sanktioniert das Nicht-Vorhandensein der Dokumentation nicht, die DS-GVO schon. Art. 5 Abs.2 DS-GVO. Auch der Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung gemäߧ 11 BDSG (ADV) ist im BDSG verankert – jetzt AV gemäß Art. 28 DS-GVO – der Nicht-Abschluss ist ab 25. Mai2018 ein Bußgeldtatbestand, für beide Vertragsparteien.
Uns externen Datenschutzbeauftragten (DSB) wird in den letzten Wochen auch gerne vorgeworfen, wir würden jetzt den großen Reibach machen. Nein – wir unterstützen schon seit vielen Jahren Unternehmen bei der Umsetzung des Datenschutzrechts. Uns zeichnet aus, dass wir über langjährige und umfassende Erfahrung auf diesem Gebiet verfügen und wir sind nicht auf den Zug aufgesprungen. Wir beraten und unterstützen Sie bei der Umsetzung – wenn Sie uns lassen. Auch die Anforderungen für den DSB ändern sich – er hat neben Beratungsaufgaben, u. a. auch eine Kontroll- und Überwachungsfunktion.
Nicht dass wir uns falsch verstehen. Mir als Expertin für Datenschutz ist durchaus bewusst, dass die Umsetzung zeitintensiv ist, die eine oder andere prozessuale Änderung und sicherlich auch Unsicherheit mit sich bringt. Und oben genannte Punkte sind auch nur ein kurzer Auszug, aber:
Eines sollte bei der ganzen Panikmache, Bürokratievorwürfen, angeblichen Abzocke, etc. nicht vergessen werden – was schützt das Datenschutzrecht? Es schützt das Persönlichkeitsrecht und die informationelle Selbstbestimmung („Recht auf Datenschutz“ Art. 1 Abs.2 DS-GVO „Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“) einer jeden natürlichen Person. Betroffene Person ist jeder Verbraucher, jeder Bürger und auch jeder Geschäftsführer, Vorstand, Firmeninhaber, Handwerker, Coach, Grafiker und Einzelunternehmer. Es sollte Ihnen als Unternehmer, unabhängig von der Unternehmensgröße und Branche wichtig sein, Ihre und somit auch unsere Rechte zu wahren und die Daten zu schützen. Und nichts anderes tun Sie, wenn Sie sicherstellen, dass Ihr Unternehmen sich an die Vorgaben der Datenschutz-Grundverordnung hält.