25. Mai 2018 don’t panic…

In ein paar Tagen ist es soweit – endlich – die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) wird gültig. Vor zwei Jahren ist sie in Kraft ge­tre­ten, nach vier Jahren in­ten­si­ven Ge­sprä­chen und Ver­hand­lun­gen in Brüssel.
Be­son­ders in den letzten Wochen über­schlu­gen sich Presse und „Ex­per­ten“ in ihren Ar­ti­keln mit roten Zahlen und in Fett­schrift „Es drohen Buß­gel­der von 20 Mio. Euro.“

Also, zum einen heißt es im Ge­set­zes­text „bis zu“ und zum anderen geht es nach der Sum­men­nen­nung im Ge­set­zes­text, Art. 83 DS-GVO, All­ge­mei­ne Be­din­gun­gen für die Ver­hän­gung von Geld­bu­ßen, noch weiter. In Abs. 2 heißt es […] Geld­bu­ßen werden je nach den Um­stän­den zu­sätz­lich zu oder an­stel­le von Maß­nah­men […] ver­hängt. Bei der Ent­schei­dung über die Ver­hän­gung einer Geld­bu­ße und über deren Betrag wird in jedem Ein­zel­fall Fol­gen­des ge­büh­rend berücksichtigt:

(a)    Art, Schwere und Dauer des Ver­sto­ßes, unter Be­rück­sich­ti­gung der Art, des Umfangs oder des Zwecks der be­tref­fen­den Verarbeitung […];
(b)    Vor­sätz­lich­keit oder Fahr­läs­sig­keit des Verstoßes;
(c)     Jeg­li­che von dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter ge­trof­fe­nen Maß­nah­men zur Min­de­rung des den be­trof­fe­nen Per­so­nen ent­stan­de­nen Schadens;
(d)    Grad der Verantwortung […];
(e)    Etwaige ein­schlä­gi­ge frühere Verstöße […];
(f)      Umfang der Zu­sam­men­ar­beit mit der Auf­sichts­be­hör­de, um dem Verstoß ab­zu­hel­fen und seine mög­li­chen nach­tei­li­gen Aus­wir­kun­gen zu mindern;
(g)    […]

Sie sehen, es gibt viele Rah­men­be­din­gun­gen, die eine Auf­sichts­be­hör­de bei der Fest­set­zung des Buß­gel­des zu be­rück­sich­ti­gen hat und nicht jeder Verstoß muss au­to­ma­tisch zu einem Bußgeld führen. Die „Vogel-Strauß-Taktik“ oder die weitere Ein­stel­lung „uns wird es nicht treffen“ aber mit Bestimmtheit.

Un­ter­neh­menn ver­fal­len in Panik und ope­ra­ti­ve Hektik. „Dann können wir zu­sper­ren.“, „Das ist nicht zu schaf­fen.“ Liebe Ver­ant­wort­li­che, erstmal durch­at­men und den Ball flach halten.

Ja, die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung hat einiges an Her­aus­for­de­run­gen, auch die eine oder andere neue. Aber es gilt auch zu be­rück­sich­ti­gen: für deut­sche Un­ter­neh­men und Be­trie­be war vieles auch schon im Bun­des­da­ten­schutz­ge­setz (BDSG) um­zu­set­zen. Das BDSG galt auch, wie jetzt die DS-GVO, für alle Un­ter­neh­men, Be­trie­be, Vereine und Selb­stän­di­ge – vieles wurde nur nicht sank­tio­niert und vor allem nicht in dieser Höhe. Und ja, leider haben viele Un­ter­neh­men – ich un­ter­stel­le mal, weil das Bußgeld nicht hoch genug war – dieses nicht um­ge­setzt. Die DS-GVO ändert die Kon­zep­ti­on und weit­ge­hend auch die De­tail­re­ge­lun­gen des gel­ten­den Da­ten­schutz­rechts nicht grund­le­gend. Viel­fach sind Be­stim­mun­gen aus dem BDSG über­nom­men worden.

So war auch bereits im BDSG von einem in­ter­nen Ver­fah­rens­ver­zeich­nis die Rede. Dies geführt, waren nur Er­gän­zun­gen auf Basis der DS-GVO er­for­der­lich. Der Un­ter­scheid: das BDSG-alt sank­tio­niert das Nicht-Vor­­han­­den­­sein der Do­ku­men­ta­ti­on nicht, die DS-GVO schon. Art. 5 Abs.2 DS-GVO. Auch der Ab­schluss einer Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung gemäߧ 11 BDSG (ADV) ist im BDSG ver­an­kert – jetzt AV gemäß Art. 28 DS-GVO – der Nicht-Ab­­schluss ist ab 25. Mai2018 ein Buß­geld­tat­be­stand, für beide Vertragsparteien.

Uns ex­ter­nen Da­ten­schutz­be­auf­trag­ten (DSB) wird in den letzten Wochen auch gerne vor­ge­wor­fen, wir würden jetzt den großen Reibach machen. Nein – wir un­ter­stüt­zen schon seit vielen Jahren Un­ter­neh­men bei der Um­set­zung des Da­ten­schutz­rechts. Uns zeich­net aus, dass wir über lang­jäh­ri­ge und um­fas­sen­de Er­fah­rung auf diesem Gebiet ver­fü­gen und wir sind nicht auf den Zug auf­ge­sprun­gen. Wir beraten und un­ter­stüt­zen Sie bei der Um­set­zung – wenn Sie uns lassen. Auch die An­for­de­run­gen für den DSB ändern sich – er hat neben Be­ra­tungs­auf­ga­ben, u. a. auch eine Kon­­­troll- und Überwachungsfunktion.

Nicht dass wir uns falsch ver­ste­hen. Mir als Ex­per­tin für Daten­schutz ist durch­aus bewusst, dass die Um­set­zung zeit­in­ten­siv ist, die eine oder andere pro­zes­sua­le Än­de­rung und si­cher­lich auch Un­si­cher­heit mit sich bringt. Und oben ge­nann­te Punkte sind auch nur ein kurzer Auszug, aber:

Eines sollte bei der ganzen Pa­nik­ma­che, Bü­ro­kra­tie­vor­wür­fen, an­geb­li­chen Abzocke, etc. nicht ver­ges­sen werden – was schützt das Da­ten­schutz­recht? Es schützt das Per­sön­lich­keits­recht und die in­for­ma­tio­nel­le Selbst­be­stim­mung („Recht auf Daten­schutz“ Art. 1 Abs.2 DS-GVO „Diese Ver­ord­nung schützt die Grund­rech­te und Grund­frei­hei­ten na­tür­li­cher Per­so­nen und ins­be­son­de­re deren Recht auf Schutz per­so­nen­be­zo­ge­ner Daten“) einer jeden na­tür­li­chen Person. Be­trof­fe­ne Person ist jeder Ver­brau­cher, jeder Bürger und auch jeder Ge­schäfts­füh­rer, Vor­stand, Fir­men­in­ha­ber, Hand­wer­ker, Coach, Gra­fi­ker und Ein­zel­un­ter­neh­mer. Es sollte Ihnen als Un­ter­neh­mer, un­ab­hän­gig von der Un­ter­neh­mens­grö­ße und Branche wichtig sein, Ihre und somit auch unsere Rechte zu wahren und die Daten zu schüt­zen. Und nichts anderes tun Sie, wenn Sie si­cher­stel­len, dass Ihr Un­ter­neh­men sich an die Vor­ga­ben der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung hält.