DSGVO: Was ist neu und was nicht?

DSGVO

Was passiert eigentlich, wenn am 25. Mai die Datenschutz-Grundverordnung (DSGVO) der EU in Kraft tritt? Nichts – wenn man alles richtig gemacht hat. Denn wirklich neu sind vor allem die Dokumentationspflichten.

Deutschland, das Land der Erfinder? Zumindest beim Datenschutz ist das eine (fast*) richtige Einschätzung: Das weltweit erste formelle Gesetz zum Datenschutz trat 1970 in Hessen in Kraft. Es sollte sicherstellen, dass das Recht der Bürger auf informationelle Selbstbestimmung gewahrt bleibt in Zeiten zunehmender elektronischer Datenverarbeitung durch Behörden. Viele weitere Gesetze und Verordnungen folgten. Ab dem 25. Mai 2018 gilt nun die DSGVO EU-weit, sozusagen eine Enkelin der hessischen Gesetzgebung von vor 48 Jahren. (Hier eine Übersicht bei der EU-Kommission.) Aber während das hessische Gesetz 44 Paragraphen umfasste, ist die DSGVO mit 99 Artikeln in elf Kapiteln vergleichsweise komplex und detailreich. Sie ist eine Reaktion auf die digitale Transformation und Globalisierung unserer Welt. Nicht mehr staatliche Stellen, sondern vor allem private Unternehmen stehen heute im Fokus, denn sie sind längst die größten Datenerheber und -verarbeiter.

Über die Auswirkungen des Datenschutzes wird heute wie damals gestritten. Kritik kommt von allen Seiten, sowohl von Datenschützern und Bürgerinitiativen als auch von Unternehmen. Ersteren geht die Verordnung nicht weit genug, letzteren hingegen zu weit. Denn die DSGVO betrifft nicht nur einige und auch nicht etliche – sie betrifft jedes einzelne Unternehmen, bei dem personenbezogene Daten anfallen, sprich: alle.

Um zu verstehen, welche Neuerungen die DSGVO bringt und warum die Umsetzung für viele Unternehmen eine große Herausforderung ist, sind zwei Punkte zentral: Was sind personenbezogene Daten und welche Pflichten erwachsen nach der DSGVO für deren Erhebung und Verarbeitung?

Nicht neu bei der DSGVO: Personenbezogene Daten

Ein Beispiel: Sie schließen sich nachts um drei Uhr versehentlich aus Ihrer Wohnung aus, rufen einen Schlüsseldienst und erhalten nach Zahlung von 400 Euro eine Rechnung (und eine geöffnete Tür). Die Rechnungsdaten beinhalten Ihren Namen und Ihre Anschrift. Das Finanzamt verlangt vom Schlüsseldienst, diese aufzubewahren.

Noch ein Beispiel: Sie haben ein Unternehmen und erhalten jede Woche eine Getränkelieferung für Ihre Mitarbeiter. Damit die Lieferanten das Firmengelände betreten können, müssen Sie am Empfang ihren Namen hinterlassen. Wann vernichten Sie die Unterschriftenliste?

Personenbezogene Daten fallen fast immer und fast überall an: Bei der Fuhrparkorganisation, dem Bewerbermanagement, bei Zugangsberechtigungskarten, dem Versand von Newslettern und natürlich beim Betreiben einer Website. Denn auch IP-Adressen und Cookies können personenbezogen sein.

Das ist nicht neu. Auch nicht in allen Fällen neu ist die Art und Weise, wie diese Daten behandelt, gesichert und wann sie gelöscht werden müssen.

Im Kern neu hingegen ist, dass die Rechenschaftspflicht zu einer Beweislastumkehr zu Lasten der verantwortlichen Stelle führt. So kann bereits eine fehlerhafte Dokumentation der Einhaltung des Datenschutzrechts wirtschaftliche Folgen für Unternehmen haben.

Neu bei DSGVO: Pflichten bei Dokumentation und Auskunft

Mit der DSGVO kommen deshalb vor allem Dokumentations- und Auskunftspflichten auf Unternehmen zu. Artikel 30 der Verordnung verlangt, dass für alle erhobenen Datensätze eindeutige Ansprechpersonen benannt und die Art und Weise der Datenverarbeitung dokumentiert werden muss. Die benannten Personen müssen bei Anfragen in bestimmten Fristen Auskunft zu zahlreichen Details geben, darunter:

  • Was ist die Zweckbestimmung der Daten?
  • Wie und wie lange werden die Daten archiviert?
  • Wann und wie werden die Daten gelöscht?
  • Welche Personen haben welche Art Zugriff auf die Daten?
  • Wie werden die Daten geschützt gegen unbefugten Zugriff?

Diesen Pflichten verordnungsgetreu nachzukommen kann viel Aufwand bedeuten, auch dann, wenn alle Bestimmungen bereits umgesetzt wurden. Die Erstellung der Dokumentationen kann dabei natürlich sehr komplex sein, aber schon die Benennung der verantwortlichen Personen ist oft schwierig – schließlich müssen diese Zeit und Knowhow mitbringen, um die Aufgaben zu erfüllen. Viele Unternehmen delegieren “den Datenschutz” als zusätzliche Aufgabe an einen Mitarbeiter oder beauftragen einen externen Datenschützer zum Monatspauschalpreis.

Die richtigen Vorbereitungen für das schnelle Erteilen von Auskünften ist vor allem für kleine und mittlere Unternehmen eine Herausforderung, die Arbeitskraft und -zeit bindet. Manches Unternehmen befürchtet zudem, nach dem Inkrafttreten der DSGVO mit Auskunftsersuchen dermaßen überhäuft zu werden, dass die eigentliche Arbeit liegen bleibt – eine Art analoger DDoS-Attacke scheint zu drohen. Ob es soweit kommen wird, bleibt abzuwarten, eine gute Vorbereitung ist aber in jedem Fall nötig. Doch daran hapert es oftmals.

Warum? Weil die DSGVO auf den ersten Blick dermaßen umfangreich erscheint, dass ein Effekt der Abschreckung eintritt, der oftmals in die Prokrastination führt. Wie so oft hilft dagegen eine Liste, die den Grad der Komplexität verringert und die wichtigsten Punkte zusammenfasst.

In unserem nächsten Artikel zur DSGVO stellen wir deshalb die Liste “5 Meilensteine bis zur DSGVO” vor. Darin erklären wir auch, weshalb manches Unternehmen mittel- bis langfristig von der Umsetzung der Verordnung profitieren wird.

 

(* Die Debatte über den Datenschutz begann allerdings in den 1960er Jahren in den USA.)

©Titelfoto: Fred MARVAUX (Quelle)

 

Zur Blog-Startseite