Seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) ist nun genau ein Jahr vergangen. Angeheizt durch eine starke mediale Berichterstattung, erwarteten viele Unternehmen zum 25. Mai 2018 das „Ende der Welt“ in Sachen Datenschutz. Zwölf Monate später zieht Datenschutzexperte Christian Köhler ein Fazit.
Christian, wurde die Datenschutzwelt durch die DSGVO denn nun aus den Angeln gehoben?
Glücklicherweise nicht. Entsprechend hat sich die erste Panik mittlerweile auch gelegt. Das Thema hatte ja eine enorme Eigendynamik entwickelt. Ich erinnere mich beispielsweise an den Anruf einer Einzelhändlerin, die selbstgeschneiderte Kleidung verkaufte. Sie hatte keine Website, keine Angestellten und erhob auch keine Daten Ihrer Kunden. Trotzdem war sie nach dem Besuch einer Verbandssitzung, auf welcher ein Fachjurist zum Thema Datenschutz referierte, so verängstigt, dass ich eine gute halbe Stunde brauchte, um sie zu beruhigen und davon zu überzeugen, dass Sie nichts zu befürchten hatte.
Dann war die Panik also unbegründet?
Im Grunde ja. Gerade in der Anfangszeit verhielten sich die Aufsichtsbehörden recht still und auch die allseits befürchtete Abmahnwelle lässt bis heute auf sich warten.
Wird die Umsetzung der DSGVO denn überhaupt kontrolliert?
Selbstverständlich. Die bayerischen Aufsichtsbehörden nehmen ihren Auftrag natürlich ernst und führen in den Unternehmen regelmäßig Schwerpunkts-Überprüfungen durch.
Welche Themen stehen bei diesen Überprüfungen im Vordergrund?
Es werden ganz unterschiedliche Bereiche kontrolliert. Zum Beispiel “Informationspflichten in Bewerbungsverfahren”, “Umsetzung der DSGVO bei kleinen und mittelständischen Unternehmen (KMUs)”, “Ransomware bei Arztpraxen” oder auch “Datenschutzverletzungen bei (Unter-)Auftragsverarbeitern”. Im Detail kann man das auf der offiziellen Website des Bayerischen Landesamtes für Datenschutzaufsicht (https://www.lda.bayern.de/de/kontrollen.html) nachlesen.
Ein Jahr DSGVO – Wo stehen wir heute?
Wir stellen nach wie vor eine erhöhte Sensibilität und Handlungsbereitschaft bei den bayerischen Unternehmen fest. Das ist in zweierlei Hinsicht gut: Zum einen natürlich, weil die DSGVO eine sinnvolle Grundlage zur Vereinheitlichung des europäischen Datenschutz bietet und dazu beiträgt, die Grundrechte natürlicher Personen zu sichern. Zum anderen aber auch ganz pragmatisch aus dem Grund, dass die Aufsichtsbehörden immer aktiver werden. So wurde seitens der französischen Aufsichtsbehörde beispielsweise ein 50 Mio. € Bußgeld gegen Google verhängt. Und auch in Deutschland wurden bereits Strafen in einer Spanne von 4k bis 70k € ausgesprochen. Leider liegen nur wenig konkrete Informationen vor, welche Unternehmen wofür genau belangt wurden.
Viele Unternehmen scheinen unsicher zu sein, was genau zu tun ist, um die DSGVO umzusetzen. Wie lassen sich teure Fehler vermeiden?
Tatsächlich besteht bei vielen KundInnen, die auf uns zukommen, eine hohe Rechtsunsicherheit. Und die Flut an Informationen, die im Internet rund um das Thema zu finden ist, macht die Sache gewiss nicht besser. Die Datenschutz-Grundverordnung bringt für Unternehmen vor allem umfassende Dokumentations- und Informationspflichten mit sich. Das ist unterm Strich keine Raketenwissenschaft, erfordert aber dennoch eine umfassende Sicht auf komplexe Zusammenhänge. Wer im Bereich DSGVO auf Nummer Sicher gehen will, sollte sich deshalb unbedingt von Fachleuten beraten und bei der Umsetzung begleiten lassen.