Die wichtigsten Fragen und Antworten zur EU-Datenschutzgrundverordnung (DSGVO)

Seit dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung vollumfänglich. Unser Datenschutzbeauftragter Tobias Göldner hat die wichtigsten Fragen zur Verordnung beantwortet.

Was sind die Auswirkungen der EU-Datenschutzgrundverordnung in Deutschland?

Tatsächlich ist bei vielen Unternehmen momentan Panik die vorherrschende Kraft, denn viele Unternehmen haben sich bisher kaum bis gar nicht mit dem Datenschutz auseinandergesetzt und nehmen die Datenschutzgrundverordnung jetzt als Anlass, erheblich aufzuräumen.

Was sind die wichtigsten Änderungen im Vergleich zum geltenden Recht?

Neu mit der Grundverordnung sind vor allem die Themen Information, Transparenz, Dokumentation. Das heißt, dass was man bisher in vielen Fällen auch richtig gemacht hat, muss künftig weiter ausgefeilt und muss vor allem nachvollziehbar dokumentiert werden.

Das ist für viele Unternehmen, gerade für kleine und mittelständische Unternehmen, schwierig, denn viele gut differenzierte Prozesse sind da noch nicht vorhanden und die Grundverordnung sagt: Jeder Datenschutzprozess ist ein dokumentierter Datenschutzprozess. Andererseits stehen die Unternehmen vor großen Fragezeichen, was Informationspflichten angeht.

Ein großes Praxisbeispiel, was derzeit kursiert und was viele vor Fragen stellt, ist die Frage, wenn ich jetzt demnächst bei meiner Arztpraxis einen Termin abmache, am Telefon, muss ich da erstmal in 34 Sätzen über Datenschutzvorschriften informiert werden? Das wahrscheinlich nicht, aber die Frage ist zumindest berechtigt.

Welche Prozesse und Dokumente muss ich in meinem Unternehmen prüfen?

Kernstück für die gesamte Dokumentation im Unternehmen ist das, was die Datenschutzgrundverordnung Verarbeitungsübersicht nennt. Das Kind gibt es schon lange, hieß früher Verfahrensverzeichnis und stellt an sich die Aufgabe auf, für mich im Unternehmen alleProzesse mit Datenschutzrelevanz zu identifizieren. Das sind also Prozesse in denen personenbezogene Daten verarbeitet werden, in modernen Unternehmen nahezu jeder Prozess.

Ziel der Übung ist, das ich mich frage, was mache ich mit personenbezogenen Daten, um dann einschätzen zu können, welches Risiko geht mit diesen Geschäftsprozessen einher, um angemessene Maßnahmen zu finden, mit diesem Risiko umzugehen.

Welche Abteilungen sind in meinem Unternehmen von der Verordnung besonders betroffen?

Klassische Stakeholder für Datenschutzprozesse in Unternehmen sind insbesondere HR-Abteilungen, IT, aber auch Bereiche wie Marketing und Controlling. Also natürlich alle Bereiche, in denen besonders viele personenbezogene Daten anfallen. Das wird in der Regel vor allem Marketingprozesse betreffen, aber auch andererseits Bereiche, in denen tendenziell besonders sensible personenbezogene Daten anfallen, klassisch im Personalbereich.

Wenn ich also über große Newsletter-Listen spreche, sollte da der Datenschutz sicherlich zuerst ansetzen, aber natürlich auch bei der Frage, wie gehe ich beispielsweise mit den Gesundheitsdaten meiner Kollegen um?

Wie werden Datenschutzverstöße unter der DSGVO geahndet?

Die Grundverordnung ist bei Datenschutzverstößen erstmal knüppelhart. Bußgelder schlagen richtig ins Kontor und das ist auch gewollt. Datenschutzverstöße kosten unter der Datenschutzgrundverordnung bis zu 20 Millionen Euro bzw. 4 Prozent des weltweiten Jahresumsatzes. Das wird auch bei großen Unternehmen ein tatsächliches, wirtschaftliches Risiko. Tatsächlich muss man sagen, dass, wie dieser Bußgeldrahmen gefüllt wird, noch bei vielen unklar ist und auch die Aufsichtsbehörden dazu noch keine gefestigte Meinung haben. Sicherlich wird es nicht so sein, dass die gesamt deutsche Wirtschaft jetzt Bußgeldbescheide in Millionenhöhe am 25. Mai bekommt, doch wahrscheinlich werden auch die Kavaliersdelikte etwas teurer.

Tatsächlich muss man sagen, sind die Datenschutzaufsichtsbehörden in vielen Fällen aber auch daran interessiert, eine kooperative Lösung zu finden und Bußgelder sind nicht das einzige Instrument. Datenschutzaufsichtsbehörden sind auch dazu da, zu beraten und Prozesse rechtskonform mitzugestalten.

Inwieweit unterstützt Bitkom Unternehmen bei der Umsetzung der DSGVO?

Bei allen Fragen zur Datenschutzgrundverordnung hilft natürlich auch Bitkom in dreierlei Weise: Einerseits haben wir über den Arbeitskreis Datenschutz ganz viele Musterleitfäden, Papiere, Vertragsvorlagen herausgegeben, die kostenfrei auf bitkom.org heruntergeladen werden können. Andererseits haben wir über die Bitkom Akademie ein sehr umfangreiches Fortbildungs-, Weiterbildungsprogramm im Bereich Datenschutz und zu guter Letzt bieten wir über Bitkom Consult auch individuelle Betreuung und Beratung zu Datenschutzthemen.