Sign In

Welcome, Login to your account.

Datenschutz, KMU & Freiberufler | Di, 20.03.2018 19:08

Denkfehler, Gerüchte und falsche Annahmen zur DSGVO: Wir klären auf!

Von: Tabea Knabe

Rund um das Thema Datenschutz gibt es viele Gerüchte und Denkfehler. Fehler gilt es zu vermeiden, da diese teuer werden können. Noch ist es Zeit dafür zu sorgen, dass das böse Erwachen ausbleibt.


Nicht wenige sind der Meinung, dass die Einführung der Datenschutzgrundverordnung nochmals verschoben wird. Dieser Ansicht sind auch einige Unternehmensverbände, die ihren Mitgliedern bisher noch keinen erhöhten Handlungsbedarf empfehlen. Hier denken viele an die Richtlinien zum Einsatz von Registrierkassen im Zusammenhang mit der GDPDU. Hier gibt es großzügige Übergangsfristen. Damit kann aber im Rahmen der DSGVO nicht gerechnet werden, schließlich handelt es sich um eine EU-Verordnung, die in allen Mitgliedsstaaten ab 25. Mai 2018 gilt. Tatsächlich befinden wir uns schon in der Umsetzungsfrist, schließlich wurde das Gesetz bereits 2016 beschlossen.

Eng damit verbunden ist die Annahme, dass die Behörden am Anfang noch sehr nachsichtig sein werden. Dies ist aber doch sehr fraglich, schließlich hatten Unternehmen jetzt zwei Jahre Zeit ihre Prozesse anzupassen, Mitarbeiter zu schulen, vertragliche Regelungen umzusetzen und eine entsprechende Dokumentation aufzubauen. Deshalb ist anzuraten sich nicht darauf zu verlassen, schließlich könnten die Behörden auch durch Dritte, seien es Konkurrenten, unzufrieden Kunden oder durch (ehemalige) Mitarbeiter auf etwaige Verstöße aufmerksam gemacht werden.

Gerade viele kleine Unternehmen sind der Meinung, dass die DSGVO sie gar nicht betreffe. Sehr wohl gibt es etliche gesetzliche Regelungen, die kleine Unternehmen verschonen, z.B. im Beschäftigtenrecht. Doch die DSGVO betrifft alle, von der kleinen Einzelfirma bis hin zum Konzern. Betroffen sind nach Art. 2 Abs. 1 DSGVO alle Unternehmen, die automatisiert oder teilweise automatisiert personenbezogene Daten verarbeiten. Der Datenschutz von persönlichen Daten ist nämlich ein Grundrecht und somit innerhalb der Europäischen Union ein verbindliches Recht. Aus diesem Grund kann davon kein Unternehmen ausgenommen sein. Sehr wohl hat der Gesetzgeber eine Erleichterung für Unternehmen unter 250 Mitarbeitern vorgesehen, nämlich die Ausnahme von der Pflicht ein Verzeichnis über Verarbeitungstätigkeiten zu führen. Jedoch wird diese Ausnahme nur die wenigsten Unternehmen betreffen, sieht die Verordnung doch vor, dass nur diejenigen ausgenommen sind, die nur gelegentlich personenbezogene Daten verarbeiten. Schon allein die regelmäßige Lohn- und Gehaltsabrechnung oder die Verarbeitung von Kundendaten widerspricht dem. Also wird jedem Unternehmen geraten ein solches Verzeichnis zu führen.

Die einzige Erleichterung für kleine Unternehmen findet sich damit nur in der Pflicht einen Datenschutzbeauftragten zu benennen. Dies ist erst ab zehn Mitarbeitern erforderlich, welche personenbezogene Daten verarbeiten. Möglicherweise ist es aber besser auch bei kleinen Unternehmen einen externen kompetenten Datenschutzbeauftragten einzubinden, damit die Geschäftsleitung in Sachen Datenschutz entlastet wird.

Das Argument, dass Deutschland bereits ein umfangreiches Datenschutzgesetz hat und deshalb die Änderungen nur geringfügig sind, ist ebenfalls nicht angebracht. Es findet nämlich nicht nur eine Vereinheitlichung, sondern auch eine Verschärfung statt. Dies betrifft vor allem die Nachweis- und Informationspflichten. Dies erfordert doch erhebliche Anpassungsprozesse. Auch die Software-Systemlandschaft sollte einer Überprüfung unterzogen werden.

Und wer glaubt, dass die Strafen bei Verstößen unerheblich seien, das Risiko einfach in Kauf genommen werden könne, der kann sich gewaltig täuschen. Die Bußgelder sollen eine abschreckende Wirkung haben. Das Vielfache der bisher möglichen Bußgelder kann auf Unternehmen zukommen und das auch schon für leichte organisatorische Verstöße. Gerade die vorgesehene Abschreckung kann also zu schmerzhaften Bußgeldern führen.

Noch haben Unternehmen Zeit rechtzeitig Vorkehrungen zu treffen. Wer bisher noch nicht mit der Umsetzung begonnen hat, kann die wichtigsten Voraussetzungen noch bis zum 25. Mai 2018 schaffen. Hierfür bietet sich externe Unterstützung an.