WENN DER DATENSCHUTZ DIE NÄCHTLICHE RUHE STÖRT: FINDET MAN DANN WIEDER IN DEN SCHLAF?

Es ist bereits ein paar Tage her, als in einer Nacht auf einen Freitag Ende Juni durch den Bundestag das 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) beschlossen worden ist. Ein (Datenschutz-) Sommernachtstraum sieht wahrlich anders aus… Indizien hierfür waren letztlich bereits die doch eher fragwürdige Zeit (1:30 Uhr nachts!) sowie die Minimalbesetzung bei der Beschlussfassung im Bundestag. Vor allem mit Blick auf den Umfang und Ziel des Werks: Viel hilft viel und macht gleichzeitig alles einfacher?

Wohl eher nicht. Jetzt, einige Wochen später, wird immer deutlicher, welche Problemstellungen diese Nacht- und Nebelaktion für Unternehmen mit sich gebracht hat. Die umfangreiche Kritik im Vorhinein blieb mehr oder minder „ungehört“. Denn obwohl und teilweise vielleicht gerade weil auf über 500 Seiten mehr als 150 Gesetze Anpassungen erfahren, sind am Ende doch viele offene Fragen bei der Anwendung und Umsetzung der Datenschutzanforderungen auch im Verhältnis verschiedener Gesetze zueinander zu verzeichnen. Und da auch gar nicht ohne Weiteres klar ist, dass einige Anpassungen rein terminologischer Art sind, wird Unsicherheit geschürt, anstatt abgebaut. Und diese begegnen uns mehr und mehr auch in unserer täglichen Beratungspraxis. Unternehmen sind von der Komplexität, aber auch mit dem Ableiten eines konkreten Handlungsbedarfs schlichtweg überfordert. Gern greifen wir daher ein paar wesentliche Themen auf und geben in unserem Blog Erläuterungen und Hilfestellungen.

Ent- oder Belastung? Mit oder ohne? Das sind die großen Fragen!

Schon mehrfach haben wir gehört: „Puh, dann bin ich ja nun endlich raus aus der Nummer“, wenn ab Inkrafttreten des Gesetzes nur einen Datenschutzbeauftragten bestellen muss, wer in der Regel mindestens 20 und eben nicht mehr „nur“ mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Aber ist dem wirklich so? Die Gefahr der Fehlinterpretation ist groß! Und waren Bußgelder bisher vielleicht noch die Ausnahme oder fielen eher gering aus, so ist mit einer Verschärfung durch solche Fehlinterpretationen zu rechnen. Ein erhebliches Warnsignal dürften die neuerlichen Bußgeld-Informationen und auch die angedrohte Rekordstrafe der Berliner Datenschutzbeauftragten. Zumal nach einem Jahr DSGVO die gewisse „Schonfrist“ definitiv vorbei ist und nun mehr Datenschutzverstöße schärfer geahndet und Bußgelder folgen werden. Um Sie davor zu schützen, wollen wir aufklären und Hinweise geben:

Stellen Sie sich vor, Sie wollen ein neue Produktionshalle oder ein Bürogebäude erbauen. Was würden Sie als Erstes tun? Einfach loslegen? Doch sicher nicht. Ein Plan muss her. Ein Projekt mit einem oder doch besser eher mehreren Verantwortlichen, die sich auskennen. Und zwar in allen möglichen Belangen, die da so betroffen sein können. Auch soll das bitte jemand gut koordinieren und den Überblick behalten. Schließlich tragen Sie die Verantwortung für die Gebäudesicherheit, die Einhaltung von Schutz- und Sicherheitsvorgaben beim Bau und nach der Inbetriebnahme, für die Produktion bzw. die darin arbeitenden Beschäftigten u.v.m. Und wie sollen Sie sich mit den vielen Gewerken, rechtlichen und finanziellen Aspekten noch neben Ihrem fordernden Tagesgeschäft in angemessener Weise befassen? Die sich verändernden Rahmenbedingungen und Anforderungen hinreichend und laufend berücksichtigen? Könnte schwierig werden… Da muss schließlich am Ende alles (zusammen) passen und das braucht Raum, Zeit und Expertise. Und zu viel kosten soll das auch nicht: ein neuer „Flughafen BER“ ist weiß Gott auch kein erstrebenswertes Ziel. Ohne Verantwortliche mit Fachexpertise und einem gut durchdachten „Projektplan“ könnte ein derartiges Vorhaben also mächtig schiefgehen.

Nun nochmal die Frage an Sie: Würden Sie vor diesem Hintergrund tatsächlich auf die fachliche Expertise, ein angemessenes Projekt mit Plan, verzichten wollen, wenn Ihnen ganz viele interne und zum Teil nicht mal bekannte, externe Regelungen und Gesetze sagen, was Sie nicht alles beachten müssen? Wofür Sie in welchem Umfang wie verantwortlich und vor allem auch haftbar sind? Doch eher weniger, oder?

Und so ähnlich ist die Neuregelung zur Bestellpflicht eines Datenschutzbeauftragten einzuordnen:

Der erste Eindruck täuscht. Nur weil es keine Pflicht zur Bestellung eines solchen gibt, weil sie vielleicht nur 19 Mitarbeiter beschäftigen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind, und auch sonst die Bestellpflicht nicht durch andere gesetzliche Erfordernisse ausgelöst sehen, bedeutet dies leider keine sonstigen „Erleichterungen“. Und vor allem auch nicht, dass es weniger Anforderungen gäbe und dass Sie die internen und externen Regelungen nicht mehr beachten müssten. Die Rechte und Pflichten aus den datenschutzrelevanten Regularien bleiben bestehen und die Verletzung führt auch weiterhin zu entsprechenden, potenziell nicht unerheblichen Folgen. Sie haben dann eben nur keine Pflicht zur Bestellung eines „Profis“, der Sie (proaktiv) unterstützt. Bei der Umsetzung anleitet. Auf mögliche Problemfelder hinweist. Ist das dann Ent- oder Belastung? Ist es mit oder ohne besser? Noch immer die großen Fragen?

Und es ist ja nicht immer der „große Anlass“, der den Datenschutz und potenzielle Bußgelder für die Unternehmen gleich welcher Art und Größe auf den Plan ruft. Denn auch im vermeintlich „Kleinen“ steckt hinreichend Potenzial. So sind beispielsweise

  • die Implementierung von Softwareanwendungen,
  • die Einrichtung moderner Arbeitsplätze,
  • ein neues Zutrittssystem,
  • die werbliche Ansprache von Kunden,
  • die Erschließung neuer Vertriebskanäle,
  • das Einschalten von Dienstleistern,
  • die Nutzung von GPS-Geräten,
  • der Einsatz von Trackingtools und SocialMedia auf Internetseiten

von Datenschutz- und Sicherheitsrelevanz durchdrungen. Daneben haben auch die Videoüberwachung oder die dienstliche und private Nutzung von mobilen Endgeräten besondere Fallstricke.

Fazit: Damit die alten und neuen Datenschutzanforderungen an Ihr Unternehmen nicht zum Albtraum avancieren, Sie des nachts (wieder) ruhig schlafen und sich auf Ihr Kerngeschäft konzentrieren können, empfehlen wir Ihnen, sich hinreichend mit dem Datenschutz, seinen Risiken und vor allem auch tollen Chancen zu befassen. Setzen Sie bewusst und im wohlverstandenen Eigeninteresse unabhängig von gesetzlichen Anforderungen an eine Bestellpflicht auf interne und externe Expertise.

Tags:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.