Neues Datenschutzrecht ab Mai 2018, Teil 1: Unsere Haltung zum Datenschutzrecht

Mit diesem Beitrag starten wir eine Reihe zum Thema, was Sie tun müssen, um Ihr kleineres IT-Unternehmen fit für die am 25. Mai in Kraft tretende EU-Datenschutzgrundverordnung (DSGVO) zu machen. Hier geht es zunächst allgemein um unsere Haltung zum Datenschutzrecht und unseren Beratungsansatz in diesem Bereich. (Das ist wichtig, um unsere weiteren Empfehlungen zu verstehen!)

Wir und das Datenschutzrecht

Wir beraten unsere Mandanten nicht nur im klassischen IT-Recht, sondern auch im Datenschutzrecht. Das sind Rechtsgebiete, die in der Theorie nicht unbedingt etwas miteinander zu tun haben (weil die Verarbeitung personenbezogener Daten, um die es im Datenschutzrecht geht, auch ohne IT-Einsatz möglich ist), in der Praxis aber kaum voneinander zu trennen sind. Denn heutzutage werden bekanntlich in nahezu allen Unternehmen personenbezogene Daten vor allem digital verarbeitet.

Im Gegensatz zu vielen anderen IT-Kanzleien und -Anwälten liegt im Datenschutzrecht nicht unser Beratungsschwerpunkt. Das liegt auch daran, dass wir „Überzeugungstäter“ sind, das Datenschutzrecht aber im Allgemeinen ziemlich skeptisch sehen. Warum ist das so?

Das Datenschutzrecht verfolgt den Zweck, das Recht des Einzelnen (also von Privatpersonen) auf informationelle Selbstbestimmung zu schützen. Das heißt kurz gesagt, dass jeder das Recht haben soll, die Kontrolle über seine persönlichen (das Gesetz sagt: personenbezogenen) Daten zu behalten und sich im Falle des Missbrauchs dieser Daten effektiv zur Wehr setzen soll. Dass das ein guter und schützenswerter Zweck ist, daran haben wir keinen Zweifel.

Welche Informationen darf ein Unternehmen wie nutzen?

Nun gibt es viele Aspekte, die aus dem an sich klaren Zweck des Datenschutzrechts ein bedeutendes und komplexes Rechtsgebiet gemacht haben. Der erste Aspekt ist die Frage, welche Daten als personenbezogen gelten und wie ein Unternehmen mit diesen Daten umgehen muss.

Die Antwort auf diese Frage ist ziemlich klar: So ziemlich alle Informationen, die auch nur entfernt mit einer natürlichen Person in Bezug gebracht werden können, sind personenbezogen. Und, was einen Laien am meisten überraschen mag: Alles, was ein Unternehmen mit diesen Informationen tut, ist zunächst mal illegal. Damit eine Verarbeitung rechtmäßig ist, muss ein Unternehmen einen Rechtfertigungsgrund haben und diesen im Zweifel dokumentieren und nachweisen können.

Das heißt letztlich: Ein kleines IT-Unternehmen, das mit wenig sensiblen Daten (dynamische IP-Adressen, E-Mail-Adressen) umsichtig umgeht, muss die gleichen Datenschutzgesetze einhalten wie die (vermeintlichen) „Datenkraken“ Amazon und Facebook. Und wenn er gar nichts tut, sondern mit den Daten einfach nur umsichtig umgeht, reicht das zur Einhaltung der Gesetze nicht aus. Schon das ist einem Laien im Datenschutzrecht nicht immer leicht verständlich zu machen.

Aufsichtsbehörden und Bürokratie

Was muss ein Unternehmen nun tun, um die Datenschutzgesetze einzuhalten? Hier kommt ein weiterer Aspekt des Datenschutzrechts ins Spiel, der nicht jedem bewusst ist. Denn das Datenschutzrecht spielt sich nicht nur im Privatrecht ab, also zwischen Unternehmen, sondern wird durch Aufsichtsbehörden kontrolliert. Wird eine Aufsichtsbehörde auf ein Unternehmen aufmerksam und stellt sie Verstöße fest, kann sie unter anderem Strafen in Form von Geldbußen verhängen – oder auch die Einstellung eines nicht datenschutzkonformen Geschäfts verlangen.

Um nun gegenüber einer Aufsichtsbehörde die Einhaltung von Datenschutzrecht nachzuweisen, geht es weniger um tatsächliche Datensicherheit, sondern vorrangig um die Dokumentation der Einhaltung gesetzlicher Anforderungen. Diese extrem strikten Vorgaben vollständig einzuhalten (durch vollständige Erfüllung von Anforderungen an die Datenschutzorganisation, Verfahrensverzeichnisse, Vorabkontrollen, Einwilligungserklärungen, Verpflichtungserklärungen auf das Datengeheimnis, Vereinbarungen zur Auftragsdatenverarbeitung (ADV), Datenschutzerklärungen etc. pp.), ist irgendetwas zwischen extrem aufwändig und unmöglich. Hinzu kommt, dass die einschlägigen Gesetze schlecht geschrieben und deshalb ziemlich schwer verständlich sind. Und dass die Aufsichtsbehörden in Zweifelsfragen dazu neigen, bei der Auslegung von Gesetzen die Interessen des Betroffenen (und nicht die der Unternehmen) höher zu gewichten. Zum Glück sind die Aufsichtsbehörden bisher personell äußerst schwach ausgestattet, sodass Verstöße in der Regel unentdeckt bleiben.

Aus BDSG wird jetzt DSGVO – was ändert sich?

Wir reden hier wohlgemerkt nicht von den Anforderungen der bald geltenden DSGVO, sondern von den aktuell geltenden deutschen Gesetzen zum Datenschutz, die seit vielen Jahren in Kraft sind. Es gibt wahrscheinlich keine anderen Gesetze, gegen die so häufig verstoßen wird, ohne dass dies jemals jemandem auffällt.

Was ändert sich nun durch die DSGVO? Wir fassen es so zusammen: Die grundlegenden Anforderungen unterscheiden sich dem Grunde nach nicht allzu stark von denen geltenden deutschen Rechts. Große Unterschiede gibt es letztlich vor allem insofern, als der zur Einhaltung aller Anforderungen nötige Aufwand weiter steigt. Die DSGVO ist im Vergleich zum BDSG ein noch schlimmeres bürokratisches Ungetüm. Unternehmen müssen jede Kleinigkeit im Bezug auf personenbezogene Daten dokumentieren (man nennt das „Accountability“). Tun sie dies nicht oder unzureichend, drohen irrwitzig hohe Strafen der Aufsichtsbehörden. Diese wiederum könnten den Behörden helfen, sich „fett zu fressen“ um endlich nicht mehr nur effizient, sondern auch effektiv agieren zu können.

So sollten Sie mit der DSGVO umgehen

Wie man liest, haben immer noch viele Unternehmen nichts von der DSGVO gehört. Unser Eindruck aus dem Markt ist, dass es ähnlich viele Unternehmen gibt, die deswegen in blanker Panik sind.

Wie sollten Sie nun als kleineres IT-Unternehmen mit der DSGVO umgehen?

Wir empfehlen Ihnen den Mittelweg: Zum einen sollten Sie die Anforderungen der DSGVO zumindest grob kennen. Dazu gibt es inzwischen jede Menge gute Einführungen und Hilfestellungen, zum einen von den Aufsichtsbehörden (wie dem Bayerischen LDA), zum anderen von Fachverbänden (wie der GDD), aber natürlich auch von Kollegen (wie dem hochgeschätzten Kollegen Stephan Hansen-Oest).

Zum anderen gilt: Die DSGVO verdient es nicht, dass Sie wegen ihr in Panik geraten! Denn wenn die Aufsichtsbehörden tatsächlich aktiver werden als bisher und die allseits proklamierten Horror-Bußgelder verhängen, dann wird dies zunächst eher die „Großen“ treffen – weil es bei denen mehr zu holen gibt.

Wir meinen also, Sie sollten ruhig bleiben und schauen, wie sich die Lage entwickelt. Und am besten mit relativ geringem Aufwand die „DSGVO-Basics“ umsetzen, um auf der sicheren Seite zu sein, falls sich doch mal eine Aufsichtsbehörde bei Ihnen meldet oder Ihnen ein Konkurrent eins auswischen möchte (was durchaus denkbar ist). Zu diesen „Basics“ zählen wir:

  • die Benennung eines Datenschutzbeauftragten (falls Sie einen brauchen),
  • die Erstellung eines Verarbeitungsverzeichnisses (bisher Verfahrensverzeichnis genannt),
  • die Vereinbarung von Verträgen zur Auftragsverarbeitung (bisher Auftragsdatenverarbeitung genannt),
  • die Aktualisierung Ihrer Datenschutzerklärung für Ihren Onlinedienst oder Ihre Website.

In weiteren Beiträgen dieser Reihe erklären wir Ihnen, was Sie für diese „Basics“ tun müssen und wie wir Ihnen dabei helfen können. Falls Sie solange nicht warten können, nehmen Sie hierzu gerne schon jetzt Kontakt mit uns auf.


Themen:

Ähnliche Artikel:

Kommentare:

Comments are closed.