Der Countdown läuft 19.03.2018, 08:11 Uhr

Noch 2 Monate bis zur DSGVO: Das ist jetzt zu tun

Ende Mai tritt die neue EU-Datenschutz-Grundverordnung in Kraft. Was können Unternehmen, die sich darauf bislang nicht vorbereitet haben, jetzt noch tun?
(Quelle: shutterstock.com/Kb-photodesign; Ket4up)
Von Hajo Rauschhofer
Es hat an Hinweisen nicht gefehlt: Seit über einem Jahr thematisieren ­Anwälte, Verbände und nicht zuletzt Fachmedien die EU-Datenschutz-Grundverordnung (DSGVO). Vor über einem Jahr schrieb der Autor in diesem Heft (Ausgabe 1/17) "DSGVO: Die Zeit drängt" - ein Hinweis darauf, dass etwas mehr als ein Jahr für die Umsetzung der nach der EU-Datenschutz-Grundverordnung erforderlichen Prozesse und Dokumentationspflichten schon recht knapp bemessen ist.
Doch vielen Unternehmen scheint der Ernst der Lage nicht bewusst zu sein. ­Aktuell melden sich viele Klienten in der Kanzlei des Autors, die - offenbar mit großem Vertrauen in ihre Leistungsfähigkeit gesegnet - sich erst jetzt so richtig mit der Umsetzung der Datenschutz-Anforderungen befassen. In der Regel handelt es sich dabei um mittelständische Unternehmen. Viele Geschäftsführer und ­Vorstände beginnen zu erkennen, dass die ­DSGVO nicht nur ein zahnloser Bürokratie-Tiger ist, sondern sowohl Gesetzgeber als auch Behörden es ernst mit der Einhaltung des Datenschutzes meinen. Und die Manager sind alarmiert, denn bei Datenschutzverstößen können sie persönlich haftbar ­gemacht werden.
Eine datenschutzkonforme Umsetzung aller Themen und Prozesse im Unternehmen innerhalb von drei Monaten dürfte in der Regel kaum noch darstellbar sein. Doch was lässt sich bis zum 25. Mai noch bewältigen? Dieser Artikel soll dabei helfen, über einen Maßnahmenplan strukturiert und effektiv zu handeln, um wenigstens die größten datenschutzrechtlichen Fehler und damit die immer wieder zitierten Bußgelder zu vermeiden. Und die können schmerzliche Dimensionen erreichen. Es drohen bei mittelschweren Verstößen Bußgelder von bis zu zwei Prozent des jährlichen Konzernumsatzes oder bis zu zehn Millionen Euro. Bei schweren Verstößen können diese verdoppelt werden.

Die Verhängung von Bußgeldern

Wahrscheinlich werden Datenschutz­behörden bei der Verhängung von Bußgeldern nicht lange fackeln, da vom Inkrafttreten bis zur Umsetzung durchaus Zeit war, datenschutzkonforme Systeme zu etablieren. Das Kohärenzprinzip wird dazu führen, dass Datenschutzbehörden in Europa einheitlich Bußgelder verhängen werden, sodass nicht zuletzt auch hier mit verschiedenen "Leuchtturm"-Verfahren mit abschreckenden Bußgeldern zu rechnen sein wird.
Der Umfang der Maßnahmen, die umgesetzt werden müssen, hängt davon ab, in welchem Geschäftsbereich ein Unter­nehmen tätig ist, welche Art von Daten, insbesondere sensible Daten, verarbeitet werden und auch wie groß die Sichtbarkeit bestimmter Prozesse nach außen ist. Es spielt auch eine Rolle, ob ein Unternehmen beispielsweise als IT-Dienstleister für Kunden agiert.
Bezogen auf Webportale und Online Shops bedeutet dies: Sie verarbeiten personenbezogene Daten von Nutzern, daher sind sämtliche Anforderungen an Datenschutzerklärungen, Anforderungen bezüglich einer informierten Einwilligung bis hin zu Löschungskonzepten - und ­Informationen darüber - rechtzeitig ­umzusetzen.
Webshop-Betreiber, die sich nicht ­datenschutzkonform verhalten, müssen nicht nur mit Ärger von den Datenschutzbehörden und von etwaigen Mitbewerbern rechnen, die etwaige Verstöße ­anprangern und Abmahnungen schicken. Über die "klassischen" ­Bußgeldtatbestände hinaus sei auch auf das nunmehr kodifizierte Recht verwiesen, aus dem sich die Forderung nach materiellem oder immateriellem Schadensersatz gegen Verantwortliche oder auch deren Auftragsverarbeiter ergibt. Es besteht somit zu befürchten, dass es hier zu einer Vielzahl von Einzelverfahren gegen ein Unternehmen kommen kann, verhält dieses sich nicht datenschutzkonform.



Das könnte Sie auch interessieren