Neue EU-Datenschutzverordnung – Ist Datenschutz endlich in der Gesellschaft angekommen?

Diesen Freitag tritt die neue EU-Datenschutzverordnung in Kraft. Erstmals wird es EU weit eine einheitliche Datenschutzregelung geben. | Bild: pixabay/ TheDigitalArtist
Diesen Freitag tritt die neue EU-Datenschutzverordnung in Kraft. Erstmals wird es EU weit eine einheitliche Datenschutzregelung geben. | Bild: pixabay/ TheDigitalArtist
Von Redaktion

Am 25.05.2018, also diesen Freitag ist es (endlich) so weit. Die Datenschutz-Grundverordnung regelt den Datenschutz in Europa einheitlich. Zeit um zu fragen, was sich ändert, wie es sich ändert und ob die Regelungen wirklich so neu sind, wie weithin zu hören ist.



Richard Bode ist Rechtsanwalt bei der Kanzlei Merz & Stöhr in Dresden. Mit seinem Themenschwerpunkt Datenschutzrecht und als externer betrieblicher Datenschutzbeauftragter ist er für Mandanten aus verschiedensten Wirtschaftszweigen seit 4 Jahren tätig. Daneben ist er Dozent für Kammern, Verbände und Bildungseinrichtungen und bildet auch Datenschutzbeauftragte aus.

Obwohl entsprechende Regelungen in nahezu allen Mitgliedsstaaten der EU schon teilweise seit 20 Jahren und mehr bestanden, hatten die meisten Verbraucher schlichtweg keine Ahnung von den doch schon damals sehr umfangreichen Rechten. | Bild: pixabay/ skylarvision

Obwohl entsprechende Regelungen in nahezu allen Mitgliedsstaaten der EU schon teilweise seit 20 Jahren und mehr bestanden, hatten die meisten Verbraucher schlichtweg keine Ahnung von den doch schon damals sehr umfangreichen Rechten. | Bild: pixabay/ skylarvision

Bis vor zwei Jahren fristete der Datenschutz europaweit ein Schattendasein. Obwohl entsprechende Regelungen in nahezu allen Mitgliedsstaaten der EU schon teilweise seit 20 Jahren und mehr bestanden, hatten die meisten Verbraucher schlichtweg keine Ahnung von den doch schon damals sehr umfangreichen Rechten. Wenn man sich daher die kritische Frage stellt, was sich ab dem 25.05.2018 tatsächlich ändern wird, lautet zumindest in Deutschland die Antwort: Gar nicht mal so viel.

Eine teilweise unüberwindbare Hürde für deutsche Unternehmen

Man sollte daher meinen, dass gerade deutsche Unternehmen, die es gewohnt sind sich mit einer schieren Unzahl an gesetzlichen Regelungen abzufinden, nicht geradezu in einen Schockzustand verfallen würden.

Doch leider ist das Gegenteil der Fall, und zwar mit gutem Grund. Denn leider war die über viele Jahre bestehende Rechtslage nicht nur für die Verbraucher weitestgehend unbekannt. Auch die meisten deutschen Unternehmen wurden in den vergangenen Jahren nicht über die einzuhaltenden Regelungen aufgeklärt oder entschieden sich bewusst dagegen, sich mit dem Thema auseinanderzusetzen.

Die Folgen sind gravierend. Man stelle sich nur vor, welchen Aufwand es verursacht, alle datenschutzrelevanten Prozesse in einem Unternehmen über die letzten 20 Jahre hinweg aufzuarbeiten und die bisher als Segen wahrgenommene digitale Kommunikation kritisch zu hinterfragen, im schlimmsten Fall sogar mit der Konsequenz, dass umfangreiche Kundendatenbestände vernichtet werden müssen oder ganzen Geschäftsbereichen die Arbeitsgrundlage entzogen wird.

Aus dem Auskunftsrecht wird die Informationspflicht

Nun könnte man noch meinen, dass die meisten relevanten Vorgänge ja ohnehin unternehmensintern ablaufen und die Verbraucher daher überhaupt nicht wissen können, ob mit Ihren Daten korrekt umgegangen wird.

Doch auch diese Hoffnung erschüttert die Datenschutz-Grundverordnung. So war es bisher nur notwendig, dem Verbraucher eine Auskunft über die vorgenommenen Datenverarbeitungen zu erteilen, wenn dieser explizit hiernach gefragt hat.

Diese Verpflichtung besteht auch weiterhin fort. Sie wird aber ab dem 25.05.2018 durch umfangreiche Informationspflichten erweitert. Diese Pflichten zwingen alle betroffenen Unternehmen dazu, dem Verbraucher bereits bei Abgabe seiner Daten über die hiermit verbundenen Datenverarbeitungen zu informieren und ihn über seine Rechte aufzuklären.

Der steinerne Weg zu Vereinheitlichung

Doch es gibt nicht nur negative Nachrichten. Denn immerhin handelt es sich bei der Datenschutz- Grundverordnung um europäisches Recht zur Vereinheitlichung des Datenschutzniveaus in der gesamten Union. Agiert ein Unternehmen grenzüberschreitend, was gerade im Bereich des e- Commerce oftmals der Fall ist, müssen in Zukunft nicht mehr eine Vielzahl von verschiedenen Datenschutzgesetzen beachtet werden. Die EU-weite Vereinheitlichung schafft hier Rechtssicherheit und verringert die Notwendigkeit, die eigenen Waren- und Dienstleistungsangebote auf die einzelnen Länder anzupassen.

Um aber bei der Wahrheit zubleiben muss noch angesprochen werden, dass für einige Regelungsbereiche, in etwa die Pflicht zur Bestellung eines Datenschutzbeauftragten, die Anforderungen an den Beschäftigtendatenschutz oder an den Umfang der zu erteilenden Datenschutzinformation, die Mitgliedsstaaten in engen Grenzen abweichende Regelungen erlassen können.

Bild: Bitkom

Bild: Bitkom

Was sollte jetzt noch getan werden?

Viel Zeit verbleibt nicht mehr. Und wenn man den repräsentativen Umfragen Glauben schenken darf, sind auch heute noch weit mehr als 50 % aller deutschen Unternehmen nicht auf die DS-GVO vollständig vorbereitet.

Die hierfür notwendige Zeit reicht auch mittlerweile nicht mehr aus, um bis zum Stichtag noch weitreichende Maßnahmen zu ergreifen. Daher erscheint es am sinnvollsten, sich den Themen zu widmen, die verhindern, dass man von Aufsichtsbehörden und Abmahnern in Anspruch genommen werden kann.

Jedes Unternehmen sollte daher zunächst prüfen, ob die eigene Website über eine ausreichende Datenschutzerklärung verfügt, wobei die bisher verwendeten Erklärungen definitiv nicht mehr verwendet werden können, da diese keinesfalls den neuen Anforderungen aus Art. 13 DS-GVO genügen werden. Weiterhin ist immer dann, wenn ein Kontaktformular verwendet wird zwingend eine Verschlüsselung der Website vorzunehmen.

Ist das erledigt, sollte man sich dem Thema Auftragsverarbeitung widmen, und die zwingend notwendigen Verträge abschließen.

Ist auch dies erledigt, beginnt die Umsetzung eines internen Datenschutz-Management-Systems.

Die Kommentarfunktion wurde geschlossen.