5 Mythen über die EU-Datenschutz-Grundverordnung

Christoph Dyllick-Brenzinger, Ulrike Schmidt, Mirjam Hannah Steinfeld |
Um die DSGVO ranken sich unzählige Mythen. Das und gefährliches Halbwissen behindern eine ernsthafte Auseinandersetzung mit dem Thema. Im folgenden Artikel möchten wir auf die fünf größten Mythen eingehen, die wir immer wieder zu hören bekommen.

Mythos Nr. 1: Ich bin nicht betroffen, denn ich habe ja kein großes Unternehmen

Die EU-Datenschutz-Grundverordnung (im Folgenden DSGVO ) unterscheidet bis auf wenige Ausnahmen nicht nach der Unternehmensgröße, sondern es gelten alle Regeln unmittelbar für Unternehmen jeglicher Größe. Gerade kleinere Unternehmen, die weniger als zehn Angestellte haben, oder Einzelunternehmer glauben häufig, dass das Thema Datenschutz-Grundverordnung sie gar nicht betrifft.

Als weiteres Argument wird häufig angeführt, dass man gar keine personenbezogenen Daten verarbeitet, wobei es heutzutage schwer vorstellbar ist, dass es überhaupt noch eine Tätigkeit geben könnte, bei der keine solche Daten anfallen. Spätestens wenn der Handwerker eine Kundenrechnung schreibt und dies nicht mehr auf einer guten alten Schreibmaschine mit Durchschlagspapier vornimmt, verarbeitet und speichert er oder speichern eben Sie personenbezogene Daten.

So können grundsätzlich alle Unternehmen und Unternehmer von der DSGVO betroffen sein insofern, dass künftig jeder Kunde oder Geschäftspartner seine (Datenschutz-) Rechte geltend machen und auf sein Recht auf Auskunft pochen kann, um zu erfahren, welche Daten von ihm gespeichert sind. In dieser Situation müssen alle Unternehmen innerhalb von vier Wochen reagieren.

Machen Sie sich also von dem Gedanken frei, dass Sie nicht betroffen sind. Praktisch jedes Unternehmen ist betroffen.

Informieren Sie sich deshalb lieber umfassend und schauen Sie sich konkret an: Wo liegen meine Daten im Unternehmen? Wie habe ich diese gespeichert? Wie sicher sind diese, und welche Daten erfasse ich überhaupt und warum?

Mythos Nr. 2: Der Mai 2018 ist noch nicht relevant, weil dann erst die einzelnen Landesgesetze verhandelt werden

In der Vergangenheit wurden in der Tat in Brüssel häufig Empfehlungen bzw. Richtlinien verabschiedet, die erst in Landesgesetze umgesetzt werden mussten. Bei der Datenschutz-Grundverordnung ist dies jedoch anders. Diese ist eine Verordnung und gilt somit direkt und unmittelbar.

Es ist richtig, dass dies normalerweise auf europäischer Ebene eher die Ausnahme ist, aber hier wollte der europäische Gesetzgeber eine tatsächliche Einheitlichkeit zwischen den Staaten schaffen. Daher sollte man sich sofort damit auseinandersetzen:

Der 25.Mai 2018 ist nämlich nicht das Datum des Inkrafttretens der DSGVO, sondern es ist das Ende der Schonfrist! Ab diesem Zeitpunkt wird keine “Gnade mehr gewährt“. Auch dieser Mythos ist somit falsch.

Es gilt daher: Handeln Sie noch heute und informieren Sie sich jetzt. Sonst stehen Sie im Juni 2018 vor den ersten Anfragen von Betroffenen und wissen überhaupt nicht, wie damit umzugehen ist. Wer dann erst anfängt, seinen Betrieb mit dem neuen Datenschutzrecht in Einklang zu bringen, wird in echte Schwierigkeiten kommen.

Mythos Nr. 3: Es ändert sich nichts, weil der deutsche Datenschutz sowieso schon streng ist

Es stimmt, dass Deutschland im Bereich Datenschutz eher zu den Vorreitern gehört und teilweise hohe Anforderungen an Unternehmen und Unternehmer hat. Die Datenschutz-Grundverordnung hat jedoch ein anderes Ziel: nämlich nicht nur in allen EU-Ländern den Datenschutz zu verbessern, sondern vor allem ihn zu vereinheitlichen.

Somit werden teilweise Regelungen, die vorher sehr streng waren, nun gar nicht mehr so streng sein. Andererseits sind aber neue Regelungen hinzugekommen, die teilweise strenger bzw. ganz neu sind. Im Folgenden zwei Beispiele:

1. Die Rechte der Betroffenen: Wie schon in Mythos 1 erwähnt, muss die Anfrage eines Betroffenen, etwa zur Auskunft darüber, welche Daten von ihm genau bei dem Unternehmen hinterlegt wurden, binnen vier Wochen beantwortet werden. Wird diese Frist nicht eingehalten, könnte es beispielsweise zu einer Anzeige beim Landesdatenschutzbeauftragten kommen. Hier wurden die Fristen früher deutlich weniger restriktiv gehandhabt als es ab dem 25.05.2018 der Fall sein wird.

2. Die Portabilität der Daten: Die Datenschutz-Grundverordnung regelt, dass Sie jederzeit alle Daten, die zu einer Person gehören (personenbezogene Daten), sofort, d.h. binnen vier Wochen, auch zu einem Konkurrenten übertragen müssen. Konkret müssen Sie diese Daten in einer auslesbaren Form, etwa einer Excel-Tabelle, zur Verfügung stellen, so dass Ihr Kunde bzw. die Person, von der Sie die Daten gespeichert haben, die Daten erhalten und diese weitergeben kann. Natürlich kann dies auch für Sie zum Vorteil sein, wenn Sie derjenige sind, der die Daten übertragen bekommt.

Jedenfalls ist davon auszugehen, dass hier künftig mehr Anfragen erfolgen werden als dies in der Vergangenheit der Fall war. Die meisten Ihrer Bestandssysteme werden irgendeine Art von Datenexport bieten. Das Problem ist jedoch häufig, dass die relevanten Daten über mehrere Systeme verteilt sind. Ein Arzt muss so beispielsweise den Personenstammsatz, die Behandlungsprotokolle, gegebenenfalls Kopien der Röntgenaufnahmen und sämtliche Rechnungen zur Verfügung stellen. Zu wissen, in welchem System überhaupt die Daten liegen, ist der erste Schritt.

Einen halbwegs vernünftigen Prozess zu haben, um diese Daten bereitzustellen, wird die zwingende Hausaufgabe für das erste Halbjahr 2018 sein. Wenn Sie dann erst anfangen, die Datenstrukturen zu sichten und Exportmöglichkeiten zu schaffen, werden Sie die Fristen kaum halten können oder Sie binden erhebliche Arbeitskapazitäten, die Sie wahrscheinlich für Wichtigeres brauchen.

Es ist somit falsch, dass sich in Deutschland nichts ändern wird. Der Datenschutz in Deutschland war schon immer sehr wichtig und wird es in Zukunft auch bleiben. Trotzdem gibt es durchaus Regelungen, die durch die DSGVO hinzugekommen sind und die Sie unmittelbar betreffen.

Mythos Nr. 4: Irgendjemand wird mich schon informieren, was ich zu tun habe

Fragen Sie sich mal ehrlich: Wer soll Sie denn informieren? Wen sehen Sie denn hier in der Pflicht?

Die Gesetze wurden schon verabschiedet und nun gilt es, diese anzuwenden. Der Landesdatenschutzbeauftragte wird daher ab Ende Mai 2018 die Einhaltung überprüfen und wird bestimmt nicht für Sie noch schnell vorher eine Infoveranstaltung anbieten. Sie sind kein Verbraucher, den man über die neuesten AGB informieren muss, sondern Sie sind Teilnehmer am Wirtschaftsverkehr und haben daher die Pflicht, sich selber zu informieren und das Gesetz einzuhalten. Es gilt der alte Spruch: “Unwissenheit schützt vor Strafe nicht.” Sicherlich, es werden viele Veranstaltungen angeboten, aber letzten Endes die Verpflichtung, diese wahrzunehmen oder sich anderweitig zu informieren, liegt allein bei Ihnen.

Allerdings, allein am Informieren wird es nicht liegen. Sie müssen hier natürlich auch in die Umsetzung gehen und anfangen, im Betrieb genau zu schauen, welche Abläufe Sie eventuell verbessern und welche Sie vielleicht verändern müssen. Fangen Sie bitte sofort an, zu dokumentieren und Ihre Abläufe in einem Verfahrensverzeichnis festzuhalten.

Auch dieser Mythos ist somit falsch. Es wird Sie keiner informieren, wenn Sie sich nicht selber informieren.

Mythos Nr. 5: Wo kein Kläger, da kein Richter

Dieser Mythos beschreibt das Spiel mit dem Feuer. Gerade die Betroffenen, deren Daten Sie gespeichert haben oder auch Ihre Konkurrenz werden ein großes Interesse haben, einmal bei Ihnen anzuklopfen bzw. anklopfen zu lassen.

Weiterhin ist es leicht, ins Visier genommen zu werden. Eine kurze E-Mail an Ihren Landesdatenschutzbeauftragten oder an die Verbraucherschutzverbände genügt, und diese müssen tätig werden. Den Verbraucherschutzverbänden ist es ausdrücklich erlaubt, den Betroffenen zu helfen und stellvertretend deren Rechte geltend zu machen.

Es ist demnach nichts einfacher, als Betroffener bei beispielsweise

- Versäumnis einer Frist bezüglich der Beantwortung einer Anfrage,

- Ignoranz der kompletten Anfrage,

- Nichtmitteilung der Daten oder

- Herausgabe der Daten

sich an einen Verbraucherschutzverband zu wenden, damit dieser für einen den „Kampf“ mit dem Unternehmen führt.

Unterschätzen Sie auch nicht das Risiko durch andere EU-Behörden. Teilweise finanzieren sich diese durch Bußgelder, die sie dringend benötigen, um Mitarbeiter bzw. die gesamte Behörde zu bezahlen. Demnach ist das Interesse, jemanden zu finden oder einem Hinweis nachzugehen, wahrscheinlich noch höher.

Sollten Sie im europäischen Ausland tätig sein, könnten Sie auch durch eine andere Behörde angeschrieben werden.

Auch dieser Mythos ist somit falsch. Beten und wegducken ist keine wirkliche Option. Der einzige wirkungsvolle Weg sich gegen Strafen zu schützen, ist sich vorzubereiten.

Ignorieren Sie die DSGVO nicht

Alle fünf Mythen haben zwar das Potenzial, Sie Zeit, Geld und Nerven zu kosten. Aber mit überschaubarem Aufwand können Sie sich diesen Ärger ersparen. Holen Sie sich im Zweifelsfall Hilfe und bereiten Sie sich auf die neue Gesetzgebung vor. Analysieren Sie genau, welche personenbezogenen Daten Sie erfassen. Überlegen Sie, wie Sie diese Daten schnell und unkompliziert zur Verfügung stellen können und legen Sie ein Verfahrensverzeichnis an. Dann werden Sie im Mai 2018 ruhig schlafen können.