Für Unternehmen ist Datenschutz ein Wettlauf mit dem Bären

25.07.2017 - Wir Juristen haben die unerträgliche Angewohnheit, uns dadurch wichtig zu machen, dass wir ständig vor kapitalen Risiken, unentdeckten Fallstricken und lauernden Abmahnfallen warnen. Wenn jeder Hinweis auf neue Widerrufsbelehrungen wie die Ankündigung des Weltuntergangs klingt, fehlt es an Eskalationsstufen und Glaubwürdigkeit, wenn wirklich einmal eine juristische Herausforderung nach Lösung verlangt. So ist es mit dem europäischen Datenschutzrecht, welches ab Mai 2018 von allen Unternehmen umgesetzt werden muss.

Bei den Stichworten „Datenschutz“ und „Mai 2018“ haben bisher viele Unternehmer bereits abgewunken und sich kurzfristigeren Themen gewidmet. Datenschutz kommt auf Wiedervorlage im nächsten April oder wenn der Bußgeldbescheid über 4 % des gesamten weltweit erwirtschafteten Jahresumsatzes des vorangegangenen Geschäftsjahres zugestellt wird. Bußgeldbescheid? Okay, jetzt sind wir wieder in das alte Panikmuster verfallen, dabei wollten wir wenigstens heute pragmatisch und unaufgeregt darüber informieren, was in Sachen Datenschutz erforderlich und hinreichend ist.

Datenschutz-Compliance ist wie das Weglaufen vor einem hungrigen Bären. Es ist fast unmöglich, so schnell zu laufen, dass man dem Bären oder der Datenschutzaufsicht sicher entkommt. Wer diesen Anspruch hat, hat sich vermutlich schon längst vorbereitet und alle Verfahrensverzeichnisse ausgefüllt. Die meisten anderen halten es nach der Devise: Wenn ich nicht schneller laufen kann als der Bär, sollte ich wenigstens ein bisschen schneller sein als meine Mitbewerber. Dann erwischt es wenigstens nicht mich, sondern einen anderen.

Diese Strategie ist plausibel. Wer in Sachen Datenschutz nur das Nötigste tun will, sollte wenigstens die leicht erkennbaren Mängel und zusätzlich die leicht zu behebenden Aufgaben umsetzen. Wer hingegen bis Mai im Zelt liegen bleibt, muss darauf vertrauen, dass er auch bei den Schlafmützen in guter Gesellschaft ist oder dass der Bär erst mit Verspätung das Rennen aufnimmt.

Genug vom Bären. Was ist denn jetzt wirklich zu tun?

Wer unter dem Stichwort „DS-GVO“ oder ausgeschrieben „Datenschutz-Grundverordnung“ nach übersichtlichen Handlungsanleitungen oder Checklisten sucht, bekommt Material, welches so umfangreich ist, als wollte man eine Boeing 737 zusammenschrauben, oder den Hinweis auf umfangreiche Beratungsprojekte. Das Dilemma besteht wieder darin, dass wir Juristen Rechtssicherheit nie in halben Portionen verkaufen, so wie auch ein Chirurg keinen halben Blinddarm entfernt.

Wer aber, aus welchen Gründen auch immer, nur ein bisschen Datenschutz betreiben will, was immerhin besser ist als gar nichts zu tun, könnte mit den folgenden Schritten anfangen:

1. Finden Sie heraus, ob Sie nach neuem Recht einen Datenschutzbeauftragten brauchen und benennen ihn gegenüber der Aufsichtsbehörde. Wenn Sie einen brauchen, kann er sich gleich um die Koordination der nächsten drei Punkte kümmern – ansonsten sind Sie weiter am Zug.

2. Verfahrensverzeichnisse oder neu im Wording der DS-GVO: Verzeichnis von Verarbeitungstätigkeiten: Dokumentieren Sie von jedem Datenverarbeitungsvorgang, der für einen Betriebsprüfer erkennbar ist, Ablauf, Zweck, betroffene Daten und getroffene technische und organisatorische Maßnahmen und schreiben bei Verarbeitungsvorgängen, die voraussichtlich für Betroffene mit einem hohen Risiko verbunden sind, in einer Datenschutz-Folgenabschätzung, warum der Vorgang gerechtfertigt ist. Hier werden Sie vermutlich externe Hilfe benötigen.

3. Aktualisieren Sie alle Datenschutzerklärungen auf Ihrer Webseite, Datenschutzklauseln in Ihren Verträgen und AGB und schließen Sie Auftragsdatenverarbeitungsverträge mit allen Dienstleistern, die personenbezogene Daten Ihrer Kunden oder Mitarbeiter anfassen oder denen es technisch möglich wäre, Zugriff auf personenbezogene Daten zu nehmen. Viele Dienstleister, wie etwa Hosting-Provider, Lohnbuchhalter oder sogar Google haben dafür schon aktualisierte Musterverträge.

4. Bringen Sie Ihre IT-Systeme auf einen aktuellen Stand. Datenpannen sind das sicherste Mittel, um die Aufmerksamkeit von Aufsichtsbehörden auf sich zu ziehen. Stellt sich bei einer Datenpanne heraus, dass der Umgang mit Daten rechtswidrig war, vergrößert das Ihre Probleme substantiell.

Panikmachen oder letzte Chance?

Bekanntlich wird nichts so heiß gegessen, wie es gekocht wird. Wir müssen uns also die Frage gefallen lassen: Ist die Lage wirklich ernst oder ist das nur eine Panikmache?

Der Blick in die Zukunft beschränkt sich auf Fakten. Wir wissen, dass die Verordnung kommt und dass die Aufsichtsbehörden ihr Personal aufstocken. Wir wissen heute, dass in allen Unternehmen mit Rechts- oder Complianceabteilungen Vorbereitungen laufen und Mittelständler Beratungstermine vereinbaren. Kleinunternehmen und Freiberufler, z. B. Ärzte, Onlineshops und Makler gehören häufig zur Gruppe der Schlafmützen, obwohl gerade dort die Verarbeitung von zum Teil sensiblen Daten offenkundig ist. Hier können die Aufsichtsbehörden mit fokussierten Betriebsprüfungen mit geringem Aufwand hohe Fallzahlen und Trefferquoten erzielen. Wer schon bei der Frage nach Verfahrensverzeichnissen passen muss, macht es der Behörde leicht.

Trotzdem ist die Chance sich durchzumogeln aus statistischer Sicht ziemlich gut, solange man nicht durch eine Anzeige, eine Datenpanne oder über die eigene Webseite auf Datenschutzverstöße aufmerksam macht.

SITEMAP

  • KONTAKT

    JunIT | Kanzlei für IT- und Wirtschaftsrecht

    Salvatorstr. 21, DE-97074 Würzburg

    +49 931.6639.232

    +49 931.52235

    info@kanzlei-jun.de

    Mo-Do: 08.00 - 18.00 | Fr: 08.00 - 16.30