WISSENSWERTES | 21.06.2019

Erstes DSGVO-Jubiläum – ein Zwischenfazit für Unternehmen

Sorry, this entry is only available in German.

 
Am 25. Mai 2019 jährte sich das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) das erste Mal. Die Unternehmerschaft hat in den letzten 12 Monaten viel Geld in die Hand genommen, um sich gesetzes- und verordnungskonform aufzustellen und vor allem mögliche Bußgeldrisiken von (hypothetisch) EUR 20.000.000 oder 4 % des globalen Jahresumsatzes zu vermeiden.
 
Die Grundidee – den Betroffenen ein Werkzeug an die Hand zu geben, um Herr(in) ihrer Daten zu werden und vor allem zu bleiben – ist dabei durchaus begrüßenswert, auch wenn sich der ein oder andere nicht zu Unrecht die Frage stellt, ob man nicht möglicherweise über das Ziel hinausgeschossen ist – etwa wenn auch das Ausstatten von Klingelschildern mit Namen als ein datenschutzgrundverordnungsrelevanter Vorgang bewertet wird. Dass die DSGVO dabei zuweilen auch zu Unrecht in die Diskussion einbezogen wird – geschenkt.
 
Die tatsächlichen Risiken für Unternehmen bleiben allerdings beträchtlich. Kommt man beispielsweise Auskunfts- oder Löschungsansprüchen von Betroffenen nicht oder nicht fristgerecht nach, kann ein Einschreiten der Aufsichtsbehörde die Folge sein. Der Europäische Datenschutzausschuss hat bekannt gegeben, dass es im ersten „DSGVO-Jahr“ über 200.000 solcher behördlichen Verfahren gegeben hat, wobei knapp 100.000 auf Meldungen von Betroffenen zurückgehen. Auch wenn sich die Zahl der insgesamt verhängten Bußgelder mit EUR 55.955.871,00 für ganz Europa als „überschaubar“ darstellen mag, setzt sich doch mehr und mehr die Erkenntnis durch, dass die DSGVO und vor allem ihre Durchsetzung inzwischen in der Praxis angekommen ist.
 

Erhebliche Belastungen für den Mittelstand

Die DSGVO gilt gleichermaßen für Unternehmen jeglicher Größe, was vor allem im Mittelstand hinsichtlich der konkreten Umsetzung für erheblichen Zeit- und Kostenaufwand gesorgt hat. Eines hat sich im ersten Jahr der DSGVO aber ebenfalls bereits gezeigt: Nicht nur die Aufsichtsbehörden würdigen es, wenn Unternehmen ihre Umsetzungsverfahren zur DSGVO voranbringen, sondern auch Kunden erkennen und fordern Datenschutzkonformität mehr und mehr ein und vergleichen hier zwischen Mitbewerbern, was sich mittel- und langfristig zu einem Wettbewerbsvorteil entwickeln kann.
 
Es hat sich gezeigt, dass die Unternehmerschaft – naturgemäß – unterschiedlich weit ist, was den Umsetzungsfortschritt zur DSGVO betrifft. Daher nachfolgend kurz ein paar Hinweise zum Grundgerüst einer Datenschutz-Compliance im Zeitalter der Datenschutzgrundverordnung:
 
– regelmäßig Benennung eines Datenschutzbeauftragten,
– kontinuierliche Schulung sämtlicher Mitarbeiter (bereichsspezifisch),
– Aufbau von Prozessen zur Kommunikation mit Betroffenen,
– Erstellung von Verarbeitungsverzeichnissen und
– Prüfung bestehender und zukünftiger Verträge auf eine mögliche Relevanz im Rahmen der Auftragsverarbeitung
 
Erst in der Detailprüfung kann sich dann zeigen, ob und wenn ja welche weiteren konkreten Maßnahmen die Unternehmen zu ergreifen haben. Dabei spielt inzwischen vor allem die Datensicherheit eine große Rolle. Kommt es hier zu vermeidbaren Verstößen, kann dies erhebliche Folgen haben – nicht nur, was mögliche Bußgelder angeht, sondern auch und vor allem hinsichtlich des Reputationsverlustes.
 
Datenschutz-Compliance ist ein Thema, das sich nicht – wie manch einer noch hoffen mag – in den nächsten Jahren erledigen wird, sondern das sich mehr und mehr den Weg in die tägliche Praxis bahnen wird. Unternehmen, die sich dabei zukunftsorientiert aufstellen, haben gute Chancen auf erhebliche Wettbewerbsvorteile.