Datenschutz­grundverordnung: Revolution im Datenschutz

Viele Unternehmen hatten das Thema vielleicht noch gar nicht so auf dem Zettel, wie sie es vielleicht sollten. Muss ich als Mittelständler jetzt in Panik zu verfallen?

HEIDRICH: Panik ist ja selten ein guter Ratgeber. Allerdings sollte ich schleunigst anfangen, die Umsetzung der zahlreichen Vorgaben der DSGVO zumindest einzuleiten und dann mit Volldampf daran zu arbeiten. Dies gilt insbesondere für alle nach außen leicht ersichtlichen Aufgaben. So muss die Datenschutzerklärung für die Website überarbeitet werden. Gleiches gilt beispielsweise auch für Kontaktformulare oder Newsletter-Anmeldungen. Denn neben dem Ärger mit den Behörden, also der Datenschutzaufsicht der Bundesländer, drohen gerade für solche leicht wahrnehmbaren Fehler teure Abmahnungen durch Mitbewerber oder Wettbewerbsverbände.

Welchen Schritt gehe ich als erstes, um die DSGVO umzusetzen? Gibt es eine Art „Masterplan“? Was empfehlen Sie?

HEIDRICH: Es gibt einige Papiere von den Aufsichtsbehörden, die hier hilfreich sein können und die einen Weg durch das Gesetzesdickicht weisen. Ich empfehle dringend, zuerst die Website auf Stand zu bringen. Dann sollte die im Unternehmen vorhandenen Daten analysiert werden, um dort die sensibelsten Prozesse zu identifizieren und die Vorgaben der DSGVO umzusetzen. Insgesamt ist das leider eine ganze Menge Arbeit und sicher nicht über Nacht erledigt.

Was bedeutet die neue „Zweckbindung“ in der DSGVO?

HEIDRICH: Zweckbindung ist eine Grundlage des Datenschutzes, die allerdings auch schon das alte Recht kannte. Danach muss ich mir vor Erhebung von persönlichen Daten darüber Gedanken machen, zu welchem Zweck dies erfolgen soll. An diesen Zweck ist dann die Nutzung der Informationen gebunden. Wenn ich zum Beispiel Daten zu Zwecken der IT-Sicherheit erhebe, darf ich sie dann nicht zum Marketing verwenden. Dieser Grundsatz war bei der Entstehung der DSGVO sehr umstritten, da er sich kaum damit verbinden lässt, Daten zu beliebigen und vielschichtigen Zwecken im Rahmen von Big-Data-Prozessen zu nutzen.

Nach der neuen DSGVO muss jeder Prozess, in dem personenbezogene Daten erfasst, verarbeitet oder gespeichert werden, in ein Verzeichnis eingetragen werden. Das gilt nicht für Unternehmen mit weniger als 250 Mitarbeitern – oder?

HEIDRICH: Auch diese Pflicht gab es bereits vor der DSGVO, allerdings wurde sie erheblich erweitert. Die so entstehenden Verzeichnisse liegen schon bei einem kleinen Mittelständler locker im Bereich eines Wälzers von Buddenbrooks-Format. Leider gibt es hierbei auch kaum Nachsicht für kleine Unternehmen. Der Artikel 30 DSGVO enthält zwar vermeintlich eine solche Ausnahme, diese ist jedoch mit einem sehr praxisrelevanten „es sei denn“ ausgestattet. Danach gilt diese Ausnahme beispielsweise schon dann nicht, wenn die Verarbeitung von Daten „nicht nur gelegentlich erfolgt“. Es dürfte aber kein einziges Unternehmen geben, das nur mal gelegentlich mit personenbezogenen Daten hantiert – sei es schon mit den Daten der Mitarbeiter im Rahmen der Abrechnung. Eine der großen Schwächen des neuen Rechts liegt nach meiner Ansicht darin, dass es kaum Ausnahmen für KMU gibt. Für den Friseur um die Ecke gelten in vielen Punkten die gleichen Anforderungen wie für einen globalen Konzern.