Bis Mai herrschte aufgrund der DSGVO in vielen Unternehmen Panik: es wurden noch schnell Datenschutzerklärungen erstellt, Homepages vom Netz genommen, Informations-E-Mails verschickt oder Einwilligungen eingefordert. Vor allem der Strafenkatalog und die Angst vor Abmahnungen ließ die Verantwortlichen bei der DSGVO-Umsetzung handeln. Inzwischen ist etwas Ruhe eingekehrt, die befürchtete Abmahnwelle ist bislang ausgeblieben und die Datenschutzbehörden üben zunächst Zurückhaltung. Letzteres liegt mitunter auch daran, dass die personelle Ausstattung der Behörden noch ausbaufähig ist. So hat beispielsweise die Datenschutzbehörde eines Bundeslandes 44 Kontrolleure, dem gegenüber stehen über 300.000 Unternehmen.
Autor: Thomas W. Frick, 16.10.2018, Thema: DSGVO-Umsetzung
Kurznavigation in diesem Beitrag:
Seite 1 Beitrag / Diskussionsgrundlage
Seite 2 Am nächsten persönlichen Erfahrungsaustausch teilnehmen
Seite 3 Kostenloses PDF-Angebot zum Artikel
Seite 4 Expertenzugriff in unserem langjährigen Netzwerk
Eine Umfrage der Bitkom zeigt auf, dass viele Unternehmen seit Mai hinsichtlich der DSGVO-Umsetzung nicht mehr viel getan haben oder nicht vorangekommen sind. Nach wie vor geht knapp ein Viertel der Verantwortlichen davon aus, dass das Thema DSGVO in ihrem Unternehmen (vorerst) abgeschlossen ist. Der Großteil der befragten Unternehmen ist aktuell noch mit der Umsetzung beschäftigt. Nur ein kleiner Teil hat angeblich noch nicht oder erst jetzt begonnen sich mit der DSGVO auseinanderzusetzen.
Unternehmen sind mit der DSGVO-Umsetzung überfordert
Es kann nur darüber spekuliert werden, warum die Unternehmen nicht so richtig vorankommen. Sicherlich hat der Druck nach dem 25. Mai 2018 nachgelassen, was bestimmt auch auf die Zurückhaltung oder Überforderung der verschiedenen Landesbehörden für den Datenschutz zurückzuführen ist. Doch auch viele, vor allem kleine und mittlere Unternehmen, sind mit der DSGVO überfordert. Mitunter stellt sich das Thema komplexer dar als gedacht. Dies betrifft nicht nur die Dokumentationspflichten, sondern insbesondere auch die Betroffenenrechte. Um Auskünfte korrekt zur erteilen, ist es notwendig, zu wissen, in welchen Systemen personenbezogene Daten gespeichert sind. Häufig stellen sich die Systemlandschaften als sehr heterogen heraus. Die Daten natürlicher Personen sind nicht nur in ERP- oder Groupware-Systemen gespeichert, sondern befinden sich beispielsweise auch in Content-Management-Systemen, Newsletter-Tools, Shop-Systemen, Excel-Tabellen und Access-Datenbanken. Erschwerend kommt noch dazu, dass immer mehr mobile Endgeräte, mitunter auch private, geschäftlich eingesetzt werden.
Und nicht zuletzt ist es auch eine Herausforderung, die richtigen Schlüsse aus der DSGVO zu ziehen, d.h. beispielsweise zu entscheiden, welche Einwilligungen benötigt werden oder welche Änderungen an den technisch-organisatorischen Maßnahmen vorgenommen werden müssen. Auch fehlende Fachkräfte für den Datenschutz sind eine Ursache dafür, dass Unternehmen nicht richtig vorankommen. Ein Blick in die Stellenangebote zeigt dies.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
DSGVO-Umsetzung sollte nicht vernachlässigt werden
Empfohlen wird Unternehmen das Thema DSGVO nicht zu vernachlässigen, sondern diese relativ ruhige Phase zu nutzen, um jetzt die Umsetzung zu vervollständigen. Erst kürzlich wurde gerichtlich entschieden, dass Abmahnungen im Zusammenhang mit der DSGVO wegen wettbewerbsrechtlichen Gründen zulässig sind. Außerdem ist anzunehmen, dass die wohlwollende Haltung der Behörden nicht dauerhaft anhalten wird und sie zukünftig auch besser aufgestellt sein werden.
In jedem Fall gilt es zu vermeiden, dass die Behörden durch Datenschutzverstöße auf den Plan gebracht werden. Datenpannen werden am besten durch geschulte Mitarbeiter, die ein Bewusstsein für den Datenschutz entwickelt haben, vermieden. Vor allem die Kommunikation nach außen birgt Risiken: unverschlüsselte E-Mails mit sensiblen Daten, E-Mail-Nachrichten an falsche Empfänger oder zu große Auskunftsfreude am Telefon. Auch ein vernünftiger Umgang mit den IT-Systemen verringert das Risiko, personenbezogene Daten unrechtmäßig offenzulegen. Gerade Fahrlässigkeit ermöglicht es, dass Schadsoftware Computersysteme infiltriert. Nicht wenige Unternehmen haben ihre Erfahrungen mit Verschlüsselungstrojanern oder gehackten E-Mail-Konten gemacht. Auch die Vermeidung solcher Gefahren, nicht nur durch gute Sicherheitssysteme, sondern auch durch gut informierte Mitarbeiter, gehören zum Datenschutz.
Erste Gerichtsentscheidung bei einer DSGVO-Abmahnung
Im Mai war die Sorge einer großen Abmahnwelle groß und viele Unternehmen unternahmen viel für die DSGVO-Umsetzung. Die ist bislang zwar ausgeblieben, doch nun ist ein erster Fall vor Gericht gelandet. Das Landgericht Würzburg hat nun geklärt, ob Verstöße gegen die DSGVO nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) abgemahnt werden können. Bei dem Fall betrieb eine Rechtsanwältin eine Webseite mit Kontaktformular. Jedoch fehlte die vorgeschriebene Verschlüsselung. Darüber hinaus bestand die Datenschutzerklärung nur aus sieben Zeilen und war in das Impressum der Webseite eingebunden. Daraufhin hat ein Kollege die Rechtsanwältin aufgrund eines DSGVO-Verstoß wettbewerbsrechtlich abgemahnt.
Das Landgericht Würzburg entschied, dass die 7-zeilige Datenschutzerklärung auf der Webseite nicht den Anforderungen der DSGVO entspricht, da darin beispielsweise Angaben zur Erhebung und Speicherung personenbezogener Daten fehlten. Dieser Verstoß gegen die DSGVO kann nach Einschätzung der Richter wettbewerbsrechtlich abgemahnt werden. Eine detaillierte Begründung gaben die Richter des Landgerichts Würzburgs nicht. Sie stützen sich in ihrer Begründung allein auf zwei Urteile, welche noch vor dem Inkrafttreten der DSGVO gefällt wurden.
Genau vor diesem DSGVO-Verstoß hatten wir im Rahmen unserer regionalen Veranstaltung „Chancen und Risiken der neuen Medien“ in Kooperation mit der IHK- Darmstadt Rhein-Neckar am 23. Juli 2014 frühzeitig gewarnt. Dieses Beispiel zeigt auf, dass viele DSGVO-Anforderungen an dem zuvor verabschiedeten Bundesdatenschutzgesetz (BDSG) angelehnt sind und schon vor der DSGVO-Frist im Mai 2018 hätten umgesetzt werden müssen.
