Bis Mai herrschte aufgrund der DSGVO in vielen Unternehmen Panik: es wurden noch schnell Datenschutzerklärungen erstellt, Homepages vom Netz genommen, Informations-E-Mails verschickt oder Einwilligungen eingefordert. Vor allem der Strafenkatalog und die Angst vor Abmahnungen ließ die Verantwortlichen bei der DSGVO-Umsetzung handeln. Inzwischen ist etwas Ruhe eingekehrt, die befürchtete Abmahnwelle ist bislang ausgeblieben und die Datenschutzbehörden üben zunächst Zurückhaltung. Letzteres liegt mitunter auch daran, dass die personelle Ausstattung der Behörden noch ausbaufähig ist. So hat beispielsweise die Datenschutzbehörde eines Bundeslandes 44 Kontrolleure, dem gegenüber stehen über 300.000 Unternehmen.
Autor: Thomas W. Frick, 16.10.2018, Thema: DSGVO-Umsetzung
Eine Umfrage der Bitkom zeigt auf, dass viele Unternehmen seit Mai hinsichtlich der DSGVO-Umsetzung nicht mehr viel getan haben oder nicht vorangekommen sind. Nach wie vor geht knapp ein Viertel der Verantwortlichen davon aus, dass das Thema DSGVO in ihrem Unternehmen (vorerst) abgeschlossen ist. Der Großteil der befragten Unternehmen ist aktuell noch mit der Umsetzung beschäftigt. Nur ein kleiner Teil hat angeblich noch nicht oder erst jetzt begonnen sich mit der DSGVO auseinanderzusetzen.
Unternehmen sind mit der DSGVO-Umsetzung überfordert
Es kann nur darüber spekuliert werden, warum die Unternehmen nicht so richtig vorankommen. Sicherlich hat der Druck nach dem 25. Mai 2018 nachgelassen, was bestimmt auch auf die Zurückhaltung oder Überforderung der verschiedenen Landesbehörden für den Datenschutz zurückzuführen ist. Doch auch viele, vor allem kleine und mittlere Unternehmen, sind mit der DSGVO überfordert. Mitunter stellt sich das Thema komplexer dar als gedacht. Dies betrifft nicht nur die Dokumentationspflichten, sondern insbesondere auch die Betroffenenrechte. Um Auskünfte korrekt zur erteilen, ist es notwendig, zu wissen, in welchen Systemen personenbezogene Daten gespeichert sind. Häufig stellen sich die Systemlandschaften als sehr heterogen heraus. Die Daten natürlicher Personen sind nicht nur in ERP- oder Groupware-Systemen gespeichert, sondern befinden sich beispielsweise auch in Content-Management-Systemen, Newsletter-Tools, Shop-Systemen, Excel-Tabellen und Access-Datenbanken. Erschwerend kommt noch dazu, dass immer mehr mobile Endgeräte, mitunter auch private, geschäftlich eingesetzt werden.
Und nicht zuletzt ist es auch eine Herausforderung, die richtigen Schlüsse aus der DSGVO zu ziehen, d.h. beispielsweise zu entscheiden, welche Einwilligungen benötigt werden oder welche Änderungen an den technisch-organisatorischen Maßnahmen vorgenommen werden müssen. Auch fehlende Fachkräfte für den Datenschutz sind eine Ursache dafür, dass Unternehmen nicht richtig vorankommen. Ein Blick in die Stellenangebote zeigt dies.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
DSGVO-Umsetzung sollte nicht vernachlässigt werden
Empfohlen wird Unternehmen das Thema DSGVO nicht zu vernachlässigen, sondern diese relativ ruhige Phase zu nutzen, um jetzt die Umsetzung zu vervollständigen. Erst kürzlich wurde gerichtlich entschieden, dass Abmahnungen im Zusammenhang mit der DSGVO wegen wettbewerbsrechtlichen Gründen zulässig sind. Außerdem ist anzunehmen, dass die wohlwollende Haltung der Behörden nicht dauerhaft anhalten wird und sie zukünftig auch besser aufgestellt sein werden.
In jedem Fall gilt es zu vermeiden, dass die Behörden durch Datenschutzverstöße auf den Plan gebracht werden. Datenpannen werden am besten durch geschulte Mitarbeiter, die ein Bewusstsein für den Datenschutz entwickelt haben, vermieden. Vor allem die Kommunikation nach außen birgt Risiken: unverschlüsselte E-Mails mit sensiblen Daten, E-Mail-Nachrichten an falsche Empfänger oder zu große Auskunftsfreude am Telefon. Auch ein vernünftiger Umgang mit den IT-Systemen verringert das Risiko, personenbezogene Daten unrechtmäßig offenzulegen. Gerade Fahrlässigkeit ermöglicht es, dass Schadsoftware Computersysteme infiltriert. Nicht wenige Unternehmen haben ihre Erfahrungen mit Verschlüsselungstrojanern oder gehackten E-Mail-Konten gemacht. Auch die Vermeidung solcher Gefahren, nicht nur durch gute Sicherheitssysteme, sondern auch durch gut informierte Mitarbeiter, gehören zum Datenschutz.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken
Erste Gerichtsentscheidung bei einer DSGVO-Abmahnung
Im Mai war die Sorge einer großen Abmahnwelle groß und viele Unternehmen unternahmen viel für die DSGVO-Umsetzung. Die ist bislang zwar ausgeblieben, doch nun ist ein erster Fall vor Gericht gelandet. Das Landgericht Würzburg hat nun geklärt, ob Verstöße gegen die DSGVO nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) abgemahnt werden können. Bei dem Fall betrieb eine Rechtsanwältin eine Webseite mit Kontaktformular. Jedoch fehlte die vorgeschriebene Verschlüsselung. Darüber hinaus bestand die Datenschutzerklärung nur aus sieben Zeilen und war in das Impressum der Webseite eingebunden. Daraufhin hat ein Kollege die Rechtsanwältin aufgrund eines DSGVO-Verstoß wettbewerbsrechtlich abgemahnt.
Das Landgericht Würzburg entschied, dass die 7-zeilige Datenschutzerklärung auf der Webseite nicht den Anforderungen der DSGVO entspricht, da darin beispielsweise Angaben zur Erhebung und Speicherung personenbezogener Daten fehlten. Dieser Verstoß gegen die DSGVO kann nach Einschätzung der Richter wettbewerbsrechtlich abgemahnt werden. Eine detaillierte Begründung gaben die Richter des Landgerichts Würzburgs nicht. Sie stützen sich in ihrer Begründung allein auf zwei Urteile, welche noch vor dem Inkrafttreten der DSGVO gefällt wurden.
Genau vor diesem DSGVO-Verstoß hatten wir im Rahmen unserer regionalen Veranstaltung „Chancen und Risiken der neuen Medien“ in Kooperation mit der IHK- Darmstadt Rhein-Neckar am 23. Juli 2014 frühzeitig gewarnt. Dieses Beispiel zeigt auf, dass viele DSGVO-Anforderungen an dem zuvor verabschiedeten Bundesdatenschutzgesetz (BDSG) angelehnt sind und schon vor der DSGVO-Frist im Mai 2018 hätten umgesetzt werden müssen.
Als interaktives Portal bieten wir umfangreiche Funktionen an, welche funktionale Cookies benötigen. Darüber hinaus sind wir Ihnen dankbar, wenn Sie uns die Freigabe der anderen beiden Kategorien Anonyme Statistik und Marketing, mit jeweiligen Klick auf den weißen Knopf im roten Bereich erteilen. Vielen Dank für Ihre Unterstützung.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.