Datenschutzgrundverordnung – 6 Monate DSGVO und nun?

Nach 24-monatiger Schonfrist, wurde die Datenschutzgrundverordnung (DSGVO) am 25. Mai dieses Jahres verpflichtend EU-weit umgesetzt. Viele Unternehmen haben allerdings erst sehr kurz vorher, oder gar erst ab dem 25. Mai mit der internen Umsetzung begonnen. Auch die Behörden
selbst waren noch nicht überall so weit, um mit der Prüfung von Unternehmen zu beginnen, vor allem, weil das Personal fehlte. In der Zwischenzeit haben die Behörden aufgestockt und aufgeholt. Wer als Unternehmer auch heute noch immer nicht DSGVO-konform ist, sollte sich spätestens jetzt Sorgen machen. Zumal bereits erste Strafen ausgesprochen wurden. In den letzten Tagen wurde gegen einen Social-Media Anbieter aus Deutschland eine Strafe von 20.000 € verhängt. Vor ein paar Wochen sogar eine der bisher höchsten Strafen von 400.000 € gegen ein Krankenhaus aus Portugal.

Die DSGVO – worum geht es?

Die Datenschutzgrundverordnung stellt eine Vielzahl an Anforderungen an Unternehmen, Behörden und NGOs. Grundsätzlich geht es darum, Kundendaten, also Personendaten stärker zu schützen. Die Verordnung regelt unter anderem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen.

Ausführlich behandelt haben wir die DSGVO, ihre Anforderungen und die möglichen Konsequenzen in unserem Artikel Datenschutzgrundverordnung: Unternehmern drohen hohe Bußgelder, wenn sie sich nicht ausreichend vorbereiten!

Unternehmer müssen sich fragen, wo stehen wir bei der Umsetzung der DSGVO heute und wo sollten wir stehen? Aus unserer Sicht gab bzw. gibt es 3 Stufen der Umsetzung.

Geschäftiges Treiben herrschte in vielen Unternehmen kurz vor dem Stichtag am 25. Mai, vor allem im Bereich der Außendarstellung. Um sich nach außen abzusichern, wurden die Datenschutztexte der Webseiten angepasst und die Webseite noch einmal überarbeitet. So war man gegen vermeintlich drohende Abmahnungen aufgrund unzureichender Darstellungen und Datenschutztexte zunächst mal sicher. Das für Externe sichtbare Auftreten wurde DSGVO-konform „angemalt“.

Die tatsächlich viel wichtigeren Maßnahmen zur Einhaltung der DSGVO-Konformität – also das „Notwendige“ – wurde in vielen Unternehmen doch erst nach dem Stichtag angegangen – oder es ist noch immer nicht vollends umgesetzt.

Kurioses und die Abmahnwelle

Abmahnwellen sind, wider Erwarten, dann doch ausgeblieben. Vermutlich waren sich selbst die Abmahner nicht sicher, was geht und was nicht. Schließlich ist die DSGVO auch in vielen Fällen nicht eindeutig. Wie unklar sie an einigen Stellen ist und wie falsch man sie auslegen kann, zeigt das Beispiel mit den Klingelschildern oder die Wunschzettel ohne Namen.

Im Oktober kursierte die Meldung, dass Namen auf Klingelschildern an den Wohnungen einer Wiener Wohungsbaugesellschaft entfernt werden müssten. Auslöser war hier die Beschwerde eines Mieters. Die Wohnungsbaugesellschaft wollte nun statt der Namen, Nummern anbringen. Ein Freudenfest für die Post! Für völlig unsinnig hielt dies die bayrische Datenschutzbehörde. Die DSGVO gäbe schließlich keinen Anlass für ein derartiges Verbot.

In der Stadt Roth, nahe Nürnberg, steht ein Weihnachtsbaum. Kinder sollten an diesen Baum nun ihre Wunschzettel heften – mit Namen, Alter und Anschrift. Die Stadt Roth wollte diese Wunschzettel an Partner weitergeben, die dann die Wünsche der Kinder erfüllen sollten. Die DSGVO verbietet auch dies nicht. Spannend aber wird es, wenn die Daten digital verarbeitet werden. Man einigte sich in Roth nun darauf, dass die Eltern auf dem Wunschzettel selbst ihr Einverständnis per Unterschrift geben sollten. Bürokratie frisst die beschauliche Weihnachtsvorfreude der Kinder!

Die ersten Bußgelder

Auch die  ersten Bußgelder wurden bereits verhängt. Wer also dachte, dass er noch Zeit hat, weil die Behörden noch nicht soweit sind, hat falsch gedacht.

Das bisher höchste Bußgeld wurde in Portugal verhängt. Hier soll ein Krankenhausbetreiber 400.000 € zahlen, da Patientendaten nicht genügend geschützt waren und zu viele Personen ungehinderten Zugriff hatten. Obwohl Gesundheitsdaten laut DSGVO besonders schützenswert sind, liegt das Bußgeld dennoch deutlich unterhalb von 20 Millionen Euro. Mit diesem Fall beschäftigt sich nun jedoch erst einmal ein portugiesisches Gericht.

Vor ein paar Tagen wurde auch in Deutschland ein erstes Bußgeld erhoben. Zwanzigtausend Euro musste ein Social-Media Anbieter aus Karlsruhe zahlen. Nutzerdaten lagen dort im Klartext vor. Hacker haben diese abgegriffen, um sie anschließend im Netz zu veröffentlichen. Aufgrund der besonders guten Zusammenarbeit mit den Datenschutzbehörden blieb das Bußgeld dann aber doch deutlich unterhalb des Maximalbetrages.

DSGVO – What´s next?

Wie geht es jetzt weiter? Zunächst einmal kann man sich sicher sein, dass die Datenschutzbehörden inzwischen gut genug aufgestellt sind. Infolgedessen ist es für Unternehmen um so wichtiger, die Datenschutzgrundverordnung bereits umgesetzt zu haben. 

In den kommenden Wochen werden wir an dieser Stelle in einer kleinen Serie für Sie die einzelnen Maßnahmen aus unserem obigen Video näher erläutern:

  • Stellung eines Datenschutzbeauftragten
  • Verzeichnis von Verarbeitungstätigkeiten
  • Webseitencheck
  • Technische und organisatorische Maßnahmen
  • Abschluss von Auftragsdatenverarbeitungsverträgen
  • Prozesse von Datenpannen und Betroffenenanfragen
  • Lösch- und Backupkonzept
  • Sensibilisierung der Mitarbeiter

Es gilt genau hinzuschauen und die Prozesse im Unternehmen intensiv zu hinterfragen. Holen Sie sich Hilfe und Informationen bei Experten und lassen Sie sich beraten. Setzen Sie auf moderne Systeme und Lösungen, die Sie bei der Einhaltung der DSGVO unterstützen, wie zum Beispiel unseren DSGVO-Manager -Die Toolbox für eine erfolgreiche Umsetzung der EU-Datenschutzgrundverordnung.

Anmerkung: Eine juristische Beratung stellt unser Angebot nicht dar. Dazu nehmen Sie bitte mit einem Anwalt Kontakt auf und sprechen Sie mit Ihrem Datenschutzbeauftragten.

(Visited 256 times, 1 visits today)