Rückblick: Dieser Beitrag stammt aus dem Jahr 2017 und dokumentiert die Ankündigung der Datenschutz-Grundverordnung kurz vor deren Wirksamwerden am 25. Mai 2018. Die inhaltlichen Pflichten der DSGVO gelten seither unverändert. Einige Umsetzungstools und Beratungsangebote aus jener Zeit sind inzwischen abgelöst oder weiterentwickelt worden.

Im Herbst 2017 war die DSGVO politisch längst entschieden. Verabschiedet hatte das Europäische Parlament sie bereits im April 2016, veröffentlicht im EU-Amtsblatt am 4. Mai 2016 (Verordnung (EU) 2016/679). Die Übergangsfrist lief bis zum 25. Mai 2018. Trotzdem schliefen viele Unternehmen, auch im deutschen Mittelstand, regelrecht durch die Vorbereitung.

Was war das Neue an der DSGVO?

Bis zur DSGVO galt in der EU eine Datenschutzrichtlinie aus dem Jahr 1995. Richtlinien mussten von jedem Mitgliedstaat einzeln in nationales Recht überführt werden. Das Ergebnis: 28 unterschiedliche Datenschutzregimes, teils deutlich abweichend. Die DSGVO ist eine Verordnung. Sie gilt unmittelbar, ohne Umsetzungsakt, in jedem EU-Staat gleich.

Deutschland hatte schon vor der DSGVO eines der strengsten Datenschutzrechte der Welt. Vieles in der DSGVO folgte dem deutschen Vorbild: Verbot mit Erlaubnisvorbehalt, Datensparsamkeit, Zweckbindung. Für deutsche Unternehmen bedeutete das weniger Neuland als für viele europäische Nachbarn. Trotzdem brachte die Verordnung neue Pflichten.

Welche Kernpflichten kamen 2018 auf Unternehmen zu?

Verarbeitungsverzeichnis. Jedes Unternehmen, das personenbezogene Daten verarbeitet, musste ein Verzeichnis aller Verarbeitungstätigkeiten führen. Name, Zweck, Kategorien der Daten, Empfänger, Löschfristen. Das ist kein einmaliges Dokument, sondern ein laufend zu pflegendes Register.

Informationspflichten. Wer Daten erhebt, muss Betroffene klar informieren: welche Daten, welcher Zweck, wie lange, welche Rechte. Datenschutzerklärungen auf Websites wurden damals reihenweise neu geschrieben, teils mit fragwürdiger Qualität.

Recht auf Vergessenwerden. Betroffene können Löschung verlangen, wenn kein Verarbeitungsgrund mehr besteht. Für Unternehmen mit gewachsenen CRM-Systemen und unstrukturierten Datensammlungen eine echte Herausforderung.

Datenportabilität. Nutzer können ihre Daten in einem maschinenlesbaren Format anfordern. Für Softwarehersteller ein technisches Thema. Für KMU mit Standardsoftware meist durch den Anbieter geregelt.

Datenschutz-Folgenabschätzung (DSFA). Bei Verarbeitungen mit hohem Risiko (z.B. Profiling, Gesundheitsdaten in großem Maßstab) ist eine strukturierte Risikoanalyse Pflicht, bevor man beginnt.

Meldepflicht bei Datenpannen. Verstöße gegen die Datensicherheit, die zu einem Risiko für Betroffene führen, müssen der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden. Schwere Fälle auch den Betroffenen direkt.

Was waren die Bußgeldrahmen?

Das war 2017 das meistdiskutierte Thema. Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (der jeweils höhere Betrag) für schwere Verstöße. Für große Konzerne eine ernste Zahl. Für ein KMU mit 2 Millionen Umsatz theoretisch 80.000 Euro. In der Praxis stellten Aufsichtsbehörden zunächst Beratung vor Bußgeld. Aber Unternehmen ohne erkennbare Bemühungen riskierten schneller Verfahren als jene, die dokumentiert Anstrengungen zeigten.

Was hielt Unternehmen damals auf?

Die häufigsten Hemmnisse, die Netzleiter bei Kunden beobachtete:

Unklarheit darüber, welche Daten überhaupt wo liegen
Fehlende Prozesse für Löschanfragen und Auskunftsersuchen
Gewachsene IT-Landschaften ohne zentrale Datenhaltung
Unsicherheit beim Aufsetzen von Auftragsverarbeitungsverträgen (AVV)

Gerade AVVs mit Cloud-Anbietern (E-Mail, CRM, Buchhaltungssoftware) waren 2017/2018 ein Engpass. Viele Anbieter stellten diese Verträge erst kurzfristig bereit.

Was gilt heute noch?

Die DSGVO ist seit Mai 2018 geltendes Recht. Grundstruktur und Pflichten sind unverändert. Was sich weiterentwickelt hat: die Auslegung durch Aufsichtsbehörden und Gerichte, die Anforderungen an technische und organisatorische Maßnahmen (TOMs) in einer zunehmend cloudgeprägten IT und die Anforderungen an Einwilligungsbanner nach ePrivacy-Rechtsprechung.

Wer die DSGVO 2018 solide eingeführt hat, steht heute gut da. Wer es damals aufgeschoben hat, holt das Thema spätestens dann nach, wenn ein Audit, ein Vorfall oder ein Auskunftsersuchen das Verarbeitungsverzeichnis einfordert.

Einen aktuellen Überblick über die Datenschutz-Grundverordnung bietet unser Erklärer Was ist die DSGVO?. Die konkreten Auswirkungen auf betriebliche Datenschutzprozesse beschreibt DSGVO: Auswirkungen auf den Datenschutz in Unternehmen.

Netzleiter unterstützt KMU in Hamburg und der DACH-Region bei der strukturierten Umsetzung von Datenschutz- und IT-Sicherheitspflichten: von der Dokumentation der Verarbeitungstätigkeiten bis zur technischen Absicherung der Infrastruktur. Anfragen: 040 25 499 500 | support@netzleiter.com