Die europäische Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft. Trotzdem haben sich viele Unternehmen noch nicht mit der DSGVO beschäftigt. Was sich ändert, wie lange eine Anpassung dauert und welche Kosten sonst drohen, haben wir mit Rechtsanwalt Boris Burow geklärt.
Der Datenschutz hat für die Europäische Union hohe Wichtigkeit. Das merken Unternehmen spätestens am 25. Mai. Dann tritt die neue Datenschutz-Grundverordnung in Kraft.
Was Unternehmen vor dem Eintreten der DSGVO machen müssen und welche Konsequenzen sonst drohen, erklärt Boris Burow im Interview. Er ist Rechtsanwalt für IT- und Medienrecht bei der Kanzlei „Burow Kachur Gentes Fiebig“ in Karlsruhe.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Mitarbeiter*in (m/w/d) für Social Media, Öffentlichkeitsarbeit und Städtepartnerschaft (m/w/d) meinestadt.de in Sachsenheim |
||
Journalist (m/w/d) als Leiter PR und Social-Media NOMOS Glashütte/SA Roland Schwertner KG in Berlin |
BASIC thinking: Boris, am 25. Mai 2018 tritt die neue europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Kurz erklärt: Was versteckt sich dahinter?
Boris Burow: Hinter der Datenschutz-Grundverordnung versteckt sich eine einheitliche europäische Regelung zum Datenschutz. Die EU wollte den Flickenteppich im Bereich Datenschutz bereinigen und hat einheitliche Regelungen geschaffen, die ab dem 25. Mai 2018 in sämtlichen Mitgliedsstaaten der Europäischen Union gelten.
Ziel der Europäischen Union war es dabei, den Datenschutz der betroffenen Personen deutlich zu stärken und die Unternehmen im Bereich Datenschutz deutlich stärker in die Pflicht zu nehmen.
Warum wurde die Neuregelung des Datenschutzes in Europa notwendig?
Eine Neuregelung war dringend notwendig. In Deutschland galt bisher das Bundesdatenschutzgesetz (BDSG). Allerdings war dieses Gesetz handwerklich – vorsichtig ausgedrückt – verunglückt.
Es handelt sich bei dem aktuellen BDSG um ein sehr kompliziertes Gesetz mit einer Vielzahl von Regel-Ausnahme-Regel-Ausnahme-Verhältnissen. Auch war das Bundesdatenschutzgesetz in Deutschland nicht geeignet, eine Vielzahl von Fragen zu beantworten, die sich gerade im Bereich der digitalen Welt stellen.
Diese Änderung und die Anpassung des Datenschutzes an das 21. Jahrhundert war auch ein Anliegen der Europäischen Union. Der Datenschutz spielt sich heutzutage größtenteils im Online-Bereich ab, sodass hier eine europaweite Neuregelung sinnvoll war und nunmehr umgesetzt werden muss.
Welche Konsequenzen hat die DSGVO für Unternehmen, die auch im Internet aktiv sind?
Die Datenschutz-Grundverordnung hat weitreichende Konsequenzen für alle Unternehmen in der Europäischen Union. Unternehmen, die im Internet aktiv sind, treffen dabei die gleichen Pflichten, die auch Unternehmen treffen, die nicht im Internet aktiv sind.
Der Unterschied ist, dass man im Gegensatz zur bisherigen Gesetzeslage sehr ausführlich darlegen muss, welche Daten man zu welchem Zweck von dem jeweiligen Nutzer erhebt und verarbeitet. Im Unterschied zur bisherigen Gesetzeslage muss diese Belehrung aber transparent und einfach verständlich erfolgen.
Das bedeutet konkret, dass ich ab dem 25. Mai 2018 auf einer Webseite eine Datenschutzerklärung vorfinden muss, die mich sehr genau darüber aufklärt, was mit meinen Daten passiert.
Diese Erklärung muss darüber hinaus aber noch einfach verständlich sein, so dass auch ein Laie ohne Jurastudium in der Lage ist, zu wissen, welche Daten erhoben werden, zu welchem Zweck sie erhoben werden, ob sie weitergegeben werden und warum sie überhaupt erhoben werden.
Knapp drei Monate sind nicht mehr viel Zeit. Was sind die ersten Schritte, zu denen du einem Unternehmer jetzt raten würdest?
In der Tat rennt die Zeit. Auch wir merken das bei unseren Mandanten, da die Anfragen täglich zunehmen. Wenn ein Unternehmer sich jetzt mit dem Thema DSGVO beschäftigen möchte, dann rate ich zu einer umfassenden Analyse.
Bei der Analyse sollte niedergeschrieben werden, wo überall man im Internet mit einer eigenen Seite aktiv ist. Es sollte in Absprache mit einem externen oder internen IT-Administrator geprüft werden, wie der technische Datenschutz im Unternehmen organisiert ist.
Es muss geprüft werden, ob ein Datenschutzbeauftragter bestellt werden muss. Weiterhin ist es wichtig zu prüfen, ob die Mitarbeiter überhaupt schon auf das Datengeheimnis verpflichtet wurden und ob regelmäßige Datenschutzschulungen für die Mitarbeiter durchgeführt werden.
Kernelement der DSGVO ist das Verzeichnis der Verarbeitungstätigkeiten. Hierbei handelt es sich um eine detaillierte Auskunft zu einzelnen datenschutzrelevanten Prozessen. Wenn ich zum Beispiel einen Newsletter versende, so muss ich diesen Prozess in datenschutzrechtlicher Hinsicht skizzieren und hierzu einige Fragen beantworten.
Dies gilt aber auch für alle weiteren Prozesse, wie beispielsweise das Vorhalten eines Kundenverwaltungsprogrammes, Cloud-Lösungen, die ich im Unternehmen nutze, oder Fragen zur Lohnbuchhaltung und die Zusammenarbeit mit externen Dienstleistern, die auf personenbezogene Daten meines Unternehmens, meiner Mitarbeiter oder meiner Kunden zugreifen können.
Die Liste der notwendigen Tätigkeiten ist zwar sehr lang und sehr umfangreich aber mit professioneller Hilfe kann man für das eigene Unternehmen einen Fahrplan aufstellen, um datenschutzkonform zu agieren. Wenn man einmal sämtliche Anforderungen erfüllt und umgesetzt hat, ergibt sich für die Folgezeit lediglich die Notwendigkeit immer wieder kleinere Anpassungen und Änderungen vorzunehmen.
Das Thema Datenschutz ist also letztlich im Sinne der Umstellung zur DSGVO ein einmal sehr großer Aufwand, gefolgt von einem überschaubaren geringen Aufwand pro Monat.
Wie viel Zeit und Geld kostet mich die rechtskonforme Anpassung in etwa?
Die Zeit, die ein Unternehmer investieren muss und das Geld sind immer abhängig davon, was bereits im Unternehmen vorhanden ist. Die Frage ist auch immer ob der Unternehmer sämtliche Anforderungen versucht, selbst zu erfüllen, oder ob er sich professionelle Hilfe sucht.
Meines Erachtens ist es für ein Unternehmen immer sinnvoll, das Thema DSGVO in enger Abstimmung mit der IT-Abteilung beziehungsweise einem externen IT-Administrator und einem Juristen anzugehen.
Die Kosten, die dann entstehen, sind regelmäßig verschmerzbar und deutlich geringer als wenn der Unternehmer versucht, sämtliche Anforderungen selbst zu erfüllen. Er müsste sich zunächst einlesen und anschließend versuchen, sämtliche Vorgaben der DSGVO selbst zu erfüllen.
Der zeitliche Aufwand wird hier sehr groß sein, sodass es lobenswert ist, eine sehr niedrige vierstellige Summe in die Hand zu nehmen, um komplett DSGVO-konform zu werden.
Alleine schon weil die Bußgelder bis zu 20 Millionen Euro beziehungsweise vier Prozent vom Konzernumsatz weltweit des Vorjahres betragen können, ist es sinnvoll einmal zu investieren, um DSGVO-konform zu werden. Zeitlich gesehen kann in enger Abstimmung mit dem Unternehmer und einem IT-Ansprechpartner die DSGVO sicherlich binnen weniger Wochen umgesetzt werden.
Was passiert, wenn es mir nicht gelingt, bis zum 25. Mai 2018 alle Anforderungen der DSGVO zu erfüllen?
Wenn ich es nicht schaffe bis zum 25. Mai 2018 die Anforderungen zu erfüllen, dann drohen mir die vorgenannten Bußgelder. Sicherlich werden die Bußgelder nicht im Millionenbereich für jedes Unternehmen festgesetzt. Aber ein einfacher Vergleich zeigt, wohin die Reise geht.
Bisher lag der Bußgeldrahmen in Deutschland bei 50.000 Euro beziehungsweise in einigen Sonderfällen bis zu 300.000 Euro im Maximum. Nun steigt der Bußgeldrahmen dem Grunde nach auf bis zu 20 Millionen Euro. Alleine die beiden Zahlen 300.000 Euro und 20 Millionen Euro zeigen, wohin die Reise geht.
Wenn ein kleiner Verstoß gegen Datenschutzbestimmungen sich bisher am Höchstrahmen von 300.000 Euro orientieren musste, ist klar, dass nunmehr ein kleiner Verstoß deutlich teurer wird als bisher.
Auch ist die EU dafür bekannt, dass sie dafür sorgt, dass Bußgelder auch tatsächlich verhängt werden, um den abschreckenden Effekt zu erzielen, dass die Unternehmer sich an den neuen EU-Datenschutz halten.
Und zum Schluss noch einen Blick auf uns Nutzer: Was verändert sich für uns durch die DSGVO?
Für die Nutzer ändert sich einiges. Sie rücken in den Fokus der EU-Datenschutz-Grundverordnung. Die Nutzer sollen besser geschützt werden. Die Nutzer sollen transparenter erfahren, wie ihre Daten genutzt werden und sollen mehr Möglichkeiten haben, sich bei Datenschutzverstößen zu wehren.
Für die Nutzer verbessert sich daher vieles. Die Nutzer werden auf einer Webseite in einfacher, transparenter Weise erfahren, wie ihre Daten genutzt werden und haben zum Beispiel auch nunmehr das im Gesetz festgeschriebene Recht auf Vergessen, was der EuGH noch in seiner Rechtsprechung erarbeitet hat.
Vielen Dank für das Gespräch, Boris!
Zeitumstellung hin oder her: Der 25. Mai ist in unserer Zeitzone schon in zwei Monaten.
Danke dir! 😉
Grundsätzlich richtige Aussagen, leider – insbesondere des Zeit- und Budgetansatzes – viel zu unrealistische Aussagen; meine tägliche Praxis in der Umsetzung solcher Herausforderungen sieht leider anders aus. Alle glauben, dass es noch eine Übergangsfrist gäbe, diese ENDET allerdings am 25. Mai! Auch wird verschwiegen, dass JEDER, der personenbezogene Daten Anderer verarbeitet, der DSGVO unterliegt, also bspw. auch jeder Vermieter und jeder Blogger mit Kommentarfunktion. Ich sehe die unseriösen Abmahner schon in den Startlöchern …
Hallo Wobeco,
zum ersten Teil deiner Antwort kann wahrscheinlich nur Boris eine Antwort geben. Zum zweiten Teil kann ich nur sagen, dass im Text steht, dass die Übergangsfrist am 25. Mai endet und es wird ebenfalls erwähnt, dass jeder davon betroffen ist: „Die Datenschutz-Grundverordnung hat weitreichende Konsequenzen für alle Unternehmen in der Europäischen Union. Unternehmen, die im Internet aktiv sind, treffen dabei die gleichen Pflichten, die auch Unternehmen treffen, die nicht im Internet aktiv sind.“
Liebe Grüße
Christian
Leider wie so oft gibt es auch Kollegen Anwälte, die Unsummen verlangen für die rechtskonforme Umsetzung. Wenn man aber mittels Softwareunterstützung arbeitet kann man alle Vorgaben zeitlich und finanziell effektiv umsetzen. Ich bleibe auch dabei, dass man 100% nie erreichen kann, alleine schon auf Grund der verschiedenen Auslegungsmöglichkeiten. Es geht darum nahezu konform zu sein, denn dann wird man wie bisher auch kein Bußgeld erhalten sondern eine Info vom Landes-Datenschutzbeauftragten ggf. noch nachzubessern. Wer aber gar nichts umsetzt, den trifft das Bußgeld mit voller Härte.
Was die Frist anbelangt, das sehe ich aus Mandantensicht. Umgesetzt werden muss es bist spätestens 25.52018, bis dahin habe ich Zeit, so dass ich das schon als Deadline nehmen kann.
Das BDSG galt auch schon für Blogger und Vermieter, da sehe ich keine großen Änderungen.
Im Prinzip ist das schon sehr informativ gewesen, was ich da las. Also wenn ich Unternehmer wäre. Was aber ist, wenn man popeliger Freizeitblogger ist, der nicht mal Werbebanner einsetzt? Hierzu fehlen mir entscheidende Aussagen. Denn das Problem ist, dass Blogger ohne Lobby und ohne die Mittel für Rechtsbeistände, die immer Gewehr-bei-Fuß stehen, da eher komplett allein dastehen. Könnt ihr das bitte noch nachfragen? Dankeschön.
Es kommt darauf an ob und welche Daten verarbeitet werden aber ehrlicherweise wird man bei einem klassischen Blog mit Kommentar/Registrierfunktion sowie ggf. Newsletter und Tracking der Webseitenbesucher leider sehr umfassend in datenschutzrechlicher Hinsicht belehren müssen.
[…] Christian schreibt über ein Thema, mit dem ich mich auch dringend beschäftigen muss: Kosten, Strafen, Umsetzung: Alles, was du zur DSGVO wissen musst. […]
[…] jeder Betreiber einer Website oder Plattform ist auch LinkedIn von der bevorstehenden Datenschutz-Grundverordnung betroffen. Deshalb aktualisiert das Business-Netzwerk zum 8. Mai 2018 seine Allgemeinen […]
[…] Kosten, Strafen, Umsetzung: Alles, was du zur DSGVO wissen musst […]
[…] europäische Datenschutz-Grundverordnung (DSGVO) rückt näher und WhatsApp reagiert darauf. Um den neuen Anforderungen nachzukommen, passt […]
[…] im Zuge der aktuellen Daten-Diskussionen und der europäischen Datenschutz-Grundverordnung sollte man darauf achten, auch in Netzwerken, die für berufliche Zwecke genutzt werden, ein […]
[…] passt auch WhatsApp seine Allgemeinen Geschäftsbedingungen (AGB) an die neue europäische Datenschutz-Grundverordnung (DSGVO) […]
[…] europäische Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 wirksam. Das Ziel der neuen Regelung ist ein besserer Schutz der Nutzer […]
Ich bin ganz ehrlich. Neben der DSGVO sollten bestimmte Richtlinien zum Abmahnen überprüft werden. Sonst kann man sich gleich schon mal einen Anwalt in Bern oder wo auch immer suchen, damit man sich nicht vor Abmahnungen fürchten muss…
Hallo Banan,
das stimmt mit Sicherheit. In Deutschland gibt es ja dazu bereits auch die ersten Entscheidungen, um den teilweise willkürlichen Abmahnungen etwas entgegenzusetzen.
Liebe Grüße
Christian