Mythos DSGVO, das oft nicht erkennbare gute Gefühl in Sachen Datenschutz. Dabei betrifft der Datenschutz doch uns alle. Mit Einzug der DS-GVO im Mai 2018 ging ein lautes Raunen durch die Unternehmerwelt. Bürokratie Monster war wohl einer der gängigsten Begriffe die damals aber auch heute noch durch die Medienlandschaft und an Stammtischen hoch und runter kommuniziert werden. Aber ist die DS-GVO wirklich so ein schreckliches Ungetüm, so aufwendig und so kostenintensiv?


Diese Frage nun generell mit einem Nein zu belegen wäre fatal. Aber ebenso wäre ein Ja nicht sonderlich hilfreich. Eines muss man jedoch schon vorab zur Kenntnis nehmen. Datenschutz gab es schon immer und auch das passende Gesetzesbuch zum Thema, das BDSG. Die DS-GVO entstammt aus Brüssel. Genauer hat man sich innerhalb der EU Gedanken gemacht, wie man den Datenschutz aus europäischer Sicht klarer und somit deutlicher abbilden und besser an die Unternehmen innerhalb der EU kommunizieren kann. Für uns in Deutschland wurde daraus die Verordnung zur DS-GVO.

Zeit nun mit Missverständnissen und Mythen aufzuräumen

Ist die DS-GVO ein Gesetz?

Verordnung, Gesetz, was denn nun?

Die Datenschutz Grundverordnung 2018 ist eine neue Richtlinienverordnung der EU und ersetzt somit die alte Richtlinie 95/46/EG. Sie erlangt am 25. Mai 2018 in allen Mitgliedstaaten der EU zudem unmittelbare Rechtskraft. Da es sich bei dem neuen Gesetz um eine europäische Verordnung handelt, entfällt demzufolge eine Umsetzung in nationales Recht.

Die Datenschutz Grundverordnung 2018 enthält jedoch mehrere Öffnungsklauseln und erlaubt somit den Mitgliedstaaten, auch einzelne Bestimmungen zum Datenschutz auf nationaler Ebene per Gesetz zu regeln.

In Deutschland tritt deshalb im Mai 2018 zeitgleich mit der EU-Datenschutzgrundverordnung ein Ergänzungsgesetz (DSAnpUG) in Kraft, das die DSGVO in Teilen verändert bzw. konkretisiert.

Was hat die DS-GVO mit dem BDSG zu tun?

Das ist eigentlich schnell mit eigenen aber auch mit fremden Worten erklärt.

Die DSGVO regelt die Verarbeitung von personenbezogenen Daten. Weitere wichtige Begriffe zur DSGVO. Ausgehend von den personenbezogenen Daten geht es in DSGVO und BDSG vor allem um deren Verarbeitung: Im Sinne der DSGVO wird hierunter jeder Vorgang verstanden, der mit personenbezogenen Daten zu tun hat.

Somit ist dieser Punkt auch geklärt. Aber was oftmals unterschätzt wird ist ein weiteres Gesetz welches in direktem Zusammenhang zur DS-GVO in Betracht gezogen werden kann. Hierbei handelt es sich um das in jedem Impressum erwähnte Telemediengesetz. Dieses Regelt grob erklärt den Datenschutz mit Schwerpunkt Telekommunikation. Eine sehr gute Erläuterung zu diesem Thema kann man auf der Webseite von Dr Datenschutz nachlesen.

Kommen wir nun zu den Mythen die mit der DS-GVO Einzug gehalten haben

Mythos 1 – Die Datenschutz Grundverordnung bezieht sich nur auf Webseiten

Hier gibt es ein klares Nein. Die DS-GVO bezieht sich auf die Themenwelt des Datenschutzes und bezieht sich somit auf alles was  was im täglichen Berufsleben mit personenbezogenen Daten in Berührung kommen Kann. Neben den Onlinewelten gehören hierzu sämtliche Anwendungen, Programme, Cloud-Anwendungen, Server, Telekommunikation und natürlich auch der Mensch. Somit eigentlich fast alles.

Mythos 2 – Die DS-GVO hat sich seit Ihrer Einführung nicht mehr verändert

Seit Einführung der DS-GVO hat sich diese laufend neuen Rechtsprechungen, Urteilen und in Sachen Software und Anwendungen fortlaufend weiterentwickelt. Von einem Stillstand kann somit nicht gesprochen werden. Vielmehr ist es auch so, dass man sich nicht auf die Umsetzung von 2018 ausruhen kann. Laufend gibt es Dinge die ab – und/oder umgestellt oder angepasst werden müssen. Aktuelle Beispiele kann man zum Thema Microsoft Office 365 benennen oder den Einsatz von Webseiten Analyse Tools welche die IP Adresse der Webseiten Besucher anonymisieren oder die komplizierte und immer noch nicht eindeutig Nutzung von Facebook Unternehmensseiten. Immer wieder was Neues und somit definitiv kein Stillstand.

Mythos 3 – Die DS-GVO ist nur für große Unternehmen von Wichtigkeit

Diese Meinung hören wir oft oder auch den Hinweis “wir haben keine Webseite”. Wie bereits in Mythos 2 schon erwähnt bezieht sich die DS-GVO nicht nur auf die Webseite und ganz klar. Jedes Unternehmen hat den Datenschutz sicherzustellen. Eine Ausnahme oder Befreiung aufgrund der Unternehmensgröße ist hierbei unrelevant. Natürlich geht es nicht nur um Unternehmen. Auch Behörden, Institutionen, Vereine haben dem Regelwerk Folge zu leisten.

Mythos 4 – Jeder wird sofort mit hohen Strafen belegt wenn die DS-GVO nicht korrekt umgesetzt ist

Jain, kann man so nicht sagen. Erst einmal ist die zuständige Aufsichtsbehörde darauf aus den oder die erkannten Mängel aufzuzeigen und Zeit zur Beseitigung einzuräumen. Bei tatsächlich eklatanten Verstößen kann aber auch eine nicht zu unterschätzende Geldstrafe eingeräumt werden. Aktuell hat es den Einzelhandel Konzern H&M mit 35 Millionen Euro getroffen. Genaues hierzu kann man zum Thema Bußgeld DS-GVO nicht sagen. Wer jedoch redlich darum bemüht ist den eigenen Datenschutz auf Vordermann zu halten kann durchaus mit einer Verwarnung davon kommen. Unternehmen die das Thema mit den Worten “wo kein Kläger, da keine Strafe” abtun und in Sachen DS-GVO alles komplett schleifen lassen, sollten schon eine Überweisung einplanen.

Wie geht man das Thema der DS-GVO am einfachsten an?

Nicht mit der Hauruck und 08/15 Methode. Hilfreich ist es natürlich auch einen Datenschutz Experten mit ins Boot zu holen. Dieser kostet vermutlich Geld aber letztendlich kennt er die Richtung und spart somit enorm viel Zeit. Ein wesentlicher Aspekt liegt auch darin dass ein DS Beauftragter vor Unwissenheit schützt. Denn eines ist sicher “Unwissenheit schützt vor Strafe nicht” !
Zuerst geht es darum zu eruieren was / wer / wie verarbeitet, speichert personenbezogene Daten. Anschließend wird die vorhandene Software und alle technischen Applikationen auf DS-GVO Kompatibilität geprüft. Hierbei stellen sich die Fragen:

  • steht die Software auf einer Bedenklichkeitsliste?
  • Befindet sich meine Cloud Anwendung auf einem deutschen / bzw. EU Server?
  • Welche Unternehmen haben Zugriff zu diesen Anwendungen?
  • Habe ich von allen Unternehmen einen ADV Vertrag vorliegen?
  • Sind meine Mitarbeiter mit der Thematik Datenschutz vertraut und liegt eine Mitarbeiter Vereinbarung vor?
  • Welche Art von Daten verarbeite ich?
  • Wie lange darf ich diese Daten verarbeiten und wann müssen diese gelöscht werden?
  • Habe ich entsprechende Verarbeitungsverzeichnisse vorliegen? Wie sieht es mit meinem Datenschutz aus, ist der noch aktuell.

Die Liste kann noch einiges erweitert werden. Aber für eine erste Darstellung was auf einen zukommen kann, sollte das für den Anfang ausreichen.

Kann man die Umsetzungen der DS-GVO zusammenfassen?

Mit wenigen Worten sicherlich nicht. Wir haben aber mal alle besonderen Neuerungen der DS-GVO hier zusammengestellt und denken dass dieses einen guten Überblick ernöglicht.

  • Erstellung eines unternehmensinternen Datenschutzkonzeptes
  • Erweiterung der Informationsrechte Betroffener
  • Datenschutz durch Technikgestaltung (Privacy by Design)
  • Datenschutzfreundliche Voreinstellungen (Privacy by Default)
  • Implemetierung einer Risikoanalyse und Folgenabschätzung
  • Pflicht zur Bestellung eines Datenschutzbeauftragten
  • Meldung von Datenschutzverstößen
  • Hohe Bussgelder

Datenschutz soll Spaß machen für alle Beteiligten

Wir haben die DS-GVO nie als Belastung betrachtet, eher mehr als Herausforderung. Durch die intensive Arbeit mit der Themenwelt wurden wir nicht nur hochmotiviert sondern schon fast gepackt. Das Thema ist spannend und wichtig und wer diese Spannung und Wichtigkeit erkannt hat, der wird auch ohne Murren und Knurren eine gute Einstellung zu dem Thema bekommen.