Schonfrist vorbei – was Sie jetzt wissen müssen!
Prof. Ulrich Kelber
Bundesdatenschutzbeauftrager
Die Datenschutz-Grundverordnung (DSGVO) gilt nun bald zwei Jahre. In der Anfangszeit war die Diskussion um die DSGVO von vielen Falschmeldungen und Unsicherheit gekennzeichnet. Beispiele hierfür waren die Diskussion um Namen auf Klingelschildern oder das Fotografieren des eigenen Kindes bei der Einschulung. Insgesamt hat die Zahl der – zum Teil von interessierter Seite absichtlich gestreuten – Mythen abgenommen, auch wenn vereinzelt immer noch der Irrglaube besteht, die DSGVO lasse keine Datenverarbeitungen ohne Einwilligung zu. Dabei ist die Einwilligung nur eine von sechs Alternativen, auf deren Grundlage eine rechtmäßige Verarbeitung personenbezogener Daten erfolgen kann.
Für Unternehmen ist neben der Einwilligung insbesondere die Verarbeitung personenbezogener Daten zur Wahrung der berechtigten Interessen des Verantwortlichen relevant. Ein Unternehmen kann all diejenigen Daten verarbeiten, die es wirklich zur Erfüllung seiner Geschäfte benötigt. Voraussetzung ist, dass die Interessen und Rechte der Betroffenen bezüglich des Schutzes ihrer Daten nicht überwiegen. Dies führt fast immer dazu, dass personenbezogene Daten im gleichen Umfang wie vor Einführung der DSGVO verarbeitet werden dürfen. Allerdings gibt es jetzt umfangreiche Informations- und Benachrichtigungspflichten.
Es ist wichtig, dass sich alle Unternehmen mit den neuen Anforderungen befassen. Die Datenschutzaufsichtsbehörden waren in der Vergangenheit noch zurückhaltend mit der Verhängung von finanziellen Sanktionen. Aber es gibt keine Ausreden bei der Einhaltung datenschutzrechtlicher Vorgaben. Sowohl meine Behörde als auch die Landesdatenschutzbeauftragten haben erste empfindliche Geldbußen verhängt. Wir werden dies nach den Grundsätzen der Verhältnismäßigkeit und mit Augenmaß tun. Doch kein Unternehmen kann sich jetzt noch mit dem Hinweis auf Unkenntnis aus der Verantwortung ziehen.
Im letzten Jahr gab es eine ärgerliche Änderung beim Bundesdatenschutzgesetz: Die Schwelle, ab der ein Unternehmen einen Datenschutzbeauftragten benennen muss, wurde von zehn mit der Verarbeitung personenbezogener Daten betrauter Mitarbeiter auf 20 angehoben. Allerdings müssen alle Unternehmen die gleichen Verpflichtungen erfüllen wie bisher, ob mit oder ohne betrieblichen Datenschutzbeauftragten. Die Datenschutzbeauftragten in Unternehmen sind mit dem notwendigen Wissen direkt vor Ort. Und das aus gutem Grund: Das Konzept der betrieblichen Datenschutzbeauftragten hat sich bereits seit Jahrzehnten in Deutschland bewährt.
Mir ist bewusst, dass die Umsetzung der DSGVO gerade kleinere Unternehmen vor Herausforderungen stellt. Manche finden dabei heraus, dass sie schon zuvor die geltenden Datenschutzregelungen nicht eingehalten hatten. Um hier Unterstützung zu leisten, haben sowohl die deutschen als auch die europäischen Datenschutzbehörden Kurzpapiere, Leitlinien und Orientierungshilfen zur Auslegung und Anwendung der DSGVO erarbeitet. Diese Dokumente können über meine Internetseite (www.bfdi.bund.de) abgerufen werden. Auch zahlreiche Branchenverbände stellen Informationsmaterial für ihre Mitglieder bereit, beispielsweise der Bitkom, der BDI oder die Industrie- und Handelskammern. Es gibt also genug Informationsquellen für Unternehmen. Wer rechtzeitig erkennt, dass der Datenschutz kein Hemmnis ist, sondern eine Chance, sich auf dem Markt zu positionieren, wird davon profitieren. Viele Länder und Regionen außerhalb der EU haben Regeln für den Datenschutz erlassen, die sich an unserer DSGVO orientieren. Das Bewusstsein der Bevölkerung für den Schutz der eigenen Daten steigt. Und ebenso der Bedarf an Produkten und Dienstleistungen, die einen sicheren Datenschutz gewährleisten. Packen Sie es an.
Sie möchten mehr erfahren?
Kurzpapiere, Leitlinien und Orientierungshilfen zur Auslegung der DSGVO finden Sie unter www.bfdi.bund.de