Am 25. Mai jährt sich das Datum des Inkrafttretens der EU-Datenschutz-Grundverordnung zum ersten Mal. Der Unmut und die Unsicherheit der Unternehmen im Kammergebiet gegenüber der aufwendigen Umsetzung am Anfang war groß, aber auch die Angst vor Bußgeldern bei Nichteinhaltung. Wie ist die Stimmung nach einem Jahr?
Vor fast genau einem Jahr – am 25. Mai 2018 – trat die Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedsstaaten in Kraft. In Zeiten der fortschreitenden Digitalisierung sollte sie vor allem eines bieten: mehr Rechte für betroffene Personen und einen Schutz ihrer Daten. Das klingt erst einmal positiv, führte aber dennoch zu einer Welle an Unmut und Unsicherheit – nicht bei den Betroffenen, denen gerade die Angst vor einem Missbrauch ihrer Daten genommen werden sollte, sondern bei den Unternehmen. Denn für sie bedeutete die Reform vor allem eines: erheblicher bürokratischer Aufwand und entsprechende Kosten sowie bei Fehlern oder Nichteinhalten der Vorschriften saftige Bußgelder. 2020 soll erstmalig ein Bericht der EU-Kommission zur DSGVO erscheinen. Doch bereits jetzt, ein Jahr nach der Einführung, liegen erste Erfahrungen vor, wie Unternehmen mit der Umsetzung der Verordnung zurechtkommen. „Die Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz sind in der betrieblichen Praxis angekommen. Viele Unternehmen haben ihre datenschutzrechtlichen Prozesse überprüft und angepasst“, sagt der Rechtsanwalt und promovierte Jurist Thomas Daum von Schrade & Partner. Auch die befürchtete Abmahnwelle sei bisher nicht eingetreten.
„Doch das wird sich ändern“, so der promovierte Jurist Stefan Baum, Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei der Kanzlei Bender Harrer Krevet. „Es werden zunehmend Entscheidungen der Aufsichtsbehörden und der Gerichte ergehen. In der Folge werden wettbewerbsrechtliche Abmahnungen zunehmen.“ Erste Gerichtsentscheidungen wurden bereits getroffen. Als Beispiel für die Folge einer Nichteinhaltung der Datenschutz-Grundverordnung führt Baum eine Entscheidung des Landesarbeitsgerichts Baden-Württemberg vom Dezember 2018 an: „Das Gericht hat den Automobilkonzern Daimler verurteilt, einem langjährigen Mitarbeiter eine Kopie aller personenbezogenen Leistungs- und Verhaltensdaten zur Verfügung zu stellen, die Gegenstand der vorgenommenen Verarbeitungen sind.“ Dies sei ein Alptraum für das Unternehmen, so Baum. „Sofern die Entscheidung rechtskräftig Bestand haben wird, müssen alle vom Unternehmen archivierten Daten, einschließlich E-Mails, an den Kläger herausgegeben werden. Die Revision wurde ausdrücklich zugelassen.“ Baum prophezeit verstärkte Kontrollen in der Zukunft und zitiert Stefan Brink, den Landesbeauftragten für den Datenschutz und die Informationsfreiheit von Baden-Württemberg: „2019 wird das Jahr der Kontrolle.“
Daher bleibt eine gewisse Unsicherheit bezüglich der Umsetzung der DSGVO bei den Unternehmen bestehen. Diese hat im vergangenen Jahr einen Wandel erfahren, so Ralf Klühe, promovierter Jurist und Rechtsanwalt bei der Kanzlei Vogel & Partner. „Anfänglich resultierte ein großer Teil der Verunsicherung daraus, dass Firmen von der Komplexität der neuen datenschutzrechtlichen Vorgaben überfordert schienen. Mittlerweile ist die Furcht vor dem großen Ganzen eher einer gewissen Unsicherheit im Hinblick auf ungeklärte Einzelfragen gewichen.“ Dies sei in erster Linie einer noch nicht klar ausgebildeten Best Practice am Markt und nicht immer einheitlichen rechtlichen Beurteilung durch Aufsichtsbehörden und Gerichte geschuldet, so Klühe. Zu einem erhöhten Informationsbedarf werde zudem die ePrivacy-Verordnung führen, die auf die Einführung der DSGVO folgen wird. Diese EU-Verordnung über die Privatsphäre und elektronische Kommunikation wird zukünftig den allgemeinen Vorschriften der DSGVO bezüglich elektronischer Kommunikationsdaten als Spezialgesetz vorgehen. „Gerade was den Einsatz von Cookie- und Trackingtechnologien im Rahmen von Webseiten angeht, wird hier noch mit der ein oder anderen Änderung oder auch Konkretisierung zu rechnen sein“, meint Klühe.
Um den Aufwand bei der Umsetzung der Verordnungen möglichst klein zu halten, rät Klühe kleinen und mittelständischen Unternehmen eine sachgerechte Verteilung der Aufgaben auf unternehmenseigene Ressourcen und externe Kräfte. Das Softwareunternehmen Knime GmbH mit Sitz in Konstanz zum Beispiel nimmt eine solche externe Hilfe in Anspruch. „Im regelmäßigen Betrieb tauchen immer wieder Fragen die DSGVO betreffend auf, für die wir weiterhin externe Hilfe benötigen, da wir das nicht alleine stemmen können,“ so Thomas Gabriel, COO bei Knime GmbH.
Um unternehmensinterne Kräfte zu schaffen, kann es helfen, Schulungen und Lehrgänge zu Themen des Datenschutzes und der Datensicherheit zu besuchen, wie sie die IHK Hochrhein-Bodensee regelmäßig in der Seminarreihe „Wirtschaftsrecht für Unternehmer“ anbietet. Auch ein Jahr nach Einführung der Datenschutzreform ist das Interesse an diesen Veranstaltungen groß. Es wird wohl noch eine Weile dauern, bis die DSGVO im Praxisalltag der Betriebe ihren Platz gefunden hat. „Unternehmen werden sich jedoch daran gewöhnen müssen, dass der Datenschutz – wie auch andere Fragestellungen im Bereich Compliance – zu einem selbstverständlichen Bestandteil ihres Tagesgeschäfts wird,“ so Klühe. „Dann lässt es sich erfahrungsgemäß auch leichter mit veränderten Anforderungen umgehen.“
doe
Veranstaltungen
Datenschutz in der Personalpraxis,
14. Mai in Schopfheim, 15. Mai in Konstanz, Dok. Nr. 143105932
E-Mail-Marketing in Zeiten der DSGVO,
21. Mai in Schopfheim, 23. Mai in Konstanz, Dok. Nr. 143105449
Ein Jahr DSGVO – Viel Lärm um nichts oder drohen Bußgelder
und Abmahnungen? Erfahrungen und Lösungen für die Praxis,
5. Juni in Schopfheim, 6. Juni in Konstanz, Dok. Nr. 143105938
Die Veranstaltungen finden jeweils von 16 bis 19 Uhr statt, die Teilnahmegebühr beträgt 90 Euro. Weitere Informationen bei Martina Muffler,
Telefon: 07531 2860-118,
martina.muffler@ihk.de
oder unter www.konstanz.ihk.de, <Wirtschaftsrecht>.