Aktuelle Entwicklungen zur DSGVO im Juli

Was Aufsichtsbehörden jetzt zur DSGVO verlangen

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Auch zwei Monate nach dem DSGVO-Stichtag gibt es für Unternehmen noch viel zu tun. Weder Abwarten noch Panikmache sind zu empfehlen.
Auch zwei Monate nach dem DSGVO-Stichtag gibt es für Unternehmen noch viel zu tun. Weder Abwarten noch Panikmache sind zu empfehlen. (Bild: Pixabay / CC0)

Beschwerden und Beratungen zur DSGVO fordern gegenwärtig die Aufsichtsbehörden für den Datenschutz stark. Trotzdem erwarten sie weitere Informationen von den Unternehmen. Auch Prüfungen zur Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) laufen bereits. Wir fassen die aktuelle Entwicklung zusammen und geben Tipps zum weiteren Vorgehen.

In Deutschland geben 37 Prozent aller Organisationen eine starke Veränderung ihres Firmenalltags durch die DSGVO an. 32 Prozent sehen sich nach Ablaufen der Deadline am 25. Mai nicht als DSGVO-konform, 28 Prozent sehen dagegen keinerlei Probleme mit der Umsetzung, so der aktuelle Data Security Confidence Index von Gemalto. Die weitere Umsetzung der Datenschutz-Grundverordnung wird bei vielen Unternehmen dadurch erschwert, dass es einen Mangel an Datenschutz-Spezialisten gibt. So geben 61 Prozent der Unternehmen in Deutschland an, dass die Rekrutierung von Datenschutzexperten sehr schwierig ist, wie eine repräsentative Befragung im Auftrag des Digitalverbands Bitkom ergab.

Der gegenwärtige Mehraufwand durch das neue Datenschutzrecht ist aber nicht nur bei den Unternehmen spürbar, auch die Aufsichtsbehörden in Deutschland (und in anderen EU-Ländern) sehen sich zusätzlichen Aufgaben gegenüber. Bereits vor zwei Jahren forderten die Aufsichtsbehörden zusätzliche Ressourcen wegen der DSGVO. Das Personal bei den Aufsichtsbehörden wurde teilweise aufgestockt, Gesprächen mit einigen der Behörden zeigen aber, dass sie deutlich höheren Bedarf hätten.

Mustertexte für die Datenschutzerklärung generieren

Datenschutzerklärungs-Generatoren

Mustertexte für die Datenschutzerklärung generieren

18.06.18 - Es besteht eine gesetzliche Pflicht, eine Datenschutzerklärung auf Webseiten einzubinden. Das war schon vor Inkrafttreten der DSGVO so, jedoch führte die Verordnung zu Anpassungsbedarf. Wir haben einige kostenfreie Generatoren für Mustertexte dazu zusammengetragen. lesen

Beschwerden und Beratungsbedarf nehmen zu

Der Bedarf an Beratung bei Unternehmen und bei Betroffenen ist so hoch, dass einige Aufsichtsbehörden in der aktuellen Ferienzeit darauf hinweisen, dass ihre „Telefonberatung zur DSGVO zurzeit eingeschränkt ist“. Auch über den steigenden Eingang von Beschwerden wird berichtet.

Verschiedene Aufsichtsbehörden bieten für die Betroffenen in ihrem Zuständigkeitsbereich spezielle Formulare zur Einreichung von Datenschutzbeschwerden, wie zum Beispiel in Niedersachsen oder in Sachsen.

Aufsichtsbehörden wollen trotzdem weitere Informationen

Es versteht sich aber, dass von den Unternehmen weiterhin und trotzdem erwartet wird, die vorgesehenen Meldungen an die zuständige Aufsichtsbehörde zu machen. Dazu gehören insbesondere die Meldungen, mit denen die benannten Datenschutzbeauftragten der Aufsicht mitgeteilt werden (Art. 37 Abs. 7 DSGVO und § 38 Abs. 1 BDSG-neu). Auch hierzu gibt es bei verschiedenen Aufsichtsbehörden jeweils ein Formular oder eine Online-Meldung, zum Beispiel im Saarland und in Brandenburg, um nur einige zu nennen. Ob man alternativ eine Meldung per Mail vornehmen soll oder kann, findet man auf den jeweiligen Webseiten der zuständigen Aufsichtsbehörde.

Referenzprojekte und bestimmte Prüfungen laufen bereits

Prüfungswellen zur Umsetzung der DSGVO gibt es noch keine, das war auch nicht zu erwarten. Trotzdem finden bereits bestimmte Kontrollen statt. Auch aus Sicht der jeweiligen Aufsicht positive Beispiele werden bereits gemeldet. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg berichtet zum Beispiel von dem Rolls-Royce-Geschäftsbereich Power Systems.

„Der sorgsame Umgang mit personenbezogenen Daten hat bei uns seit langem einen hohen Stellenwert und ist deshalb bereits bei uns in ein Managementsystem integriert“ sagte Marcus A. Wassenberg, Vorstandsmitglied von Rolls-Royce Power Systems. „Die neue Datenschutzgrundverordnung hat uns veranlasst, trotzdem nachzulegen und die Prozesse auf sie auszurichten und klar zu strukturieren. Eine überarbeitete globale Richtlinie regelt Umgang und Verantwortlichkeiten. Etwa 10.000 Mitarbeiter in 24 Ländern auf der ganzen Welt wurden speziell geschult – inklusive Top-Management. Unser Datenschutzmanagementsystem ist darauf angelegt, die DGSVO ständig im Blick zu haben, und betrachtet den Schutz personenbezogener Daten als ständige Aufgabe. Das ist ein selbstverständlicher Teil unserer Compliance-Regeln“, so Wassenberg.

„Das strukturierte Vorgehen sowohl bei der Projekt-Umsetzung als auch für den laufenden Betrieb hat dieses Projekt als Referenzprojekt für den LfDI spannend gemacht“ so der Landesbeauftragte. Das Beispiel Rolls Royce sei ein guter Beleg dafür, dass die gestiegenen Anforderungen des Datenschutzes überzeugend gemeistert werden könnten. „Eine gute Grundlage ist nun gelegt, nun kommt es darauf an, den Datenschutz in den Köpfen der Mitarbeiter (auch und vor allem im Ausland) zu verankern und entsprechende Schulungen und Sensibilisierungen durchzuführen bzw. konkrete Hilfestellungen für den Arbeitsalltag bereitzustellen“, so der Landesbeauftragte Brink.

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, prüft seit Ende Juni 2018, wie gut sich die niedersächsischen Unternehmen bisher auf die seit dem 25. Mai geltende Datenschutzgrundverordnung (DSGVO) eingestellt haben. In einer branchenübergreifenden Querschnittsprüfung hat die Behörde 50 Unternehmen unterschiedlicher Größe angeschrieben, die Fragen zu zehn Bereichen des Datenschutzes beantworten sollen.

„Ich möchte mir zunächst einen Überblick darüber verschaffen, wie die Firmen die zweijährige Übergangszeit bis zur Geltung der DSGVO genutzt haben", so Barbara Thiel. „Mein Hauptanliegen dabei ist es zu identifizieren, ob es bei den verantwortlichen Stellen noch Nachholbedarf gibt. Außerdem möchte ich mit dieser Prüfung das Bewusstsein für Datenschutz im Allgemeinen und die Vorschriften der DSGVO im Speziellen stärken. Es geht zum jetzigen Zeitpunkt also nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Stattdessen möchten wir aufklären, sensibilisieren und wertvolle Hinweise geben. Trotzdem kann es natürlich zu einem entsprechenden Verfahren kommen, wenn wir während der Prüfung Verstöße gegen die DSGVO feststellen."

Den Fragebogen der LfD erhielten zunächst 20 große und 30 mittelgroße Unternehmen aus verschiedenen Branchen, die ihren Hauptsitz in Niedersachsen haben.

Die Themen des Fragebogens können auch als Orientierung genommen werden, um den eigenen Stand der Umsetzung der DSGVO zu hinterfragen:

  • Vorgehen zur Vorbereitung auf die DSGVO: Ist dies dokumentiert?
  • Verzeichnis von Verarbeitungstätigkeiten: Ist es bereits erstellt und aktuell?
  • Zulässigkeit der Verarbeitung: Wurden die Rechtsgrundlagen geprüft und im Fall von Einwilligungen diese korrekt eingeholt und dokumentiert?
  • Betroffenenrechte: Wie werden diese umgesetzt? (wie Datenübertragbarkeit, Löschung)
  • Technischer Datenschutz: Sind die Maßnahmen dem Risiko entsprechend und angemessen? Entsprechen die Maßnahmen dem Stand der Technik? Gibt es ein Rollen- und Berechtigungskonzept? Wie steht es um Privacy by Default und Privacy by Design?
  • Datenschutzfolgenabschätzungen: Werden diese bei Bedarf durchgeführt und zudem dokumentiert?
  • Auftragsverarbeitung: Wurden die Verträge angepasst?
  • Datenschutzbeauftragter: Wie steht es um Nennung, Einbindung und Fachkunde?
  • Meldepflichten: Gibt es einen dokumentierten Prozess?

Bußgelder sind nicht das Ziel, aber möglich

„Wir werden nicht den kleinen Handwerksbetrieb oder Bäcker an der Ecke prüfen", so die Landesdatenschutzbeauftragte von Niedersachsen Barbara Thiel. Eine vollständige Prüfung einzelner Branchen sei im Moment nicht geplant. Bis zum November werden die Antworten ausgewertet und anschließend bei ausgewählten Unternehmen Vor-Ort-Termine wahrgenommen. Der Abschlussbericht der Querschnittsprüfung soll dann im Mai 2019 vorliegen.

Es könnten sich zum Beispiel Schwerpunktprüfungen in bestimmten Branchen anschließen, so die Aufsichtsbehörde. Außerdem erwartet die Behörde Anhaltspunkte dafür, wo noch besonders viel Beratungs- und Aufklärungsbedarf besteht. Als Konsequenz daraus könnten beispielsweise neue Orientierungshilfen erarbeitet werden.

Wichtig: Keine Panik, aber auch kein Abwarten

Die Landesdatenschutzbeauftragte von NRW hatte zu den Befürchtungen, es gäbe nun Geldbußen in Millionenhöhe, bereits gesagt: „Unerwähnt bleibt oft, dass die Verordnung den Aufsichtsbehörden einen „Werkzeugkasten“ in die Hände gegeben hat, um jeden Einzelfall datenschutzrechtlicher Missstände angemessen zu beheben. Geldbußen sind darin nur eine von vielen Möglichkeiten. An erster Stelle steht die Beratung. Auch von Sanktionen werden die Aufsichtsbehörden Gebrauch machen – jedoch mit Augenmaß.“

Es bleibt festzuhalten: Es gibt weiterhin viele Aufgaben für Unternehmen, die Lücken in der Umsetzung der DSGVO sollten geschlossen werden. Weder Abwarten noch Panikmache sind zu empfehlen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45392999 / Compliance und Datenschutz )