News
Netzwerk
15. Mai 2018

Datenschutz­grundverordnung: Revolution im Datenschutz

Interview mit dem Datenschutzexperten Joerg Heidrich zur im Mai 2018 in Kraft tretenden DSGVO

Joerg Heidrich ist Rechtsanwalt und Experte für Datenschutz, Internetrecht und IT-Sicherheit.

Als Justiziar und Datenschutzbeauftragter des Heise-Verlags veröffentlichte er in der Computerzeitschrift c’t (Ausgabe 5/2018) mit Redakteur Holger Bleich einen Artikel über die Auswirkungen der neuen Datenschutz-Grundverordnung (DSGVO) für Unternehmen. Wir haben ihn befragt.

Ende Mai startet die neue Datenschutz-Grundverordnung (DSGVO). Klingt erstmal sehr abstrakt. Was verbirgt sich dahinter? Kommt das jetzt plötzlich und überraschend?

HEIDRICH: Klingt abstrakt, ist aber sehr real. Dahinter verbirgt sich nicht weniger als eine Revolution im Datenschutz. Am 25. Mai 2018 wird der gesamte bisher bestehende nationale Datenschutz aller Länder der EU über Nacht einheitlich von der DSGVO ersetzt. Alle bisherigen Gesetze in diesem Bereich verlieren ihre Wirkung. So entsteht ein einheitliches europäisches Datenschutzrecht und damit zahlreiche Vereinfachungen gerade für solche Unternehmen, die über Landesgrenzen hinaus tätig sind. Überraschend sollte das aber nicht sein: Die DSGVO wurde vor zwei Jahren verabschiedet und tatsächlich endet im Mai die den Unternehmen gewährte Übergangsfrist.

Foto Joerg Heidrich: Joerg Heidrich, https://www.recht-im-internet.de/

Viele Unternehmen hatten das Thema vielleicht noch gar nicht so auf dem Zettel, wie sie es vielleicht sollten. Muss ich als Mittelständler jetzt in Panik zu verfallen?

HEIDRICH: Panik ist ja selten ein guter Ratgeber. Allerdings sollte ich schleunigst anfangen, die Umsetzung der zahlreichen Vorgaben der DSGVO zumindest einzuleiten und dann mit Volldampf daran zu arbeiten. Dies gilt insbesondere für alle nach außen leicht ersichtlichen Aufgaben. So muss die Datenschutzerklärung für die Website überarbeitet werden. Gleiches gilt beispielsweise auch für Kontaktformulare oder Newsletter-Anmeldungen. Denn neben dem Ärger mit den Behörden, also der Datenschutzaufsicht der Bundesländer, drohen gerade für solche leicht wahrnehmbaren Fehler teure Abmahnungen durch Mitbewerber oder Wettbewerbsverbände.

Welchen Schritt gehe ich als erstes, um die DSGVO umzusetzen? Gibt es eine Art „Masterplan“? Was empfehlen Sie?

HEIDRICH: Es gibt einige Papiere von den Aufsichtsbehörden, die hier hilfreich sein können und die einen Weg durch das Gesetzesdickicht weisen. Ich empfehle dringend, zuerst die Website auf Stand zu bringen. Dann sollte die im Unternehmen vorhandenen Daten analysiert werden, um dort die sensibelsten Prozesse zu identifizieren und die Vorgaben der DSGVO umzusetzen. Insgesamt ist das leider eine ganze Menge Arbeit und sicher nicht über Nacht erledigt.

Was bedeutet die neue „Zweckbindung“ in der DSGVO?

HEIDRICH: Zweckbindung ist eine Grundlage des Datenschutzes, die allerdings auch schon das alte Recht kannte. Danach muss ich mir vor Erhebung von persönlichen Daten darüber Gedanken machen, zu welchem Zweck dies erfolgen soll. An diesen Zweck ist dann die Nutzung der Informationen gebunden. Wenn ich zum Beispiel Daten zu Zwecken der IT-Sicherheit erhebe, darf ich sie dann nicht zum Marketing verwenden. Dieser Grundsatz war bei der Entstehung der DSGVO sehr umstritten, da er sich kaum damit verbinden lässt, Daten zu beliebigen und vielschichtigen Zwecken im Rahmen von Big-Data-Prozessen zu nutzen.

Nach der neuen DSGVO muss jeder Prozess, in dem personenbezogene Daten erfasst, verarbeitet oder gespeichert werden, in ein Verzeichnis eingetragen werden. Das gilt nicht für Unternehmen mit weniger als 250 Mitarbeitern – oder?

HEIDRICH: Auch diese Pflicht gab es bereits vor der DSGVO, allerdings wurde sie erheblich erweitert. Die so entstehenden Verzeichnisse liegen schon bei einem kleinen Mittelständler locker im Bereich eines Wälzers von Buddenbrooks-Format. Leider gibt es hierbei auch kaum Nachsicht für kleine Unternehmen. Der Artikel 30 DSGVO enthält zwar vermeintlich eine solche Ausnahme, diese ist jedoch mit einem sehr praxisrelevanten „es sei denn“ ausgestattet. Danach gilt diese Ausnahme beispielsweise schon dann nicht, wenn die Verarbeitung von Daten „nicht nur gelegentlich erfolgt“. Es dürfte aber kein einziges Unternehmen geben, das nur mal gelegentlich mit personenbezogenen Daten hantiert – sei es schon mit den Daten der Mitarbeiter im Rahmen der Abrechnung. Eine der großen Schwächen des neuen Rechts liegt nach meiner Ansicht darin, dass es kaum Ausnahmen für KMU gibt. Für den Friseur um die Ecke gelten in vielen Punkten die gleichen Anforderungen wie für einen globalen Konzern.

Mehr Informationen zu RA Joerg Heidrich

Ansprechpartner

Diesen Artikel teilen

Das könnte Sie auch interessieren