< Stellenausschreibung
03.09.2018 17:36 Alter: 22 Tag(e)

100 Tage DSGVO

Eine Bestandsaufnahme aus der Beratungspraxis


Zunächst ist die Welt entgegen mancher düsterer Prognosen nicht untergegangen. Viele Unternehmen haben erhebliche Anstrengungen unternommen, die mannigfaltigen Anforderungen der DSGVO umzusetzen. Die Bemühungen und deren Früchte dürften auch für Außenstehende leicht erkennbar geworden sein. Auf fast allen Webseiten, in vielen Arztpraxen und gefühlt in jedem Unternehmen wurden Informationen erteilt, Einwilligungen eingeholt und damit generell viel Unruhe und Missmut verbreitet.

Aber ist die DSGVO tatsächlich nur ein Papiertiger, dessen Ausflüsse am Schluss – vergleichbar zu Allgemeinen Geschäftsbedingungen – von niemandem gelesen werden? Oder gibt es auch spürbare positive Entwicklungen und Auswirkungen der ganzen Aufregung?

Zuerst das Positive: Nicht zuletzt wegen der erheblichen Bußgeldandrohungen der DSGVO, haben sich viele Unternehmen erstmals intensiv damit beschäftigt, welche Daten sie erheben, wie sie diese Daten verarbeiten dürfen und wie lange sie gespeichert werden dürfen. Nicht selten waren die Unternehmen überrascht, was alles an Daten gespeichert vorlag. Diese Datenbestände wurden nunmehr teilweise bereinigt. Soweit erforderlich wurde auch das Sammeln von Daten eingeschränkt. 

Vielfach wurden die Datenschutzerklärungen angepasst und insbesondere um Pflichtinformationen ergänzt. Leider hat manches Unternehmen dabei verpasst, Transparenz und Klarheit in den Vordergrund zu stellen. Dennoch scheint dies viele Nutzer nicht davon abzuhalten, teils schwer lesbare Texte tatsächlich einmal durchzulesen. Die Anzahl an datenschutzbezogenen Anfragen und Aufforderungen zur Löschung haben spürbar zugenommen. Der Verbraucher scheint hier – wohl maßgeblich auch durch die mediale Präsenz des Themas – hinreichend sensibilisiert zu sein, sich zumindest zu fragen, wer seine Daten alles erhält und was damit geschieht. Und natürlich wird dabei durch den Betroffenen häufig auch die Rechtmäßigkeit der Verarbeitung in Frage gestellt.

Leider lassen sich allerdings nicht alle Zweifel hinsichtlich der Rechtmäßigkeit bestimmter Verarbeitungstätigkeiten ausräumen. Es vielfach noch an klaren Ansagen seitens der Behörden, wie die teils sehr weiten Tatbestände der DSGVO mit Leben gefüllt und den tatsächlichen Verhältnis in Einklang gebracht werden sollen. Insbesondere bei der Frage der Löschung von Daten besteht hier vielfach erhebliche Unsicherheit. Welche Daten müssen tatsächlich gelöscht werden, welche darf das Unternehmen aufbewahren, etwa um sich gegen Ansprüche Dritter zu wehren? Wann fängt die Frist an zu laufen? Was gilt für gewachsene Datenbanken, in denen die Daten nicht zwingend zweckgebunden markiert und abgelegt worden sind? Was ist mit E-Mail-Postfächern? Hier sind die Anforderungen der DSGVO vermeintlich klar und einfach: Löschen, wenn nicht mehr erforderlich! Doch die tatsächliche Umsetzung bringt viele Unternehmen mit den derzeit bestehenden Systemen an Ihrer Grenzen. Hier muss langfristig geschaut und versucht werden, die Rechtmäßigkeit durch Umstellung der Systeme zu erreichen. Dies ist kein Vorgang der in der Kürze der Zeit, die sich die Unternehmen für die Umsetzung der DSGVO gegeben haben, abgeschlossen werden konnte. Aber, positiv zu bewerten ist, dass in vielen Unternehmen tatsächlich entsprechende Mechanismen ins Rollen gebracht worden sind, Datenbestände besser zu pflegen und derart zu gestalten, dass eine Löschung zweckgebunden tatsächlich vorgenommen werden kann.

Die Behörden sind bislang – soweit ersichtlich – noch nicht mit spektakulären Aufsichtsverfahren an die Öffentlichkeit gegangen, so dass in vielen Unternehmen bereits ein Gefühl der Sicherheit und Gelassenheit anstelle der Aufregung vor Mai 2018 getreten ist. Diese Ruhe könnte allerdings auch trügerisch sein, zumal Betroffene nunmehr Druck auf Behörden bei deren Untätigkeit ausüben können. Stellt sich zudem etwa bei einem Sicherheitsvorfall heraus, dass ein Unternehmen noch nichts zur Umsetzung der DSGVO unternommen hat, so kann es nicht auf Nachsicht im Aufsichtsverfahren hoffen. Unternehmen ist jedenfalls nicht anzuraten, das Thema Datenschutz und DSGVO nunmehr beiseite zu schieben mit dem Gefühl, die Behörde werde ohnehin nicht aktiv. Vielmehr sollte die Zeit, in der sich die Behörden gegebenenfalls noch selbst orientieren und sortieren, genutzt werden, weiter daran zu arbeiten, die Anforderungen der DSGVO bestmöglich zu erfüllen. Vollständige Rechtmäßigkeit wird wohl über einen längeren Zeitraum, zumindest aufgrund der vielfachen Unklarheiten, nicht zu erreichen sein.