1 Jahr Europäischer Datenschutz

Na dann, herzlichen Glückwunsch!

Am 04.05.2016 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) im Amtsblatt der Europäischen Union veröffentlicht worden, damit begann die zweijährige Umsetzungsfrist für die Verantwortlichen, also Unternehmen, Vereine, Stiftungen und Behörden, die neuen gesetzlichen Vorgaben bis zum 25.05.2018 umzusetzen.

Während der zweijährigen Umsetzungsfrist wurden von den verantwortlichen Stellen Heerscharen von Beratern engagiert, die die drohenden Bußgelder abwenden sollten. Projekte mit hochtrabenden Namen, wie „Implementation of GDPR“, „GDPR compliance“ oder „DSGVO@XY“ wurden ins Leben gerufen, innerbetriebliche Prozesse wurden neu dokumentiert, die gerade teuer erstellten Dokumentationen wieder verworfen und neu dokumentiert. So recht wusste jedenfalls niemand, was er eigentlich machen sollte.

Google liefert für den Suchbegriff „EU-DSGVO“ über 40 Millionen Ergebnisse. Natürlich findet Google darunter auch eiligst erstellte neue „EU-DSGVO-konforme“ Datenschutzhinweise von Webseitenbetreibern, aber eben auch eine Vielzahl von mehr oder weniger hilfreichen Umsetzungshilfen selbsternannter Datenschutzexperten, die sich teils als spirituelle Lehrer ausgeben oder für sich mit einem Doktortitel im Datenschutz werben, den es natürlich nicht gibt. Auch ein Tagessatz von EUR 7.500 brutto ist noch kein Garant für professionelle und rechtssichere Beratung, sondern entweder Ergebnis maßloser Selbstüberschätzung oder ein Angebot einer Leistung zu einer deutlich überhöhten Gegenleistung unter Ausnutzung einer Schwächesituation eines Vertragspartners, letzteres wäre schlicht Wucher.

Nun dürfte nicht anzunehmen sein, dass sich ein vernünftiges Unternehmen einen Datenschutzberater für EUR 7.500 pro Tag leistet. Die Frage, die sich stellt, ist schlicht: Brauche ich in meinem Unternehmen, in meinem Verein, in meiner Stiftung, in meiner Behörde, überhaupt einen externen Berater, der die aus der Datenschutzgrundverordnung resultierenden Pflichten erfüllt?

Was hat sich überhaupt geändert?

Nichts, zumindest nicht viel!

Das Bundesdatenschutzgesetz (a.F.) erlaubte die Erhebung, die Verarbeitung und die Nutzung personenbezogener Daten nur dann, wenn ein sogenannter Erlaubnisvorbehalt bestand. Dies ist das sogenannte „Verbot mit Erlaubnisvorbehalt“. Ein solcher Erlaubnisvorbehalt bestand beispielsweise dann, wenn ein bestehendes Vertragsverhältnis mit dem Betroffenen vorlag, ein Vertrag angebahnt werden sollte, der Betroffene in die Verarbeitung eingewilligt hat oder eine spezialgesetzliche Vorschrift die Verarbeitung erlaubte.

Und wie ist es heute?

Genauso!

Die Rechtmäßigkeit der Verarbeitung ergibt sich im Wesentlichen aus Artikel 6 DSGVO. Demnach ist es erlaubt, personenbezogene Daten zu verarbeiten, wenn

a) die betroffene Person eine Einwilligung erteilt hat,
b) die Datenverarbeitung zur Erfüllung eines Vertrags erforderlich ist,
c) die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
d) um lebenswichtige Interessen zu schützen,
e) die Verarbeitung im öffentlichen Interesse liegt,
f) in Ausübung öffentlicher Gewalt erfolgt oder
g) die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erfolgt.

Daraus folgt, dass sich im Hinblick auf die Erlaubnis zu Datenerhebung, deren Verarbeitung und Nutzung im Vergleich zum Bundesdatenschutzgesetz (a.F.) nicht viel geändert hat.
Soweit ein Unternehmen – und davon dürfte im weit überwiegenden Teil auszugehen sein – mit einer natürlichen Person einen Vertrag geschlossen hat, ist die damit im Zusammenhang stehende Datenverarbeitung nach-wie-vor rechtmäßig.

Es ist also vertretbar zu behaupten, dass eine Datenverarbeitung, die den Voraussetzungen des Bundesdatenschutzgesetzes (a.F.) genügte, auch den Ansprüchen der EU-DSGVO genügt.

Dennoch …

Noch mehr Bürokratie

Der Gesetzgeber hat den Verantwortlichen eine Reihe weiterer Dokumentationspflichten auferlegt, welche im Falle der Versäumnis mit ganz erheblichen Bußgeldern belegt werden können und genau hier gilt es anzusetzen.

Mit unserem branchenunabhängigen Beratungsansatz haben wir in über 10 Jahren viel spezialisiertes Know-how erworben und kennen die individuellen Bedürfnisse aus Industrie, Handel und Dienstleistung. Unser Datenschutz-Managementsystem passt sich komplexen Sachverhalten an und stellt die Erfüllung der umfangreichen datenschutzrechtlichen Verpflichtungen sicher.

Was tun, sprach Zeus …

Von Ratlosigkeit zur Lösung

Die Einhaltung der Vorgaben der Rechenschaftspflicht kann umfassend durch ein Datenschutz-Managementsystem sichergestellt und nachgewiesen werden.

Getreu dem Motto „ein gutes Pferd springt nicht höher, als es muss“ verfolgen wir hierbei den Ansatz, die gesetzlichen Anforderungen vollumfänglich, vor allem aber auch in wirtschaftlich vernünftigem Umfang umzusetzen. Mit unserem branchenunabhängigen Vorgehen gelingt die maßgeschneiderte Anpassung der gesetzlichen Anforderungen an den Datenschutz auch für die individuellen Anforderungen Ihres Unternehmens.

Ausgehend von den Fragen „welche konkreten rechtlichen Verpflichtungen hat der Verantwortliche gegenüber dem Gesetzgeber? An welchen Stellen des Unternehmens drohen Gefahren im Hinblick auf eine nachteilige Rechtsfolge? Und an welchen Stellen stehen Reputationsschäden zu befürchten?“ beantwortet unser Datenschutz-Managementsystem priorisiert die einzelnen Pflichten und dokumentiert diese in nachvollziehbarer Weise, zudem erfüllt es die rechtlichen Verpflichtungen gegenüber den Betroffenen.

Was dürfen wir für Sie tun?
Wir freuen uns auf Sie!

Ihr Datenschutz in guten Händen