Herr Ulbricht, der Countdown Datenschutzgrundverordnung läuft. Wie erleben Sie die Stimmung bei den Unternehmen?

Derzeit herrscht rund um die Umsetzung der DSGVO eine große Verunsicherung. Neben dem erheblich erhöhten Strafrahmen ist dies auch dem Umstand geschuldet, dass in zahlreichen Diskussionsforen im Internet und Sozialen Medien eine ganze Menge gefährliches Halbwissen verbreitet. Dazu tragen auch einige Berater bei, die im Eigeninteresse oft nur die großen Risiken und erheblichen Unwägbarkeiten anmahnen, statt klar und deutlich zu sagen, was mit welcher Priorität zu tun ist.

Warum fällt es den meisten Unternehmen offensichtlich alles andere als leicht, die Anforderungen der DSGVO umzusetzen?

Bisher wurde der Datenschutz in zahlreichen Unternehmen eher stiefmütterlich behandelt. Das bestehende Datenschutzrecht aus dem Bundesdatenschutzgesetz, welches in zahlreichen Grundlagen der Datenschutzgrundverordnung durchaus ähnlich ist, wurde oft nicht richtig umgesetzt. Unter diesem Vollzugsdefizit leiden zahlreiche Unternehmen, die nun erstmals das 'kleine 1 x 1' lernen und umsetzen müssen. Hinzu kommt, dass der Datenschutz erst einmal als Arbeit empfunden wird, die das eigene Business nicht voranbringt und gerade in Vertrieb und Marketing auch eher als Hemmschuh angesehen wird.

Der Druck der Datenschutzbehörden wird ja über die Androhung empfindlicher Geldstrafen aufgebaut. Ist am 25. Mai, dem Tag, an dem die DSGVO in Kraft tritt, dann tatsächlich Zahltag? Oder auf was müssen sich Unternehmen gefasst machen, wenn sie bis dahin noch nicht durch sind mit den ganzen Anforderungen?

Unternehmen, die die wesentlichen Anforderungen der DSGVO sinnvoll umsetzen, brauchen sich um Bußgelder aus meiner Sicht keine Sorgen zu machen. Die Datenschutzbehörden haben klar kommuniziert, auf was Wert gelegt werden sollte. Neben einer Bestandsaufnahme der eigenen Datenverarbeitungsvorgänge, der Prüfung der Legitimationstatbestände der DSGVO und der Erfüllung der Informationspflichten ist dies vor allem die Dokumentation in einem entsprechenden Verarbeitungsverzeichnis.

Wer ein solches Verarbeitungsverzeichnis vorlegen kann, der dürfte auch für eine Prüfung der Datenschutzbehörden gut aufgestellt sein. Im besten Fall genügt den Datenschutzbehörden die entsprechende Darstellung. Aber auch im worst case, dass einzelne Mängel festgestellt werden, ist eher mit spezifischen Umsetzungsvorgaben zu rechnen als mit Bußgeldern. Was die Bußgelder anbetrifft, ist zudem darauf hinzuweisen, dass in der DSGVO zwar ein sehr weiter Spielraum gegeben wird und durchaus empfindliche Strafen ausgesprochen werden sollen, in der Verordnung aber natürlich auch steht, dass Bußgelder im Hinblick auf die Größe des Unternehmens und die Schwere des Verstoßes verhältnismäßig sein müssen.

Man kann bei den ersten Bußgeldern also damit rechnen, dass diese gerichtlich überprüft werden und sich mit der Zeit eine sinnvolle Praxis herausbilden wird.

Sehen Sie auch Vorteile für Unternehmen in dem ganzen Procedere?

Die Bestandsaufnahme, die die DSGVO notwendig macht, führt bei zahlreichen Unternehmen dazu, dass die eigenen Datenverarbeitungsvorgänge erstmals richtig angefasst werden. Dies schafft neben der Umsetzung der Regularien die notwendige interne Transparenz im Umgang mit personenbezogenen Daten. Daraus entstehen teilweise neue Möglichkeiten, gerade im Bereich mehrerer Konzernunternehmen.

Zudem kann die DSGVO für Klarheit sorgen über die eigenen Datenverarbeitungsvorgänge und Schaffung von Transparenz gegenüber den eigenen Nutzern und Kunden – gerade in Zeiten vermehrter Datenskandale und zunehmender Sensibilität für den Schutz der eigenen Daten – und sie kann Vorteile im Wettbewerb mit anderen, gerade auch US-amerikanischen Firmen bringen.

Wer bis jetzt noch nichts in Angriff genommen hat in Sachen DSGVO – was raten Sie da? Hat man da überhaupt noch eine Chance?

Da die Umsetzung der DSGVO alternativlos ist und die Nichtumsetzung nicht unerhebliche Risiken birgt, nützt es nichts 'den Kopf in den Sand zu stecken'. Unternehmen, die tatsächlich noch nichts getan haben, sollten die wesentlichen Maßnahmen priorisieren und sinnvoll abarbeiten. Anhaltspunkt könnte meine 10-Punkte Checkliste aus dem W&V Report Praxis-Check DSGVO sein.

Um Prüfungsanlässe durch Datenschutzbehörden zu vermeiden, sollten insbesondere die Maßnahmen umgesetzt werden, die eine Außenwirkung haben wie die Anpassung der eigenen Datenschutzerklärung oder anderer Einwilligungserklärungen. Das heißt gleichwohl natürlich nicht, dass die anderen Vorgaben nicht auch zu erfüllen sind. Wer sich aber zeitnah mit den neuen Anforderungen aus der DSGVO auseinandersetzt, sollte – je nach Größe des Unternehmens und Verfügbarkeit der notwendigen Ressourcen – in der Lage sein, die wesentlichen Vorgaben innerhalb von vier bis sechs Wochen umzusetzen.


W&V Redaktion
Autor: W&V Redaktion

Es gibt unterschiedliche Gründe, warum Artikel mit "W&V-Redaktion" gekennzeichnet sind. Zum Beispiel, wenn mehrere Autor:innen daran mitgearbeitet haben oder wenn es sich um einen rein nachrichtlichen Text ohne zusätzliche Informationen handelt. Wie auch immer: Die redaktionellen Standards von W&V gelten für jeden einzelnen Artikel.


Alle Dossiers