Datenschutz:
"Es gibt zu viel gefährliches Halbwissen zur DSGVO"
Rechtsanwalt Carsten Ulbricht gilt als renommierter Experte für Online-Recht und digitale Transformation. Mit W&V hat er darüber gesprochen, wie man sich jetzt noch mit kühlem Kopf auf die DSGVO vorbereiten kann.
Foto: Carsten Ulbricht, Bartsch Rechtsanwälte
Rechtsanwalt Carsten Ulbricht von der Kanzlei Bartsch Rechtsanwälte, Karlsruhe und Stuttgart, gilt als renommierter Experte für Online-Recht und digitale Transformation. Seine Schwerpunkte sind IT-Recht, Marken-, Urheber- und Wettbewerbsrecht sowie Datenschutz. Im Rahmen seiner anwaltlichen Tätigkeit berät der promovierte Jurist nationale und internationale Mandanten in allen Rechtsfragen des E- und Mobile Commerce, Big Data, sowie zu allen Themen im Bereich Social Web. Seine Schwerpunkte liegen dabei auf der rechtlichen Prüfung internetbasierter Geschäftsmodelle, datenschutzrechtlichen Themen aber auch dem Umgang mit nutzergenerierten Inhalten. Neben seiner Referententätigkeit berichtet er seit 2007 regelmäßig in seinem Weblog zum Thema Internet, Social Media & Recht nicht nur über neueste Entwicklungen in Rechtsprechung, Diskussionen in der Literatur und über eigene Erfahrungen, sondern analysiert auch Internet Geschäftsmodelle und -projekte auf ihre rechtlichen Erfolgs- und Risikofaktoren.
Für W&V hat Carsten Ulbricht den umfassenden W&V Report Praxis-Check DSGVO verfasst. Mit vielen Tipps, praxisnahen Erklärungen und diversen Musterformularen enthält dieser Report alles, was Unternehmen zur Umsetzung der DSGVO wissen müssen. Mit W&V Online hat er darüber gesprochen, wie man sich jetzt noch mit kühlem Kopf auf die DSGVO vorbereiten kann.
Herr Ulbricht, der Countdown Datenschutzgrundverordnung läuft. Wie erleben Sie die Stimmung bei den Unternehmen?
Derzeit herrscht rund um die Umsetzung der DSGVO eine große Verunsicherung. Neben dem erheblich erhöhten Strafrahmen ist dies auch dem Umstand geschuldet, dass in zahlreichen Diskussionsforen im Internet und Sozialen Medien eine ganze Menge gefährliches Halbwissen verbreitet. Dazu tragen auch einige Berater bei, die im Eigeninteresse oft nur die großen Risiken und erheblichen Unwägbarkeiten anmahnen, statt klar und deutlich zu sagen, was mit welcher Priorität zu tun ist.
Warum fällt es den meisten Unternehmen offensichtlich alles andere als leicht, die Anforderungen der DSGVO umzusetzen?
Bisher wurde der Datenschutz in zahlreichen Unternehmen eher stiefmütterlich behandelt. Das bestehende Datenschutzrecht aus dem Bundesdatenschutzgesetz, welches in zahlreichen Grundlagen der Datenschutzgrundverordnung durchaus ähnlich ist, wurde oft nicht richtig umgesetzt. Unter diesem Vollzugsdefizit leiden zahlreiche Unternehmen, die nun erstmals das 'kleine 1 x 1' lernen und umsetzen müssen. Hinzu kommt, dass der Datenschutz erst einmal als Arbeit empfunden wird, die das eigene Business nicht voranbringt und gerade in Vertrieb und Marketing auch eher als Hemmschuh angesehen wird.
Der Druck der Datenschutzbehörden wird ja über die Androhung empfindlicher Geldstrafen aufgebaut. Ist am 25. Mai, dem Tag, an dem die DSGVO in Kraft tritt, dann tatsächlich Zahltag? Oder auf was müssen sich Unternehmen gefasst machen, wenn sie bis dahin noch nicht durch sind mit den ganzen Anforderungen?
Unternehmen, die die wesentlichen Anforderungen der DSGVO sinnvoll umsetzen, brauchen sich um Bußgelder aus meiner Sicht keine Sorgen zu machen. Die Datenschutzbehörden haben klar kommuniziert, auf was Wert gelegt werden sollte. Neben einer Bestandsaufnahme der eigenen Datenverarbeitungsvorgänge, der Prüfung der Legitimationstatbestände der DSGVO und der Erfüllung der Informationspflichten ist dies vor allem die Dokumentation in einem entsprechenden Verarbeitungsverzeichnis.
Wer ein solches Verarbeitungsverzeichnis vorlegen kann, der dürfte auch für eine Prüfung der Datenschutzbehörden gut aufgestellt sein. Im besten Fall genügt den Datenschutzbehörden die entsprechende Darstellung. Aber auch im worst case, dass einzelne Mängel festgestellt werden, ist eher mit spezifischen Umsetzungsvorgaben zu rechnen als mit Bußgeldern. Was die Bußgelder anbetrifft, ist zudem darauf hinzuweisen, dass in der DSGVO zwar ein sehr weiter Spielraum gegeben wird und durchaus empfindliche Strafen ausgesprochen werden sollen, in der Verordnung aber natürlich auch steht, dass Bußgelder im Hinblick auf die Größe des Unternehmens und die Schwere des Verstoßes verhältnismäßig sein müssen.
Man kann bei den ersten Bußgeldern also damit rechnen, dass diese gerichtlich überprüft werden und sich mit der Zeit eine sinnvolle Praxis herausbilden wird.
Sehen Sie auch Vorteile für Unternehmen in dem ganzen Procedere?
Die Bestandsaufnahme, die die DSGVO notwendig macht, führt bei zahlreichen Unternehmen dazu, dass die eigenen Datenverarbeitungsvorgänge erstmals richtig angefasst werden. Dies schafft neben der Umsetzung der Regularien die notwendige interne Transparenz im Umgang mit personenbezogenen Daten. Daraus entstehen teilweise neue Möglichkeiten, gerade im Bereich mehrerer Konzernunternehmen.
Zudem kann die DSGVO für Klarheit sorgen über die eigenen Datenverarbeitungsvorgänge und Schaffung von Transparenz gegenüber den eigenen Nutzern und Kunden – gerade in Zeiten vermehrter Datenskandale und zunehmender Sensibilität für den Schutz der eigenen Daten – und sie kann Vorteile im Wettbewerb mit anderen, gerade auch US-amerikanischen Firmen bringen.
Wer bis jetzt noch nichts in Angriff genommen hat in Sachen DSGVO – was raten Sie da? Hat man da überhaupt noch eine Chance?
Da die Umsetzung der DSGVO alternativlos ist und die Nichtumsetzung nicht unerhebliche Risiken birgt, nützt es nichts 'den Kopf in den Sand zu stecken'. Unternehmen, die tatsächlich noch nichts getan haben, sollten die wesentlichen Maßnahmen priorisieren und sinnvoll abarbeiten. Anhaltspunkt könnte meine 10-Punkte Checkliste aus dem W&V Report Praxis-Check DSGVO sein.
Um Prüfungsanlässe durch Datenschutzbehörden zu vermeiden, sollten insbesondere die Maßnahmen umgesetzt werden, die eine Außenwirkung haben wie die Anpassung der eigenen Datenschutzerklärung oder anderer Einwilligungserklärungen. Das heißt gleichwohl natürlich nicht, dass die anderen Vorgaben nicht auch zu erfüllen sind. Wer sich aber zeitnah mit den neuen Anforderungen aus der DSGVO auseinandersetzt, sollte – je nach Größe des Unternehmens und Verfügbarkeit der notwendigen Ressourcen – in der Lage sein, die wesentlichen Vorgaben innerhalb von vier bis sechs Wochen umzusetzen.
