Die EU-DSGVO ist da – und die Welt dreht sich weiter!

Es ist tatsächlich passiert – die Neuregelung der EU-DSGVO ist am 25.05.2018 in Kraft getreten. Ähnlich viel Wirbel hat der Wechsel in das Millennium mit sich gebracht, viele Prognosen, negative Erwartungen und schlimmste Befürchtungen kursierten durchs Netz, gefolgt mit einer Menge von Unklarheiten und Unsicherheiten.
Es war nahezu spannend zu beobachten, welche dubiosen Angebote zur Absicherung drohender Rechtsfolgen das Netz durchliefen. Auch in unserem Kunden- und Bekanntenkreis wurde viel über den Stichtag, Nutzen und Strafen bei Nichterfüllung der Auflagen diskutiert.
Schon immer sind wir der Auffassung, dass Panik ein schlechter Berater ist und haben unseren Kunden bewusst dazu geraten, die Umsetzung der EU-DSGVO pragmatisch anzugehen. Unfraglich musste zu besagtem Stichtag das Impressum sowie eine Datenschutzerklärung konform der neuen Anforderungen auf die Homepage platziert werden. Ungern möchten wir all diejenigen unterstützen, die ihre Aufgabe darin sehen, anderen Personen und Unternehmen durch windige Abmahnungen das verdiente Geld aus der Tasche zu ziehen. Erfreulicherweise will die Unionsfraktion noch vor der Sommerpause ein gesetzliches Verbot von Abmahnungen wegen Verstößen gegen die EU-DSGVO zu beschließen. Allerdings gilt der Schutz nicht von Dauer, vielmehr soll eine „Schonfrist“ für 12 Monate und Aussetzung der Abmahngebühr Unternehmen bei unbewussten Verstößen vor hohen Strafen durch Abmahnungen schützen.
Die EU-DSGVO hat eine mehr als notwendige Daseinsberechtigung, wie zuletzt der Datenskandal um Facebook und Cambridge Analytica zweifelsfrei belegen. Auch der Missbrauch von nicht freigegeben Bild- und Filmaufnahmen, die kommerzielle Nutzung von personenbezogenen Daten muss kontrolliert, dokumentiert und löschbar gemacht werden. Dass die Startphase von vielen Unklarheiten und Grauzonen begleitet wird, ist verständlicherweise verwirrend und ärgerlich – diese werden sich mit Sicherheit in den nächsten Monaten klären und damit für Gewissheit in der Handhabung der Handlungsweisen sorgen.
Die EU-DSGVO ist aber – was vielen nicht klar ist – viel mehr als die Neufassung des Impressums und der Datenschutzerklärung. Unternehmen und von der Neuregelung Betroffene müssen in einem Verzeichnis die Übersicht über die Verarbeitungstätigkeiten personenbezogener belegen, die technischen und organisatorischen Maßnahmen hierzu belegen, die Koordination dieser Daten festlegen sowie Sicherstellen, wie Anfragen und Auskünfte zu diesen Daten bereitgestellt werden können. Zudem müssen Fristen zur Löschung personenbezogener Daten überwacht (und natürlich eingehalten) werden.
Unternehmen, bei den mehr als 9 Personen mit personenbezogenen Daten in Kontakt kommen, sind gesetzlich dazu verpflichtet, einen Datenschutzbeauftragter zu ernennen. Bitte beachten Sie auch, dass auch diejenigen Personen, die extern mit ihren Daten arbeiten (z.B. Steuerberater, Personaldienstleister, Lohnabrechnung) zu der Gesamtpersonenzahl gerechnet werden müssen.
Ein Datenschutzbeauftragter darf nicht im Interessenskonflikt zwischen seiner beruflichen Tätigkeit und den Aufgaben als Datenschutzbeauftragter stehen – daher sind Geschäftsführer, Personalleitung, Personalsachbearbeiter, IT-Leiter, IT-Administratoren sowie IT-Sicherheitsbeauftragte nicht zulässig. Datenschutzbeauftragte müssen über die fachliche Eignung sowie die an diese Aufgabe gestellte zuverlässige Arbeitsweise verfügen. Oftmals ist die Beauftragung eines externen Datenschutzbeauftragten, der über tagesaktuelles Know How und Erfahrung in der Herangehensweise verfügt, günstiger und effizienter als eine interne Besetzung. Sehr gerne beraten wir Sie zu diesen Möglichkeiten.