... wie die ab dem 25. Mai 2018 anzuwendende Europäische Datenschutz-Grundverordnung (DSGVO) umzusetzen ist.
Erinnern Sie sich noch an die Schlagzeilen, dass aufgrund der DSGVO Klingelschilder abzumontieren seien? Oder dass Ärzte ihre Patienten nur noch mit Namen ansprechen dürften, wenn es kein anderer hören könnte? Hinzu kam die Angst vor hohen Bußgeldern bei Verstößen und Schadensersatz bei Datenpannen. Es wurde praktisch das Ende der Wirtschaft beschworen, insbesondere aufgrund der in Artikel 83 Absatz 5 der DSGVO angedrohten Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Ehrlicherweise wurden nie die Wörter „bis zu“ betont oder die Tatsache, dass die Bußgeld-Verhängungen dabei verhältnismäßig, den Umständen des Einzelfalls entsprechend unter anderem nach Art, Schwere und Dauer des Verstoßes erfolgen muss.
Damit dürfte eigentlich klar sein, dass Datengigant wie Facebook oder Google sicher mit anderen Bußgeldhöhen zu rechnen haben als bspw. der kleine Tante Emma Laden von nebenan.
Jedenfalls war die Aufregung letztes Jahr groß. Nun scheint um die DSGVO etwas Ruhe eingekehrt zu sein. In der Bevölkerung ist der Datenschutz deutlich stärker ins Bewusstsein getreten, zumal auch das aufgetreten ist, was viele Unternehmen im Frühjahr 2018 befürchtet hatten:
Laut einer Umfrage des Handelsblattes im Februar 2019 seien in Deutschland in 41 Fällen Bußgelder verhängt worden, die meisten davon in Nordrhein-Westfalen (33). Die Verstöße waren unterschiedlicher Natur. Hier sei es um unzulässige Werbemails, aufgenommene Telefonate und offene E-Mail-Verteiler gegangen (Quelle: Handelsblatt). In Frankreich sollte Google wegen eines Verstoßes gegen die DSGVO tatsächlich 50 Millionen Euro Strafe zahlen.
Auch bei den Energieversorgungsunternehmen, die im Rahmen ihrer Geschäftsprozesse täglich personenbezogene Kundendaten bearbeiten, besteht in Teilen noch Unsicherheit, wie bzw. in welchem Umfang die DSGVO im Tagesgeschäft umzusetzen ist. Von Bußgeldern ist bis heute keine Rede und auch die Anzahl der Kundenanfragen zur Beauskunftung und Löschung personenbezogener Daten hält sich nach Aussage der EVUs gering.
Einige Unternehmen scheinen daher noch auf Lücke zu setzen und hoffen, dass sie so durchkommen ohne den für die Umsetzung der DSGVO-Anforderungen erforderlichen Aufwand zu betreiben. Die mit der Umsetzung einhergehenden umfassenden Dokumentations-, Informations- und Rechenschaftspflichten würden zu Mehraufwand führen und zusätzliche Mitarbeiterressourcen binden.
„Man müsste das Unternehmen schließen oder auf das Tagesgeschäft verzichten, um die DSGVO umzusetzen“ heißt es bei einigen EVU-Mitarbeitern.
Einige Vorstände hingegen erkennen, dass die „Schonzeit“ möglicherweise bald vorbei ist und die Aufsichtsbehörden wahrscheinlich nur ein bisschen Vorlauf brauchten, um richtig Fahrt aufzunehmen und machen daher Druck auf ihre Mitarbeiter mehr für die DSGVO zu tun. Die Meinungen scheinen hier also noch auseinander zu gehen.
Die Entwicklungen in Gesetzgebung und Rechtsprechung sollten auf jeden Fall weiter beobachtet und in den Unternehmen entsprechend umgesetzt werden. Wenn die zuständige Aufsichtsbehörde an die Tür klopft und ein Unternehmen kein Konzept oder klare Verantwortlichkeiten und Prozesse zur Datenlöschung etc. vorweisen kann, kann es schnell teuer werden. Dass die Einführung IT-unterstützer Lösungen, beispielsweise für das automatisierte Sperren und Löschen von Daten, nicht mal eben umzusetzen ist, wissen ja auch die Datenschutz-Experten.
