Datenschutzgrundverordnung (DSGVO) – ein Rückblick auf 100 Tage


Seit dem 25. Mai 2018 gilt in allen 28 Mitgliedstaaten der EU einheitlich die europäische Datenschutzgrundverordnung. Eine Verordnung hat direkt gesetzgebenden Charakter. Darauf aufbauend konnten einzelne Mitgliedsstaaten Sonderregelungen zusätzlich verabschieden. Diese zusätzlichen Gesetze dürfen jedoch das Schutzniveau nicht verringern. Deshalb hat Deutschland das bereits vorher bestehende Bundesdatenschutzgesetz (BDSG) neu formuliert. Das BDSG neu gilt ebenfalls seit Inkrafttreten der DSGVO.

Im Vorwege der Einführung Ende Mai wurde viel geschrieben. Viele Themen lanciert. Leider war darunter auch vieles, das in den Bereich von „Fake News“ fällt. Viele Meldungen, insbesondere im Internet und den sozialen Medien, stimmten einfach nicht.

Was hat sich tatsächlich zum 25. Mai für Unternehmen geändert?

Im Grunde genommen in der Praxis nicht viel. Das Entscheidende ist eine andere Rechtsposition, und zwar die Umkehr der Beweislast. Nach dem nunmehr geltenden Recht hat das Unternehmen zu beweisen, dass es alles richtig macht und die Verarbeitung von personenbezogenen Daten DSGVO-konform abläuft.

Das bedeutet für Unternehmen konkret:

  • Es ist definitiv mehr zu dokumentieren.
  • Sinnvollerweise hat jedes Unternehmen dafür ein Datenschutzkonzept.
  • Die Informations- und Auskunftspflichten gegenüber Betroffenen sind zu organisieren.
  • Die Abläufe der Meldepflichten bei Datenpannen sind neu.

Das ist alles pragmatisch und mit Augenmaß lösbar.

Vor der Einführung der DSGVO hatten alle befürchtet, dass die modernen Raubritter des Wirtschaftslebens, die Abmahn-Anwälte, die neuen Gesetze nutzen würden, um Kasse zu machen. Nach anfänglichen regionalen einzelnen Wellen ist die große Flut von Abmahnungen ausgeblieben. Dies ist möglicherwiese auch darauf zurückzuführen, dass ein Bundesland eine Gesetzesinitiative auf den Weg gebracht hat, um dies zu unterbinden.

Ist dies aber eine Entwarnung, um sich nicht um den Datenschutz kümmern?! Ein klares: „Nein!“

Denn die Verbraucher, Kunden, Mitarbeiter und andere Betroffene sind sehr viel besser aufgeklärt als früher.

Kent Schwirz ist Vorstand der WENZA Deutschland AG und dort verantwortlich für die Leistungen im Bereich des Datenschutzes. Seine Erfahrung zeigt: „Im Rahmen unserer Betreuungsverträge nutzen unsere Datenschutzkunden die kostenfreie Telefon-Sprechstunde, um aktuelle Fälle zu besprechen und zu klären. Täglich erreichen uns 30 bis 50 Datenschutzfragen aus den Unternehmen und Praxen vor Ort.“

Drei Fälle aus der Praxis zeigen die Bandbreite der Anfragen:

  1. Erpresser-Malware
    Ein medizinisches Versorgungszentrum (MVZ) nutzt Office365 als Cloud-Lösung. Bei einer Auslandsreise eines Oberarztes, wählte er sich in einem Hotel in seinen Office-Account ein. Wegen des unzureichenden Schutzniveaus seiner Firewall infizierte sich der Rechner mit einer Erpresser-Malware. Eine E-Mail mit der Schadsoftware ging an das gesamte Adressbuch mit insgesamt circa 1.500 Empfängern weltweit.Zunächst bedeutete dies einen Imageschaden sondergleichen für das MVZ. Weil das Unternehmen wenige hundert Euro für die Datensicherheit sparen wollte, musste es nun alle seine – auch internationalen – Kontakte behelligen.Auch stellte sich die Frage: Ist dies bereits eine meldepflichtige Datenschutzpanne?Das IT-Sicherheitsteam konnte per Fernzugriff ins Ausland die Schadsoftware isolieren. Die Empfänger wurden ebenfalls mehrsprachig informiert. So konnten größere Folgeschäden vermieden werden.
  2. Auskünfte notwendig?!
    Ein Patient stellte sich bei einem Röntgenarzt vor. Wegen fehlender Unterlagen wurde jedoch keine Befundnahme durchgeführt. Drei Wochen später kam ein Fax mit einer Beschwerde des Patienten, dass mit ihm hinsichtlich des Datenschutzes bei dem Vorstellungsgespräch nicht richtig umgegangen wurde. Er forderte die Röntgenpraxis auf, man möge ihm mitteilen, was von ihm gespeichert wurde, wie diese Daten gespeichert werden, wie die Sicherungsmechanismen funktionieren und an wen bereits diese Daten weitergeleitet wurden. Solche Briefe (Stichwort: „Albtraum-Briefe bei Google“) kommen in der Telefon-Sprechstunde der WENZA täglich an.Zunächst ist zu sagen: Ja, die Betroffenen haben das Recht auf Beantwortung ihrer Fragen, und zwar innerhalb eines Monats.Standardmäßig beantwortet die Telefon-Sprechstunde der WENZA solche Anfragen rechtssicher. Nach Überprüfung der Legitimation erhalten Betroffene immer die Auskunft der gespeicherten Daten sowie das Datenschutzkonzept, das transparent die Verfahren der Verarbeitung personenbezogener Daten beschreibt.Außerdem konnte diesem Betroffenen bestätigt werden, dass inzwischen alle Daten von ihm gelöscht wurden.
  3. Sind 17-Jährige selber verantwortlich?
    Ein 17-jähriger Schüler war bei seinem Allgemeinarzt und bat die Sprechstundenhilfe, die Krankmeldung direkt an die Schule zu faxen. Dieser Bitte wurde nachgekommen. Einen Tag später kam die schriftliche Beschwerde der Mutter, dass sie nicht gefragt wurde und auch nicht ihre Einwilligung erteilt hatte.Wäre dies notwendig gewesen? Nein! Nach einem Aufklärungs-Telefonat zwischen dem Datenschutzbeauftragten und der aufgeregten Mutter konnte auch dieses „Ticket“ wieder geschlossen werden.

Diese drei Fälle bestätigen, dass Datenschutz vor allem immer ein interdisziplinäres Team erforderlich macht. Die folgenden Kompetenzen müssen in der Praxis zusammenspielen:

  • Organisationsberater, die sich gut auf andere einstellen und kommunizieren können
  • Rechtsanwälte mit spezifischem Fachwissen des Medien- und Datenschutzrechts
  • IT-Spezialisten, die sich wirklich mit den neuen Anforderungen auskennen

Haben Sie Fragen zum Thema? – Das Datenschutz-Team der WENZA hilft Ihnen gern.

 

Related Posts