Interview

EU-DSGVO – Was kommt jetzt auf Unternehmen zu?

| Redakteur: Georgina Bott

Fachanwalt Cornelius Matutis erklärt im Interview was in Sachen DSGVO in Zukunft auf Unternehmen zukommt.
Fachanwalt Cornelius Matutis erklärt im Interview was in Sachen DSGVO in Zukunft auf Unternehmen zukommt. (Bild: gemeinfrei / CC0)

EU-DSGVO – diese Abkürzung dürfte jetzt auch den Letzten leicht über die Lippen gehen. Die Übergangsfrist für die Datenschutz-Grundverordnung (DSGVO) ist abgelaufen. Was kommt nun auf Unternehmen zu? Fachanwalt Cornelius Matutis im Interview.

In den letzten Wochen vor Inkrafttreten der EU-DSGVO war das Thema immer wieder in den Medien und vor allem im Unternehmensalltag vertreten. Welche typischen Irrtümer dabei aufgekommen sind, worauf Unternehmen besonders achten sollten und was bei falscher Umsetzung passieren kann, verrät Cornelius Matutis, Fachanwalt für gewerblichen Rechtsschutz aus Potsdam, im Interview.

Was sind aus Ihrer Sicht die typischen Irrtümer zur DSGVO?

Cornelius Matutis: Der größte Irrtum ist der, dass man davon ausgeht, die DSGVO würde tatsächlich auch unternehmensbezogene Daten umfassen. Dies ist jedoch gerade nicht der Fall. Auch entsprechende Verarbeitungsverzeichnisse, die zu führen sind, beziehen sich immer nur auf die Verarbeitung von personenbezogenen Daten. Wenn ein Unternehmen ausschließen könnte, dass es entsprechende Daten von natürlichen Personen verarbeitet, dann bräuchte es auch nicht ein solches Verzeichnis zu führen. Wobei natürlich jedes Unternehmen auch eigene Mitarbeiter hat und allein wegen der Personalverwaltung diese erforderlich ist.

Fast jedes Unternehmen hat heutzutage einen Internetauftritt. Auch hierüber werden personenbezogene Daten verarbeitet, da ja zumindest eine IP Adresse und die Uhrzeit automatisch gespeichert werden, da die Internetseiten sonst nicht funktionieren würde.

Worauf sollten Unternehmen bei der Umsetzung der DSGVO besonders achten?

Als erstes muss jedes Unternehmen die nach außen sichtbaren Bereiche der Umsetzung der DSGVO in Angriff nehmen. Es ist somit zwingend Priorität 1, die Internetseite im Rahmen der Außendarstellung durch eine ordnungsgemäße Datenschutzerklärung, die der aktuellen Rechtslage entspricht und die die entsprechenden Tools aufführt, auf der Internetseite genutzt werden, zu aktualisieren.

Die nächste Priorität wäre dann die Erstellung von Verfahrensverzeichnissen, um sich so einen Überblick über den Umfang von personenbezogenen Daten, die innerhalb des Unternehmens verwendet und gegebenenfalls weitergegeben werden, zu verschaffen. Innerhalb der Verarbeitungsverzeichnisse wird man sich Gedanken machen, ob eine Datenweitergabe beziehungsweise ein Datenempfang von Dritten erfolgt und deswegen Verträge zur Auftragsverarbeitung, früher Auftragsdatenverarbeitung, erforderlich sind.

Dann wäre der übliche Gang, dass man sicherstellt, dass diese Verträge vorhanden sind und dass das Vorhandensein der Verträge auch innerhalb der Verarbeitungsverzeichnisse aufgeführt wird. Wer ein entsprechendes Verarbeitungsverzeichnis für jede Verarbeitungstätigkeit gewissenhaft ausfüllt, wird dadurch auch alle Positionen, die datenschutzrechtlich relevant sind, innerhalb eines Unternehmens aufdecken und kann diese dann durch entsprechende Dokumentation absichern.

Der Vorteil im Verhältnis zur alten Rechtslage ist, dass es nicht mehr ein Verfahrensverzeichnis gibt, sondern lediglich diese nun nur noch gegenüber der Behörde offenzulegenen Verzeichnisse der Verarbeitungstätigkeiten. Somit können weder Konkurrenten noch sonstige Dritte in eine veröffentlichte Dokumentation Einsicht nehmen und können außerhalb der kommunizierten Datenschutzerklärung und einer bestehenden Verschlüsselung der Internetseite und möglicherweise zu weitgehenden Kontaktformularen, welche mehr als die erforderlichen Daten abfragen, keine Anhaltspunkte feststellen, ob der Konkurrent tatsächlich die DSGVO innerhalb des Unternehmens schon komplett umgesetzt hat. Daher ist ein deutliches Augenmerk auf Websites first zu setzen.

Der 25. Mai ist vorbei. Hilfe, wir sind nicht fertig! Was kann uns passieren?

Wenn die Umsetzungsfrist abgelaufen ist, können Sie wegen der Außendarstellung jederzeit abgemahnt werden. Und es besteht das Risiko, dass eine Behörde von ihrem Einsichtsrecht Gebrauch macht und Sie keinerlei Verarbeitungsverzeichnis vorlegen können. Letzterer Fall wäre bußgeldbewehrt, wird aber wohl kaum eintreten, weil die Behörden selbst mit der Umsetzung etwas überfordert sind. Es ist eher damit zu rechnen, dass sie innerhalb der nächsten Monate vor allem auf Betroffenenbeschwerden hin tätig werden.

Als Unternehmen mit mehr als 10 Beschäftigten und einer automatisierten Verarbeitung von personenbezogenen Daten werden Sie einen Datenschutzbeauftragten benennen müssen und dieser muss gegenüber der Behörde angezeigt werden. Mit der Verarbeitung dieser Anzeigen werden die Behörden in den nächsten Wochen noch beschäftigt sein. Darüber hinaus müssen Unternehmen innerhalb von 72 Stunden, nachdem eine Datenpanne passiert, diese selbständig melden. Auch diese Meldungen werden die Behörden in der nächsten Zeit sicherlich zunächst beschäftigen.

Wenn also keine Datenpanne passiert, die Außendarstellung durch eine entsprechende Datenschutzerklärung auf der Website abgesichert ist und wenn man zudem nicht verpflichtet ist, einen Datenschutzbeauftragten gegenüber der Behörde zu benennen, dürfte es nach dem 25. Mai eher lange ruhig bleiben. Ist die Rechtslage später einigermaßen gefestigt, wird die Behörde selbst dazu übergehen, Kontrollen durchzuführen. Wobei auch hier nach bisherigem Erfahrungsstand der Weg zuerst über die Internetseiten der Unternehmen führen wird beziehungsweise man sich an Betroffenenbeschwerden orientieren wird.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45327232 / Digital)