Interview EU-DSGVO – Was kommt jetzt auf Unternehmen zu?

Redakteur: Georgina Bott

EU-DSGVO – diese Abkürzung dürfte jetzt auch den Letzten leicht über die Lippen gehen. Die Übergangsfrist für die Datenschutz-Grundverordnung (DSGVO) ist abgelaufen. Was kommt nun auf Unternehmen zu? Fachanwalt Cornelius Matutis im Interview.

Firmen zum Thema

Fachanwalt Cornelius Matutis erklärt im Interview was in Sachen DSGVO in Zukunft auf Unternehmen zukommt.
Fachanwalt Cornelius Matutis erklärt im Interview was in Sachen DSGVO in Zukunft auf Unternehmen zukommt.
(Bild: gemeinfrei / CC0 )

In den letzten Wochen vor Inkrafttreten der EU-DSGVO war das Thema immer wieder in den Medien und vor allem im Unternehmensalltag vertreten. Welche typischen Irrtümer dabei aufgekommen sind, worauf Unternehmen besonders achten sollten und was bei falscher Umsetzung passieren kann, verrät Cornelius Matutis, Fachanwalt für gewerblichen Rechtsschutz aus Potsdam, im Interview.

Was sind aus Ihrer Sicht die typischen Irrtümer zur DSGVO?

Cornelius Matutis: Der größte Irrtum ist der, dass man davon ausgeht, die DSGVO würde tatsächlich auch unternehmensbezogene Daten umfassen. Dies ist jedoch gerade nicht der Fall. Auch entsprechende Verarbeitungsverzeichnisse, die zu führen sind, beziehen sich immer nur auf die Verarbeitung von personenbezogenen Daten. Wenn ein Unternehmen ausschließen könnte, dass es entsprechende Daten von natürlichen Personen verarbeitet, dann bräuchte es auch nicht ein solches Verzeichnis zu führen. Wobei natürlich jedes Unternehmen auch eigene Mitarbeiter hat und allein wegen der Personalverwaltung diese erforderlich ist.

Fast jedes Unternehmen hat heutzutage einen Internetauftritt. Auch hierüber werden personenbezogene Daten verarbeitet, da ja zumindest eine IP Adresse und die Uhrzeit automatisch gespeichert werden, da die Internetseiten sonst nicht funktionieren würde.

Worauf sollten Unternehmen bei der Umsetzung der DSGVO besonders achten?

Als erstes muss jedes Unternehmen die nach außen sichtbaren Bereiche der Umsetzung der DSGVO in Angriff nehmen. Es ist somit zwingend Priorität 1, die Internetseite im Rahmen der Außendarstellung durch eine ordnungsgemäße Datenschutzerklärung, die der aktuellen Rechtslage entspricht und die die entsprechenden Tools aufführt, auf der Internetseite genutzt werden, zu aktualisieren.

Die nächste Priorität wäre dann die Erstellung von Verfahrensverzeichnissen, um sich so einen Überblick über den Umfang von personenbezogenen Daten, die innerhalb des Unternehmens verwendet und gegebenenfalls weitergegeben werden, zu verschaffen. Innerhalb der Verarbeitungsverzeichnisse wird man sich Gedanken machen, ob eine Datenweitergabe beziehungsweise ein Datenempfang von Dritten erfolgt und deswegen Verträge zur Auftragsverarbeitung, früher Auftragsdatenverarbeitung, erforderlich sind.

Dann wäre der übliche Gang, dass man sicherstellt, dass diese Verträge vorhanden sind und dass das Vorhandensein der Verträge auch innerhalb der Verarbeitungsverzeichnisse aufgeführt wird. Wer ein entsprechendes Verarbeitungsverzeichnis für jede Verarbeitungstätigkeit gewissenhaft ausfüllt, wird dadurch auch alle Positionen, die datenschutzrechtlich relevant sind, innerhalb eines Unternehmens aufdecken und kann diese dann durch entsprechende Dokumentation absichern.

Der Vorteil im Verhältnis zur alten Rechtslage ist, dass es nicht mehr ein Verfahrensverzeichnis gibt, sondern lediglich diese nun nur noch gegenüber der Behörde offenzulegenen Verzeichnisse der Verarbeitungstätigkeiten. Somit können weder Konkurrenten noch sonstige Dritte in eine veröffentlichte Dokumentation Einsicht nehmen und können außerhalb der kommunizierten Datenschutzerklärung und einer bestehenden Verschlüsselung der Internetseite und möglicherweise zu weitgehenden Kontaktformularen, welche mehr als die erforderlichen Daten abfragen, keine Anhaltspunkte feststellen, ob der Konkurrent tatsächlich die DSGVO innerhalb des Unternehmens schon komplett umgesetzt hat. Daher ist ein deutliches Augenmerk auf Websites first zu setzen.

Der 25. Mai ist vorbei. Hilfe, wir sind nicht fertig! Was kann uns passieren?

Wenn die Umsetzungsfrist abgelaufen ist, können Sie wegen der Außendarstellung jederzeit abgemahnt werden. Und es besteht das Risiko, dass eine Behörde von ihrem Einsichtsrecht Gebrauch macht und Sie keinerlei Verarbeitungsverzeichnis vorlegen können. Letzterer Fall wäre bußgeldbewehrt, wird aber wohl kaum eintreten, weil die Behörden selbst mit der Umsetzung etwas überfordert sind. Es ist eher damit zu rechnen, dass sie innerhalb der nächsten Monate vor allem auf Betroffenenbeschwerden hin tätig werden.

Als Unternehmen mit mehr als 10 Beschäftigten und einer automatisierten Verarbeitung von personenbezogenen Daten werden Sie einen Datenschutzbeauftragten benennen müssen und dieser muss gegenüber der Behörde angezeigt werden. Mit der Verarbeitung dieser Anzeigen werden die Behörden in den nächsten Wochen noch beschäftigt sein. Darüber hinaus müssen Unternehmen innerhalb von 72 Stunden, nachdem eine Datenpanne passiert, diese selbständig melden. Auch diese Meldungen werden die Behörden in der nächsten Zeit sicherlich zunächst beschäftigen.

Wenn also keine Datenpanne passiert, die Außendarstellung durch eine entsprechende Datenschutzerklärung auf der Website abgesichert ist und wenn man zudem nicht verpflichtet ist, einen Datenschutzbeauftragten gegenüber der Behörde zu benennen, dürfte es nach dem 25. Mai eher lange ruhig bleiben. Ist die Rechtslage später einigermaßen gefestigt, wird die Behörde selbst dazu übergehen, Kontrollen durchzuführen. Wobei auch hier nach bisherigem Erfahrungsstand der Weg zuerst über die Internetseiten der Unternehmen führen wird beziehungsweise man sich an Betroffenenbeschwerden orientieren wird.

Abmahnung auf dem Tisch – Was ist zu tun?

Eine Abmahnung wird man nur deshalb erhalten können, weil die Außendarstellung nicht der neuen Rechtslage entspricht oder weil eine E-Mail versandt wurde ohne dass eine Einwilligung des Empfängers vorlag. In beiden Fällen wird man nicht umhinkommen, zu prüfen, ob der dortige Sachverhalt zutrifft und ob der, der die Abmahnung ausspricht, dazu berechtigt ist.

Sind beide Fragen mit Ja zu beantworten, wird man zur Minimierung eines Risikos in Vergleichsverhandlungen eintreten und möglicherweise eine modifizierte Unterlassungserklärung abgeben. Lediglich bei Verstößen, die ein hohes Risiko einer Wiederholung in sich bergen, ist es ratsam, durch Verhandlungen zu versuchen, ein Verpflichtung zur Abgabe einer strafbewehrten Unterlassungserklärung zu vermeiden, diese aber nicht abzugeben und stattdessen lieber das Risiko eine Einstweiligen Verfügung einzugehen.

Bei Wiederholung der Tat ist die Haftung in vielen Fällen deutlich geringer als bei einer entsprechenden Vertragsstrafenerklärung. Wichtig ist immer schnell zu reagieren, da die gesetzlichen Fristen sehr kurz sind. Das ist auch berechtigt, da eine Einstweilige Verfügung innerhalb eines Monats ab Kenntnis eines Rechtsverstoßes möglich ist. Daher mein Tipp: Umgehend nach Eingang einer Abmahnung den Sachverhalt komplett aufklären und sich deutlich vor Ablauf der gesetzten Frist mit einem Fachanwalt für gesetzlichen Rechtsschutz in Verbindung zu setzen.

Stichwort Journalisten- und Kundenkontakte: Ist die DSGVO das Ende der Presseverteiler und des E-Mail-Marketings?

Wie oben bereits dargelegt, betrifft die DSGVO nicht die Kontakte von Unternehmen zu Unternehmen, so dass die üblichen Pressekontakte zu richtigen Presseorganen hiervon nicht betroffen sind. Bezüglich des Email-Marketings ist zu beachten, dass wie nach der alten Rechtslage des UWG (Gesetz gegen den unlauteren Wettbewerb) hier unverändert gilt, dass weiterhin nur Emails versendet werden können, für die eine entsprechend Einwilligung vorliegt. Bereits seit mehreren Jahren ist es auch nicht ausreichend, dass man eine Pauschaleinwilligung vorliegen hat, sondern es muss tatsächlich eine Einwilligung in die konkrete Art des Email-Newsletters vorliegen.

Die meisten Unternehmen werden in den letzten Jahren bereits keinen Adresshandel betrieben haben, sondern die Adressen von Kunden selbst generiert haben. Soweit die Einwilligung nach der bisherigen Rechtslage ausreichend war, dürfen diese E-Mail-Verzeichnisse auch weiterhin genutzt werden. Wichtig ist, dass man nachweisen kann, dass und wann der Kunde die Einwilligung zur E-Mail gegeben hat und zwar immer im Zusammenhang mit einem bestimmten Produkt.

Fazit: Wer bisher datenschutzrechtlich ordnungsgemäß gehandelt hat, muss sich kaum umstellen. Der wesentliche Unterschied zwischen der alten und neuen Rechtslage ist, dass man den Umgang mit personenbezogenen Daten dokumentieren muss, so dass das Herzstück jedes Unternehmens das Verzeichnis der Verarbeitungstätigkeiten ist, aus dem sich die Notwendigkeiten für Verträge zur Auftragsverarbeitung und gegebenenfalls die Bestellung eines Datenschutzbeauftragten ergeben.

Cornelius Matutis ist Fachanwalt für gewerblichen Rechtsschutz aus Potsdam.
Cornelius Matutis ist Fachanwalt für gewerblichen Rechtsschutz aus Potsdam.
(Bild: Matutis)

Angela Recino ist Inhaberin der Agentur Bewegte Kommunikation.
Angela Recino ist Inhaberin der Agentur Bewegte Kommunikation.
(Bild: Bewegte Kommunikation)

Über den Interviewpartner

Cornelius Matutis ist Fachanwalt für gewerblichen Rechtsschutz aus Potsdam. Außerdem ist er Autor des im Erich-Schmidt-Verlag erschienenen Praktikerkommentars zum UWG (Wettbewerbsrecht) und Autor des in der Reihe „Deutsche Gesetze Kommentar“ veröffentlichten DG-Kommentar zum UWG. Cornelius Matutis ist Mitglied der Deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht e.V. (GRUR) und Vorstandsvorsitzender der Interessenvertretung des Onlinehandels e.V.

Über die Autorin
Angela Recino ist Inhaberin der Agentur Bewegte Kommunikation. Die ausgebildete Tageszeitungs-Redakteurin, erfahrene Fachjournalistin und mehrfach prämierte TV- und Videoproduzentin schreibt seit mehr als 20 Jahren für Fachpresse-Medien und Agenturen. Im Auftrag gehobener Mittelständler und internationale Konzerne realisiert Angela Recino mit ihrem Team von Bewegte Kommunikation multimediale Kampagnen im Bereich interne und externe Kommunikation.

(ID:45327232)