Mittlerweile sollten es auch die letzten Unternehmen gemerkt haben, dass mal wieder etwas losrollt - und nervt. Das Internet und einschlägige Websites schmeißen mit dem Wort Datenschutz um sich wie sonst nur mit Ausdrücken wie Sondierung und GroKo. Ein Hype? Blinder Aktionismus? Mitnichten. Lediglich ein Zeitpunkt bestimmt den Grad der Werbewelle und Informationsflut zu diesem Thema: der 25. Mai 2018, der D-Day (Datenschutz-Tag).
EU-DSVO: das passiert am 25. Mai 2018
Der 25. Mai 2018 ist der Stichtag für das Inkrafttreten der EU-Verordnung 2016/679 des europäischen Parlaments und des Rates. Darin beschrieben ist die neue EU-Datenschutz-Grundverordnung EU-DSGVO.
Ja gut, wird mancher denken, haben wir da nicht Zeit wie beim letzten Mal? Leider nicht. Beim "letzten Mal" war es eine Richtlinie (95/46/EG). Das bedeutete, dass diese erst einmal durch alle EU-Staaten in nationales Recht umgesetzt werden musste. In Deutschland hieß diese Umsetzung Bundesdatenschutzgesetz. Jetzt aber ist es eine Verordnung, die unmittelbar für alle Staaten der EU ab dem Stichtag gilt. Lediglich über einige wenige Öffnungsklauseln dürfen die Staaten die Verordnung näher bestimmen und zur Verdeutlichung Dinge ergänzen, aber keinesfalls anpassen oder gar einschränken.
Ja, aber das hat uns keiner gesagt. Irrtum. Die EU-DSGVO wurde bereits vor zwei Jahren, am 27. April 2016 erlassen (und seither gilt sie und wurde auch nicht verändert), das deutsche Bundesdatenschutzgesetz neue Fassung ist seit dem 30. Juli 2017 im Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG-EU) zu finden und tritt zeitgleich mit der Verordnung am 25. Mai 2018 in Kraft. Daher funktionieren Ausreden diesmal nicht.
Okay, okay. Was haben wir bisher gemacht? Nun, in der Risikoabschätzung haben wir ein mögliches Bußgeld einkalkuliert und zurückgehalten. Das waren doch nur Ordnungswidrigkeiten, und die waren zudem auch nur bei Fahrlässigkeit und Vorsatz fällig. Und der Strafrahmen beträgt 50.000 Euro bzw. 300.000 Euro. Soviel hat aber doch nie einer bezahlt. Und die Höhe des Bußgeldes wird außerdem gemessen an dem wirtschaftlichen Vorteil, den die Verletzung einem Unternehmen gebracht hat. Wir haben aber immer hübsch aufgepasst und Vorteile aus Datenschutzverletzungen hätten wir ohnehin nie gewollt. Das Motto: Lass' uns mal 10.000 Euro für eventuelle Bußgelder zurückhalten - war durchaus realistisch.
Das haben die Jungs bei der EU wohl auch gemerkt, als sie als Rahmen eben mal Folgendes festgelegt haben: Statt der 50.000 Euro nehmen wir ab sofort zwei Prozent des weltweiten Jahresumsatzes eines Unternehmens oder 10.000.000 Euro und statt der 300.000 Euro vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder 20.000.000 Euro. Ja gut, zwei Prozent ist schon ein Wort, aber das sind ja bei uns niemals 10 Millionen. Das haben sie auch gemerkt und schnell noch dazu geschrieben: je nachdem, welcher der Beträge höher ist. Das bedeutet, dass auch für kleine und mittelständische Unternehmen diese 10 und 20 Millionen Euro als Rahmen gelten.
Diese Strafen drohen wirklich
Aber das können die doch nicht machen - keine Panik, machen die auch nicht. Das europäische Parlament und der Rat müssen schon jeden Einzelfall auf die Verhältnismäßigkeit prüfen. Nur eben mit neuer Obergrenze. Und mal ehrlich, diese ist für die meisten Unternehmen doch schon ganz schön hoch.
Ach ja, und haben wir schon folgendes aus dem Gesetz zitiert (die Formulierung ist auch neu und es steht zu vermuten, dass sie darauf auch besonders stolz sind): Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen […] in jedem Einzelfall wirksam, […] und abschreckend ist. Nachzulesen in Artikel 83 EU-DSGVO.
Huch, die können jetzt? Ja, sie können und sie werden, denn der Schutz der personenbezogenen Daten ist von hohem öffentlichen Interesse und der muss jetzt endlich mal verlässlich und in der gesamten EU durchgesetzt werden (ja, dazu gehören zurzeit auch noch die Briten).
Das bedeutet weiter, dass das Risiko nicht mehr kalkulierbar bleibt. Die Strafen sollen weh tun, sie sollen empfindlich sein und das werden sie! Und weil jede Maßnahme, die ergriffen wird und der EU-DSGVO Rechnung trägt mildernd berücksichtigt wird, ist nichts tun und abzuwarten jetzt echt keine Alternative mehr. Fangt also an! Und wer schon angefangen hat: Guck' nach, ob es noch passt.
(Kleiner Tipp dazu: Gemäß Artikel 13 EU-DSGVO müssen alle Einwilligungen neu eingeholt werden…igitt…)
Ja, hat denn diese Aufsichtsbehörde nicht genug zu tun? Müssen die ausgerechnet uns finden? - Nö.
Gut, die Damen und Herren in Bonn rüsten gerade doch ein wenig strukturell und personell auf, weil sie jetzt auch mehr Pflichten haben. Ach so: Die in Deutschland zuständige Behörde ist "Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit" als eine oberste Bundesbehörde mit Sitz in Bonn nach §§ 8, 69 (1) BDSG n.F. Und die haben ja auch noch ihr gut funktionierendes Netzwerk aus Landesdatenschutzbehörden, an die sie alles Mögliche delegieren können.
Lesetipp: Unternehmen nehmen DSGVO auf die leichte Schulter
Gefahr droht von Wettbewerbern
Und die Beamten und Angestellten rennen nun auch nicht am 25. Mai 2018 ab Mitternacht rum, um jemandem ein empfindliches Bußgeld anzuhängen. Das dauert also noch ein wenig, bis sie auf den Trichter kommen, dass ihnen viel mehr Unternehmen einen Datenschutzbeauftragten hätten benennen oder eine Datenschutzfolgeabschätzung hätten vorlegen müssen. Bis sich das eingespielt hat, hätten wir also doch noch ein wenig Aufschub. Dummerweise müssen die Datenschützer ihre systematische Suche nach Datenschutzverletzern immer dann unterbrechen, wenn ihnen etwas zugetragen wird und sie Kenntnis davon erlangen.
Und was soll das sein? Zum Beispiel eine Abmahnung eines neidischen Konkurrenten, der schon etwas in Sachen EU-DSGVO unternommen hat, was ihn viel Geld gekostet hat und Sie eben nicht. Und diesen Vorteil gönnt er Ihnen nicht. Da reicht ja vermutlich mal ein Blick auf Ihre Website oder die Bestellung eines Newsletters bei Ihnen, um mal zu gucken, ob die Texte zur Einwilligung und zum Datenschutz so sind, wie es die Verordnung fordert. Oder so ein unzufriedener Ex-Mitarbeiter mit Hang zum Petzen; aber sie waren ja immer nett zu allen, oder? Angst? - Das tut uns leid. Wenn Sie mit uns darüber reden wollen, meine Kontaktdaten finden Sie oben über diesem Artikel.
Lesetipp: Auf dem Weg zur DSGVO-Compliance