Kleine Betriebe haben die größten Probleme mit Datenschutz – Rechtsanwalt Karsten Rößner

Karsten Rößner ist Fachanwalt für Arbeitsrecht mit den Arbeitsschwerpunkten Arbeitsrecht, IT-Recht, Datenschutzrecht, Erbrecht und Mediationen. Im Interview spricht er über die Probleme kleiner Unternehmen datenschutzkonform zu arbeiten.

Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?

Karsten Rößner
Rechtsanwalt

Karsten Rößner: Durchaus. Das gilt aber nur für die Unternehmen, die die bis dahin geltenden Regelungen des Bundesdatenschutzgesetzes noch gar nicht umgesetzt hatten. Diese gelten schon seit vielen Jahren vor In Krafttreten der DSGVO. Wer schon datenschutzkonform nach alter Regelung aufgestellt war, hatte keine Probleme mit der Anpassung an die DSGVO. Leider zeigt die Praxis, dass nur die aller wenigsten Unternehmen vorbereitet waren. Man sollte daher als betroffenes Unternehmen nicht „allzu laut“ schimpfen, weil man sich damit outet, noch nichts weiter unternommen zu haben, was wiederum gefährlich ist. „Angst“ muss man vor Datenschutz nun wirklich nicht haben, es fordert aber den Unternehmen eine Disziplin ab, die unterschiedlich empfunden wird. Das ist dann letztlich auch Typfrage, wie man mit Druck von Außen umgeht. Man lässt sich nicht gerne bevormunden, was aber der DSGVO durchaus anhaftet mit ihren ganzen Dokumentations-, Hinweis- und Überwachungspflichten. Es ist daher zumindest nach meiner Erfahrung in erster Linie diese Abwehr der zusätzlichen Belastungen, weniger eine Angst.

Gibt es viele Fälle wegen Verstößen gegen die DSGVO?

Karsten Rößner: Bezüglich Bußgeldverfahren müssten Sie die Datenschutzbehörden befragen, die haben den Überblick zu den Ermittlungsverfahren. Inhaltliche Verstöße gegen die DSGVO im Alltag gibt es allerdings leider noch heute mehr als genug. Den Datenschützern geht die Arbeit in den nächsten Tagen sicher noch nicht aus.

Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?

Karsten Rößner: Vorzuhalten haben alle Unternehmen in jedem Fall beispielhaft: Verarbeitungsverzeichnisse, Datenschutzerklärungen für Kunden und Webseiten, TOM´s (technische und organisatorische Maßnahmen), Auftragsverarbeitungsvereinbarungen mit Auftragsverarbeitern, Dokumentationen über Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen, Löschungsmanagement, Auskunftmanagement, usw. Betriebsgröße oder Branche sind für die Erfüllungspflicht unerheblich. In manchen Betrieben – auch Kleinbetrieben mit weniger als 20 Personen – muss eine Datenschutzfolgenabschätzung durchgeführt werden, aus der sich dann auch eine Bestellpflicht eines Datenschutzbeauftragten ergibt. Das wissen die meisten (Klein-)Unternehmen nicht, was jedoch vor einer Sanktionierung der Datenschutzbehörden nicht schützt.

Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?

Karsten Rößner: Die DSGVO ist im Mai 2016 verabschiedet worden und wurde zum Mai 2018  „scharf geschaltet“. Es wurde das alte BDSG aufgehoben und zeitgleich durch ein neues BDSG ersetzt. Relevant sind die Änderungen für alle Unternehmen, aber etwa das Gebot der Datensparsamkeit ist nunmehr bußgeldbewehrt, was in Zeiten des alten BDSG bis Mai 2018 nicht der Fall war. Ganze Datenfriedhöfe etwa werden mittlerweile durch die Behörden und Gerichte sanktioniert. Namhafte Beispiele gingen ja zur Genüge durch die Tagespresse. Es kann sich kein Unternehmen vor dem Datenschutz wegdrehen, dafür hat der Gesetzgeber durchaus gesorgt. Übrigens sind unsere europäischen Nachbarn ebenfalls sehr aktiv auf diesem Gebiet und wenig zimperlich, was Sanktionen angeht.

Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?

Karsten Rößner: Die Sensibilität bei Verbrauchern ist durchaus zu merken. Deren Rechte wurden durch die DSGVO ganz enorm gestärkt. Auch ist deutlich zu spüren, dass die Rechtsprechung und die Vorgehensweise der Datenschutzbehörden „nach vorn“ gerichtet ist. Datenschutz ist also im juristischen Alltag längst angekommen. Wir haben durchaus auch zuletzt durch das Schremps II-Urteil des EuGH (Kippen des Privacy Shield) und auch dem engagierten Vorgehens der Datenschutzbehörden gegen Facebook und Co. eine klare Linie.  Selbst in den USA erkennt man langsam, dass Datenschutz Persönlichkeitsschutz bedeutet. Der Bundesstaat Kalifornien etwa versucht den Datenschutz gesetzlich zu normieren, wenn auch nach unseren Maßstäben in nicht ausreichendem Ausmaß. Aber es gibt Bewegung. Ich bin absolut davon überzeugt, dass der Datenschutz in seiner Bedeutung die erforderliche Aufmerksamkeit erfahren wird.

Der Datenschutz ist zwar eine Last für Unternehmen, oberes geht vor allem um die Stärkung der Verbraucher und Betroffenen. Vereinfachungen in der DSGVO sind sicher für die Unternehmen an mancher Stelle zu begrüßen, aber etwa die Schwellenzahl für Unternehmer auf 10 Personen für die Bestellpflicht eines Datenschutzbeauftragten zu senken, wie zuletzt im BDSG durch den deutschen Gesetzgeber, ist schon einigermaßen sinnfrei. Denn das erweckt gerade für die kleinen Unternehmen den fatal falschen Eindruck, Datenschutz sei nur etwas für „die Großen“. Aber gerade die kleinen Betriebe haben die größten Probleme den Datenschutz aus eigener Kraft zu implementieren. Gerade hier wäre eine Hilfestellung durch Datenschutzbeauftragte mehr als sinnvoll. Verbesserungspotenzial ist also da.

Herr Rößner, vielen Dank für das Gespräch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.