Derzeit kann sich wohl niemand vor den bösen „5 Buchstaben“ DSGVO retten. Die Änderung des Datenschutzrechts droht mit drakonischen Strafen und erheblichen Risiken durch Abmahnungen von Verbraucherschutzvereinen und Konkurrenten. Mehrere internationale Unternehmen haben auf Grund der DSGVO bereits ihre Tätigkeit in der EU eingestellt.

Doch die Panik ist überwiegend unbegründet. Die DSGVO stellt Unternehmen zwar vor einige Herausforderungen, ist aber keinesfalls der Untergang des Abendlandes.

Dabei kursieren über das neue Datenschutzrecht mehr Gerüchte als Fakten. Mit einigen dieser Gerüchte möchten wir hier kurz und knapp aufräumen:

  1.  Unternehmen dürfen keine Daten mehr ohne Einwilligung verarbeiten.
    Falsch. Personenbezogene Daten (also alle Informationen, mit denen natürliche Personen irgendwie identifiziert werden können) dürfen verarbeitet werden, wenn eine Einwilligung vorliegt. Die Einwilligung ist aber nur eine von sechs möglichen (in Art. 6 DSGVO genannten) Voraussetzungen, unter denen Daten verarbeitet werden dürfen.Weiterhin dürfen Daten – auch ohne ausdrückliche Einwilligung – verarbeitet werden, sofern das „zur Wahrung der berechtigten Interessen“ des Verarbeitenden erforderlich ist (sofern nicht die Interessen des Betroffenen überwiegen). Berechtigte Interessen sind dabei sehr weit zu sehen.
    Auch der Betrieb einer Webseite ist ein berechtigtes Interesse, für das Daten erhoben werden dürfen.
    Richtig ist: Bei jeder Verarbeitung soll darauf geachtet werden, so wenig Daten wie möglich zu nutzen. Außerdem muss der Nutzer darauf hingewiesen werden.

    Eine ordentliche und vollständige Datenschutzerklärung ist daher zwingend notwendig.

  2. Der Fotojournalismus wird aussterben, weil Fotos als biometrische Daten nicht verarbeitet werden dürfen, und man sich nicht die Einwilligung eines jeden Fotografierten einholen kann.
    Das ist auf mehreren Ebenen falsch. Fotografien sind zwar prinzipiell personenbezogene Daten, aber die Verarbeitung von Fotos an sich sollen nicht als biometrische Daten zählen (Erwägungsgrund 51 zur DSGVO).
    Es ist auch bereits unklar, ob das Datenschutzrecht hier überhaupt greift. Die Veröffentlichung von Fotos richtet sich nach den §§ 22, 23 KunstUrhG, die als spezielleres Gesetz möglicherweise vorgehen.Selbst wenn Fotos unter das Datenschutzrecht fallen, ist für Bildjournalismus – wie auch im KunstUrhG – sicherlich ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO) gegeben, wenn nicht sogar eine Verarbeitung für eine Aufgabe, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 lit. e) DSGVO). Fotojournalismus ist also weiterhin möglich.
  3. Für Verstöße gegen die DSGVO werden Strafen von 20 Millionen Euro verhängt
    Das ist theoretisch richtig, aber praktisch für die meisten Unternehmen unwahrscheinlich. Bei Verstößen dürfen die zuständigen Behörden grundsätzlich bis zu 20 Mio. Euro, oder 4% des weltweit erzielten Umsatzes des Unternehmens an Geldbußen verhängen (es zählt dabei die höhere Zahl). Dabei handelt es sich aber um nur um Höchstwerte.Hintergrund ist, dass bisherige Geldbußen meist nicht ausreichend abschreckend auf internationale Konzerne wie Google und Facebook wirken konnten.
    Die deutschen Datenschutzbehörden haben aber bereits angekündigt, Augenmaß walten zu lassen. Es wird voraussichtlich keinem Handwerksbetrieb ein Bußgeld von 20 Millionen Euro drohen, nur weil die Datenschutzerklärung auf der Webseite nicht korrekt ist.

Welche Risiken drohen tatsächlich – und was kann man tun?

Grundsätzlich sollten sich Unternehmen aber spätestens jetzt (eigentlich schon vor einem Jahr) einmal intensiv damit auseinandersetzen, welche Maßnahmen sie treffen müssen. Vom Datenschutzrecht ist grundsätzlich so gut wie jedes Unternehmen betroffen (Kundendaten oder Daten der Mitarbeiter werden überall verarbeitet).

Auch wenn keine riesigen Geldstrafen drohen, so können Mitbewerber und Verbraucherschutzvereine trotzdem Unternehmen wegen Datenschutzverstößen (nach Ansicht mehrerer Gerichte) kostenpflichtig abmahnen.
Mit den oft hohen Streitwerten von um die 20.000,00 € sind dann hohe Rechtsanwaltskosten verbunden (alleine in der ersten gerichtlichen Instanz bis zu 6.000 €).
Daher ist schnelles Handeln gefragt: Die nach außen sichtbaren datenschutzrelevanten Vorgänge (Datenschutz auf der Webseite, die Benennung eines Datenschutzbeauftragten, Newsletter für Kunden) sollten überprüft und gegebenenfalls angepasst werden.

Alle weiteren internen Datenschutzmaßnahmen kann man nach und nach durchführen. Die Anpassung ist durchaus mit Aufwand verbunden, aber machbar.

Fazit:
Die DSGVO ist durchaus zähmbar. Risiken sind insbesondere Abmahnungen durch Konkurrenten. Wichtig ist also, zunächst den Außenauftritt rechtssicher zu gestalten. Alle weiteren internen Vorgänge können dann nach und nach angepasst werden. Man sollte auch damit allerdings nicht mehr zu lange warten.

 

Sie sind sich unsicher ob Sie die Anforderungen der neuen DSGVO korrekt umgesetzt haben?
Oder vielleicht haben Sie sich noch gar nicht richtig mit dem Thema auseinander gesetzt?

Wir helfen Ihnen gerne weiter und beraten Sie ganz individuell. Kontaktieren Sie uns gerne per Mail oder rufen Sie uns an.

Ihr
Sebastian Steinmann
Kanzlei GUNKEL, KUNZENBACHER & PARTNER