Und es geht doch: Leben mit DSGVO
Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Sie zwingt Unternehmen, datensichere Prozesse einzuführen, und erschwert den elektronischen Austausch mit Kunden. Anstrengend? Durchaus. Schlimm? Keineswegs.
Fragen kostet nichts, doch zu viele Fragen nerven. Wer sich im Internet bewegen will, dem werden mitunter so viele (Sicherheits-)Fragen gestellt, dass viele entnervt wegklicken. So war das nicht gedacht mit der Datenschutz-Grundverordnung (DSGVO), die Bürger besser schützen soll. Etwa indem sie verhindert, dass diese ihre Daten allzu eilfertig weitergeben, zum Beispiel an Unternehmen.
Ein Jahr nach Start der DSGVO lässt sich feststellen: Die geschützten Bürger finden den Rundumschutz eher lästig als hilfreich. Und viele Unternehmen sind genervt. Weil sie beispielsweise bei jedem Kunden nachfragen müssen, ob er denn wirklich, wirklich weiterhin den Newsletter erhalten möchte. Und weil Unternehmen intern alle Prozesse so aufsetzen müssen, dass Datenschützer nichts zu mosern haben. Sonst: Abmahnung. Solch eine Abmahnung kann teuer werden: bis zu 20 Millionen Euro oder vier Prozent des Umsatzes.
Angst vor der Abmahnwelle
Mit dieser Keule – Abmahnung! – drohen die Behörden seit dem Sommer 2018, um die Unternehmen zum Handeln zu zwingen. Die Drohung wirkt, die deutschen Unternehmen haben sich an die Arbeit gemacht. Allerdings wissen sie auch ein Jahr nach DSGVO-Einführung keineswegs, ob sie alles richtig umgesetzt haben.
Die 18 Datenschutzaufseher in Bund und Ländern interpretierten die DSGVO „ganz unterschiedlich“, kritisiert etwa Felix Walter vom Start-up-Bundesverband. Dasselbe gelte für die anderen EU-Staaten. Einheitliche Standards innerhalb der Europäischen Union – eines der Ziele der Verordnung – seien bislang nicht zu beobachten.
DSGVO und zwei gute Nachrichten
Trotzdem hat sich die Aufregung gelegt. Dafür sorgen zwei gute Nachrichten. Die erste: Die Abmahnwelle der Datenschützer ist bislang ausgeblieben. Und wer abgemahnt wurde, musste meist „nur“ einige Tausend Euro zahlen – eher Gelbe Karte als Verweis. Die Befürchtungen von Unternehmen, von dubiosen Abmahnkanzleien wegen irgendwelcher DSGVO-Formalien abgezockt zu werden, haben sich weitgehend als unbegründet erwiesen. Gleichwohl stellen sich die Bundespolitiker der Aufgabe, derartiges Winkeladvokatentum künftig gesetzlich zu verhindern. Schließlich geht es um Datenschutz und nicht darum, dass sich Anwälte bereichern.
Die zweite gute Nachricht: So gefesselt, wie anfangs gedacht, sind die Unternehmen keineswegs. Natürlich müssen die internen Prozesse stimmen, muss Datenschutz mit entsprechendem Ernst und Budget umgesetzt werden. „Kein Verantwortlicher in Wirtschaft und Staat kann sich heute noch darauf berufen, von datenschutzrechtlichen Pflichten nichts gehört zu haben“, sagt daher Peter Schaar, früherer Bundesbeauftragter für den Datenschutz. Doch elektronisches Marketing ist weiterhin möglich, nur halt eingeschränkt.
Und was bringt ePrivacy?
Das allerdings könnte sich 2022 ändern. Bis dahin werden Erfahrungen gesammelt, dann wird die DSGVO reevaluiert. Davon könnten beispielsweise Vereine profitieren, denen derzeit ähnlich aufwendige Dokumentationspflichten wie Unternehmen aufgebürdet werden. Diese Pflichten sind, sagt selbst der Landesbeauftragte für den Datenschutz in Baden-Württemberg Stefan Brink, „formalistisch“ – sprich: mehr Bürokratie als nötig und sinnvoll.
Solche Erfahrungswerte könnten auch in die ePrivacy-Verordnung (ePVO) einfließen, die vielleicht schon 2020, spätestens aber 2022 ebenfalls EU-weit greifen und die DSGVO erweitern soll. Schwerpunkt ist vor allem die Datenverarbeitung in Betrieben, wo „Regelungslücken“ geschlossen werden sollen. Im Visier haben die EU-Experten vor allem moderne Marketing-Technologien, die das Tracking und Targeting von Kunden ermöglichen. Voraussichtlich wird die ePVO etwa Direktwerbung an Privatpersonen als „unerbetene Kommunikation“ einstufen – und verbieten.
Wie viel Tracking und Targeting sind erlaubt?
Entsprechend ausgeprägt sind die Vorbehalte gegenüber der ePVO in vielen Unternehmen, die mit Tracking, Targeting und Direktwerbung arbeiten. Kann aber sein, dass alles halb so wild wird: siehe DSGVO. Dort kam es in den ersten Monaten durchaus zu Überreaktionen, laut Datenschützern vor allem bei Vereinen, Arztpraxen, Schulen und Kindergärten. Schlagzeilen machte etwa eine Kita, die in Erinnerungsmappen alle Gesichter der Kinder schwärzte – abgesehen von dem Kind, das die jeweilige Mappe erhielt.
Selbst für den Rundumschutz namens DSGVO war das zu dick abgepuffert. Und dass dieser auch Lücken haben kann, musste ein Autofahrer erleben, der seinen Datenschutz durch ein Polizeifoto beeinträchtigt sah – aufgenommen per Radarfalle.
Mit unserer Datenschutz-Beratung haben Sie die DSGVO im Griff.
Rechtliche Vorgaben zu kennen, ist das eine – sie umzusetzen, das andere. Gemeinsam mit externen Experten unterstützen wir Sie bei beiden Herausforderungen. Alles mit dem Ziel, dass Ihr Unternehmen am Ende datenschutzkonform aufgestellt ist. Dabei berücksichtigen wir die aktuellen Anforderungen Ihres digitalen Unternehmensalltags sowie des nationalen Rechts und haben für Sie branchenspezifische Vorgaben im Blick. Gern begleiten wir Sie auch beim Aufbau eines Datenschutz-Management-Systems.
Unsere Beratungsmodule im Überblick:
- Grundlagen-Workshop Data Privacy und DSGVO inklusive Vorher-nachher-Vergleich und erster Roadmap-Erstellung
- Einführungsbegleitung eines DSGVO-konformen Datenschutz-Management-Systems inklusive Reifegradfeststellung, individuellem Datenschutzkonzept, Mitarbeiterschulungen und Implementierung
Konkrete Lösung gewünscht? Kein Problem.
Wir haben bewährte Lösungen im Portfolio, mit denen Sie die DSGVO-Anforderungen erfüllen – von zuverlässigen Sicherheitspaketen für Ihre Output-Systeme und Follow-Me-Printing über intelligente Scan- und Workflow-Produkte bis hin zu modernsten Enterprise-Content-Management-Systemen.
Lassen Sie uns das Thema DSGVO anpacken!
Vereinbaren Sie hier einen persönlichen Termin mit unseren Digitalexperten.
