DSGVO – 1 Jahr danach: Wie lief die Umsetzung für den Mittelstand?

Im Vorfeld der Einführung der DSGVO (Datenschutz-Grundverordnung) am 25. Mai 2018 wurde von Medien wie der FAZ das eine oder andere Horrorszenario gezeichnet. Die Daten der Menschen würden künftig zwar besser geschützt, hieß es da, aber vor allem kleine und mittlere Unternehmen hätten mit Schwierigkeiten bei der Umsetzung zu rechnen. Bis hin zu drohenden Strafen in Millionenhöhe bei Verstößen. Die Konzerne hingegen, für die viele Regelungen der EU-DSGVO ja eigentlich gedacht sind, seien dank ihrer personellen und wirtschaftlichen Ressource hingegen fein raus. Nun, ein Jahr nach dem Start der EU-DSGVO, blicken wir zurück: Wie lief die Umsetzung tatsächlich? Welche findigen Lösungen tüftelte der bekannt erfindungsreiche deutsche Mittelstand aus, um die DSGVO-Einführung positiv zu nutzen? Oder gab es stattdessen wirklich „blankes Entsetzen“ ob der befürchteten Millionenstrafen?

Fakt ist: Mindestens knapp vor der DSGVO-Deadline gab es auch in bestens vorbereiteten Unternehmen einen kurzen Stressmoment, bestimmt auch ein paar Überstunden in der IT. Man setzt ja nicht alle Tage ein so komplexes Regelwerk mit so großer Tragweite um. Die viel beschworene umfangreiche Zusatzarbeit, hohe Extra-Kosten oder gar unkalkulierbare Risiken hatten aber nur schlecht vorbereitete Unternehmen. Oder Firmen, die sich sowieso gerne im Graubereich des Datenschutzes bewegen. Darauf wollen wir hier nicht weiter eingehen. Wenden wir uns lieber den Erfolgsgeschichten und ihren Gründen zu!

Unternehmen, deren DSGVO-Umstellung problemfrei war, hatten in aller Regel auf folgende Maßnahmen gesetzt:

• Die Firmen hatten bereits in den Jahren zuvor das BDSG (Bundesdatenschutzgesetz) aufmerksam gelesen und im Detail umgesetzt. Entsprechend waren i.d.R. keine technischen Extra-Maßnahmen erforderlich, um dann auch zügig DSGVO-konform zu agieren.
  
  
• Es gab Unterstützung durch Kanzleien bzw. Anwälte (z.B. Dr. Schwenke, oder ein anderer von Euch bevorzugter juristischer Partner), die auf Datenschutz und Online-Recht spezialisiert sind.
  
  
• Dazu erfolge eine enge Zusammenarbeit mit Spezialisten aus den Bereichen Digitalisierung und Cloud-Computing (z.B. IAB)

Unternehmen, die von der DSGVO letztlich sogar profitierten, gelang dies unter anderem durch folgende Schritte:

• Die DSGVO-Vorgabe der „Datensparsamkeit“ wurde dazu genutzt, um sich – alleine oder mit einem Digitalisierungs-Berater an der Seite – auf die Suche nach Effizienz und Einsparungsmöglichkeiten bei der technischen Seite der Datenspeicherung und Datenverarbeitung zu machen.
  
  
• Da „personenbezogene Daten“ mittlerweile in Unternehmen nicht nur im HR eine Rolle spielen, sondern auch in allen anderen Prozessen omnipräsent sind, konnte die DSGVO sogar gewinnbringend genutzt werden. Um zum Beispiel zahlreiche datenbehaftete Prozesse im Unternehmen darauf abzuklopfen, ob sich diese nicht einfacher, klarer, schneller und transparenter gestalten lassen. Oder alternativ einfach sogar ersatzlos löschen lassen. Ein unnötiger Prozess weniger führt eben auch gleich zu weniger Aufwand beim Datenschutz und Datensicherheit. Diese Art der „DSGVO-Umsetzung“ lässt sich dann auch problemlos in eingesparten Euro-beträgen messen.
  
  
• Eine reibungslose Umsetzung der DSGVO-Vorgaben gelang so manchem Unternehmen auch durch intelligente Automatisierung der betreffenden Prozesse. Ein Beispiel: Schon bei der Erfassung wird dokumentiert, woher die Daten stammen und unter welche Regelungen sie fallen. Auf dieser Basis lässt sich die fristgerechte Löschung nach Ablauf der gesetzlichen Aufbewahrungsfristen sicher und bequem automatisieren. Dies geht sowohl mit Unterlagen von Bewerbern, als auch mit aktuellen Leads oder mit Daten von ehemaligen Kunden.

Die Abkürzung DSGVO steht für Datenschutz-Grundverordnung. In den weiteren EU-Sprachen Englisch und Französisch ist der Name der Verordnung sogar ausnahmsweise noch sperriger: Règlement général sur la protection des données (RGPD) heißt es auf französisch, General Data Protection Regulation (GDPR) auf englisch. Die DSGVO zielt darauf ab, die Regeln für die Verarbeitung von personenbezogenen Daten auf EU-Ebene endlich zu vereinheitlichen. Gemeinsam mit der viel weniger bekannten JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz bildet die DSGVO seit 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union.

Im Kern geht es bei der DSGVO darum, die Rechte der (Online-)Nutzer zu stärken. Die „individuelle Selbstbestimmung“ im Umgang mit den eigenen Daten bekommt dadurch künftig einen deutlich höheren Stellenwert. In der Praxis bedeutet das für Unternehmen: Sie müssen sich aktiv um die Einwilligung der Nutzer bemühen – und für die geplante Verarbeitung der Daten auch stets einen konkreten Verwendungszweck angeben. Darüber hinaus bekommen Nutzer weitreichende Auskunftsrechte darüber, was, wann und wo etwas mit ihren Daten geschieht. Schlussendlich müssen Unternehmen auch dafür sorgen, dass Daten – per Hand oder automatisiert – gelöscht werden, zum Beispiel nach dem Ende einer Geschäftsbeziehung, wie etwa einem Abo oder Liefervertrag.

Ganz so neu war die DSGVO übrigens auch im Mai 2018 nicht, denn sie galt tatsächlich schon seit 2016. Es war allerdings – sinnvollerweise – eine Umstellungsfrist von zwei Jahren vereinbart worden, um Unternehmen, Behörden und anderen Betreibern von Webseiten und Datenbanken ausreichend Zeit für eine rechtskonforme Umsetzung zu geben.