Warum es sinnvoller ist, die DSGVO umzusetzen anstatt sich über diese aufzuregen.

Da es ja immer wieder diese Diskussion gibt, wie schlimm die DSGVO gerade für EinzelunternehmerInnen, Kleinst- und Kleine Unternehmen ist, zitiere ich hier meine Mail, die ich heute auf einer Mailingliste geschrieben hatte.

Die Zeilen mit „>>“ am Anfang hat Jan Philipp Albrecht, der Berichterstatter zum DSGVO-Entwurf des LIBE-Ausschuß geschrieben. Er hatte auch noch auf folgenden Link verwiesen: http://www.rechtzweinull.de/archives/2558-mein-erster-dgsvo-rant-zu-viele-mythen-und-gefaehrliches-halbwissen-zum-neuen-europaeischen-datenschutzrecht.html.  Die Zeilen mit „>“ am Anfang sind aus der Antwort auf Jan Philipp Albrechts Beitrag. Die anderen Zeilen sind mein Text. „(…)“ ist ein Zeichen dafür, dass ich in meiner Antwort Teile des Beitrags, auf den ich antworte herausgekürzt habe. 🙂

„Hallo,

Am 08.05.2018 um 14:21 schrieb *************:

>> Für die allermeisten Unternehmen, Vereine und Einzelpersonen, die
>> Daten von anderen digitalisiert verarbeiten, gilt: Wer sich bisher
>> an das deutsche Datenschutzrecht gehalten hat, wird auch unter
>> der Datenschutz-Grundverordnung nichts zu befürchten haben.

Diese Aussage von Jan [Philipp Albrecht] kann ich uneingeschränkt bestätigen.

(…)

> 1) Eigentlich wartet die ganze Branche nur darauf, dass es dicke
> Abmahnwelle auf alle zu rollt. Das mag nach einem
> Nebenkriegsschauplatz klingen und hat nicht direkt etwas mit der
> Verordnung selbst zu tun.

Es könnte tatsächlich die eine oder andere Abmahnung mehr geben, aber
vermutlich keine Abmahnwelle. Zum einen kann ja nur das abgemahnt
werden, was öffentlich sichtbar ist. Und zum Anderen muss der
Abmahnende, der einen Anwalt beauftragt, sicher sein, dass er selbst
nicht angreifbar ist.

> 2) Kleine Unternehmen ohne eigene Rechtsabteilung stehen vor dem
> Problem zu jeder Frage eine externe Rechtsberatung einholen müssen.

Zum einen dürften in einem kleinen Unternehmen nicht alle Nase lang
datenschutzrechtliche Fragestellungen auftauchen. Sollte das doch der
Fall sein. würde es sich anbieten evtl. auch ohne gesetzliche
Verpflichtung einen Datenschutzbeauftragten zu bestellen. Zum anderen
bedarf es für Datenschutzfragen nicht immer einer Rechtsberatung. Da
reicht meist eine Datenschutzberatung.

> Wenn in einem Projekt die unterschiedlichsten Freiberufler und Firmen
> involviert werden kommt da gleich mal für einen einzelnen Aspekt ein
> Kostenvoranschlag von 2000 Euro von der Anwaltskanzlei ins Haus.

Wenn ich ehrlich bin, kann ich mir keinen solchen einzelnen Aspekt
vorstellen, der einen Beratungsaufwand von ca. 1,5 Tagen bedingen würde.

> Eine Firma die in 20 verschiedenen Projekten aktiv ist steht hier
> schnell vor kaum zu stemmenden Herausforderungen. Nicht umsonst sind
> die Fachanwälte gerade sehr gut ausgelastet und die Preise schnellen
> in die Höhe.

S.o.: hier wäre der eigene Datenschutzbeauftragte sicher hilfreich.

> 3) Viele Unternehmen befürchten, dass eine große Anzahl von Kunden
> oder auch böswilligen Konkurrenzen nach der DSGVO Auskünfte einholt
> und sich anschließend über die erhaltene Antwort bei einer
> Aufsichtsbehörde beschweren.

Unternehmen, die nicht selbst natürliche Personen sind, können keine
Auskünfte einholen. Und wenn die Auskünfte an die betroffene Person
korrekt erteilt werden, gibt es auch keinen Grund zur Beschwerde.
Auskunftsersuchen waren auch bislang schon möglich (es gibt seit 1977
ein Bundesdatenschutzgesetz).

> In welchem Umfang dann Beweispflichten auf die Unternehmen zukommen
> und welche Arbeitsbelastung dadurch entsteht lässt sich aus Sicht der
> Betroffenen kaum kalkulieren.

Hier kann ich nur sagen: Hier galt es bereits jetzt, dass ich die
Erteilung von Auskünften zu dokumentieren hatte.

(…)

> Ich halte es für eine wichtige Information in dieser Debatte, dass
> im Alltag ganz viele Menschen die sich bisher zu 100% an das
> deutsche Datenschutzrecht halten enorme Zusatzbelastung zu stemmen
> haben werden und mit großer Unsicherheit konfrontiert sind.

Zum einen hat sich niemand zu 100 % an das bisherige Datenschutzrecht
gehalten. Zum anderen gilt, dass EinzelunternehmerInnen,
Gewerbetreibende, Selbständige, FreiberuflerInnen, Unternehmen, Vereine
und andere Institutionen, die sich zu 90 % und mehr an das bisherige
Datenschutzrecht gehalten haben, einen überschaubaren Aufwand zur
Umsetzung der DSGVO haben, denn sie zudem auch noch über zwei Jahre
verteilen konnen.

> Gleichzeitig werden sie am Ende aber keinen einzigen Datensatz anders
> behandeln werden wie vorher.

Wenn dem so wäre, wäre der Aufwand sogar marginal. Die meisten
Unternehmen, die ich als externer Datenschutzbeauftragte betreue, nehmen
an der einen oder anderen Stelle schon Änderungen vor.

> Ich kenne einige Beispiel bei denen sich Einzelunternehmer oder KMU
> schon aus Tätigkeitsfeldern zurückziehen weil sie die Kosten für die
> Rechtsberatung nicht lohnen oder die Unsicherheiten zu groß sind.

Das müssen dann aber Tätigkeitsfelder sein, die bereits nach dem
derzeitigen Datenschutzrecht kritisch zu bewerten sind oder Unternehmen,
die sich die letzten 10 Jahr oder länger nicht um den Datenschutz
gekümmert haben. Leider ist letzteres bei vielen Unternehmen der Fall, wie ich aus den diversen Anfragen immer wieder mitbekomme. Ein konkretes Beispiel: Ein Verlag, der seit mindestens 15 Jahren eine/n Datenschutzbeauftragten hätte bestellen müssen, hat dies nicht getan. Als ich dann eine Datenschutzbestandsaufnahme durchführte kam tatsächlich für die externen ToDos ein Aufwand in Höhe von etwa 10.000 € zusammen. Allerdings wäre der Aufwand zur Umsetzung des derzeitigen BDSG auch mindestens 8.000 € gewesen. Sprich: Jetzt ist ein Aufwand zu bewältigen, der mit den in den letzten 15 Jahren eingesparten Kosten leicht finanziert werden könnte.

So gibt es ja diverse Materialien, mit denen gerade KMU die Anpassung an die DSGVO vornehmen können
(vgl. https://dsgvo.expert/Mat-KMU).

> Meine Bitte ist, dass ihr diese Sorgen auch ernst nehmt.
Die Sorgen ja, deshalb gibt es ja vielfältige Informationen und Materialien. Aber für das Gejammer der Firmen, die sich die letzten x Jahre in keinster Weise um den Datenschutz gekümmert haben und jetzt feststellen, dass sie einiges zu tun haben, habe ich kein Verständnis. Diesen Firmen kann ich nur empfehlen: Aufhören zu jammern, in die Hände spucken und mit der Umsetzung loslegen. Ein 10-Punkte-Plan findet sich u.a. in meinem Handout zum Webinar „5½ Wochen oder ‚Auf der Zielgeraden der DSGVO – Was Sie jetzt noch tun können'“ (zu finden als PDF-Datei unter https://dsgvo.expert/20180416).

Und wenn nur die Hälfte der Energie, die mit der Verbreitung von Halbwissen und dem Schüren von Ängsten zur DSGVO, verbracht wird, von den Leuten für die Verbreitung von sachlichen Informationen genutzt würde, wären gerade die EinzelunternehmerInnen und KMU viel weiter.

Freundliche Grüße,

Werner Hülsmann“

Der Kurzlink für diese Seite ist: https://ds-exp.de/lZRb6

Über Werner Hülsmann

Geboren 1961; 1982 - 1988: Informatikstudium mit Schwerpunkt Datenschutzrecht, Abschluß Diplom; 1988 - 1991: SW-Entwickler bei Telenorma; 1992 - 1999: Referatsleiter Technik und wissenschaftlicher Mitarbeiter beim Landesbeauftragten für Datenschutz der Freien Hansestadt Bremen; seit 1999 selbständiger Datenschutzberater; seit 2004 anerkannter Datenschutzsachverständiger; seit 2013 intensiv mit der DSGVO beschäftigt. Seit 2010 Beiratsmitglied des FIfF e.V.; von 2015 bis Mai 2022 stellv. Vorsitzender der Deutschen Vereinigung für Datenschutz (DVD) e.V., seit Juni 2021 Vorstandsmitglied im gemeinnützigen Verein Computertruhe e.V. In einem Projekt zur Umsetzung der DSGVO auch als Datenschutz-Nerd bezeichnet.
Dieser Beitrag wurde unter DSGVO-Allgemein, Umsetzung abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.