Die ersten 100 Tage mit der DSGVO

Vier Wochen nach dem Start der EU-Datenschutzgrundverordnung (DSGVO) hat sich die Aufregung gelegt. Über spöttische Kommentare haben wir herzhaft gelacht und mit einem digitalen Schulterzucken Datenschutzhinweise und Bitten nach Cookie-Platzierung durchgewinkt. Wie hat die Umstellung geklappt?

Selbst viele Juristen waren zunächst mit der DSGVO überfordert. Ich hielt Informations-Unterlagen für Betroffene in den Händen, die bereits Art. 12, Abs. 1, Satz 1 nicht erfüllten: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln […].“ Viele Fachleute übersetzten den Wortlaut der DSGVO lediglich in Juristendeutsch, was von großer Verunsicherung zeugte.

Aufwendig war es, die datenschutzrechtlichen Vorgaben an die Branche anzupassen, also an die Vermögensverwaltung. Formulare und Informationsmaterial anzufertigen, in Informationsprozesse und Vertragsunterlagen zu implementieren, die zur Branche passen, war nicht so einfach und auch nicht mal eben schnell erledigt. Viele Kollegen haben sich damit schwergetan, den Aufwand unterschätzt und stattdessen Datenschutzgeneratoren bemüht. Wer die Anpassungen von langer Hand vorbereitet hatte, konnte dem 25. Mai gelassen entgegensehen und sorgte obendrein mit der beständigen Kommunikation des Themas für eine bessere Akzeptanz des betrieblichen Datenschutzes – auch innerhalb der Unternehmen.

Hinsichtlich der lösungsorientierten Auslegung der DSGVO muss dringend weiter nachgebessert werden. Umfassendere Unterstützung für verantwortliche Stellen – die Unternehmen – mithilfe von Auslegungsleitfäden seitens der Aufsichtsbehörden hätten bereits im Vorfeld zu einer besseren Informationslage und Akzeptanz der DSGVO bei allen Beteiligten geführt. Viele stecken noch immer den Kopf in den Sand und ignorieren ihre datenschutzrechtlichen Verpflichtungen.

Der Ruf nach Guidelines wurde bereits laut vor dem Inkrafttreten der DSGVO. Tatsächlich tut sich auch etwas. Das Bayerische Landesamt für Datenschutzaufsicht (BayLAD) äußerte sich im Juli zum Beispiel zu Auftragsverarbeitungen auf die Frage: „Wie ordne ich die Zusammenarbeit mit Blumen- oder Weinversendern ein, die Listen mit Adressdaten zur Versendung von Geschenken erhalten?“ Keine Auftragsverarbeitung, sagt das BayLAD. Nach und nach gehen alle dazu über, ihren gesunden Menschenverstand bei der Auslegung der Verordnung wieder einzuschalten.

Offenbar sind wir auch von der befürchteten Abmahn-Welle verschont geblieben. Zwar habe ich verschiedentlich von einigen Fällen gelesen, kenne aber keinen persönlich. Zugenommen hat anscheinend auch das Auskunftsersuchen von Betroffenen, die bis zum Zeitpunkt der Anfrage mit dem jeweiligen Unternehmen in keinerlei Verbindung standen. Vorsicht! Hier ist es mit einer Negativauskunft nicht getan, denn mit dem Eintreffen der Anfrage sind auf einmal entsprechende personenbezogene Daten vorhanden. Das sind die lästigen Trittbrettfahrer, die uns die DSGVO beschert hat.

Auf der Betroffenenseite gab es viel weniger Schwierigkeiten, als ich erwartet hatte: Ich rechnete mit deutlich mehr Nachfragern und Zweiflern. Allerdings waren kurz vor dem Stichtag viel zu viele Informationen im Umlauf: Neben Fundiertem natürlich auch viel Halbgares, wodurch sich eine gehörige Portion Fatalismus breit gemacht hat. Anstatt sich zu informieren, fingen Betroffene an, das Thema gründlich zu ignorieren. Dabei sollten doch alle über den Gebrauch ihrer personenbezogenen Daten besser informiert werden. Stattdessen führte die Informationsflut lediglich zu einer Informationsillusion, die nötige Entscheidungen blockierte. Deshalb hat sich ein leicht nachvollziehbares und informatives Datenschutzmanagementsystem bereits jetzt als Visitenkarte für Unternehmen etabliert.

Mit dem Datenschutz sind wir also längst nicht „fertig“, die DSGVO ist lediglich ein Weckruf. Prozesse im Zusammenhang mit dem betrieblichen Datenschutz müssen laufend überprüft werden, um sie an veränderte Bedingungen anzupassen. Durch die Brille eines Betroffenen betrachtet ist das vor dem Hintergrund der fortschreitenden Digitalisierung auch gut so.

Für 2020 ist die nächste Evaluierung geplant. Bis dahin können viele Fragen einfach heruntergebrochen und die Absicht des Gesetzgebers beleuchtet werden. Wichtig ist, handlungsfähig zu bleiben und die DSGVO nach Recht und gesundem Menschenverstand auszulegen.

Kolumne von Christine Mühlberger, Datenschutzbeauftragte der Michael Pintarelli Finanzdienstleistungen AG (kurz: MPF AG) in Wuppertal