Am Freitag, den 25. Mai ist es soweit: Eine zweijährige Übergangsfrist läuft ab und die EU-Datenschutzgrundverordnung tritt endgültig in Kraft und ersetzt die bisherige EU-Datenschutzrichtlinie und das Bundesdatenschutzgesetz in seiner bisherigen Form. Die DSGVO soll den Schutz der personenbezogenen Daten innerhalb des Europäischen Binnenmarktes sicherstellen. Dokumentationspflichten, die Pflicht zur Risiko- und Folgenabschätzung, erweiterte Beschwerde- und Rechtschutzmöglichkeiten, das „Recht auf Vergessenwerden“, das Recht auf Datenportabilität, Auswirkungen auf das E-Mail-Marketing, deutlich höhere Bußgelder: Auf den Mittelstand kommen zahlreiche Neuerungen zu. Insbesondere erfasst die neue Verordnung nicht nur den Datenschutz sondern enthält auch Bestimmungen zur Datensicherheit und damit zu den technischen und organisatorischen Maßnahmen.
Einer aktuellen Studie eines Anbieters von IT-Sicherheitslösungen zufolge waren sich noch im Herbst des vergangen Jahres 47 Prozent aller Unternehmen in Deutschland nicht im Klaren darüber, ob die neue EU-Datenschutzgrundverordnung (DSGVO) in ihrem Fall greift.
Tatsächlich betrifft die DSGVO alle Unternehmen und auch Vereine, die personenbezogene Daten verarbeiten. Auf die Unternehmensgröße kommt es dabei nicht an. Bei Unternehmen mit mehr als neun Mitarbeitern kommt zusätzlich zum Tragen, dass sie einen Datenschutzbeauftragten bestellen müssen, der bzw. die frei von den Weisungen Vorgesetzter Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften trägt und einen besonderen Kündigungsschutz – vergleichbar dem eines Betriebsratsmitgliedes – genießt. Hier bietet sich vor allem für kleine und mittlere Unternehmen eine sinnvolle Alternative: Externe Datenschutzbeauftragte müssen nicht für Schulungen freigestellt werden, sind über Rechtslage und Rechtsprechung auf dem Laufenden, kennen Best Practices aus anderen Unternehmen, sind – unabhängig von Krankheits- und Urlaubszeiten – stets ansprechbar, sind versichert und können jederzeit ordentlich gekündigt werden. Externe Datenschutzbeauftragte machen sich außerdem vom ersten Tage an bezahlt, da die Mitarbeiter und Mitarbeiterinnen nicht von ihren Hauptaufgaben abgelenkt werden und nicht für datenschutzrechtliche Weiterbildungen freigestellt werden müssen.
Von den Teilnehmern der genannten Studie, die die DSGVO für ihr Unternehmen für relevant halten, ist 51% bewusst, dass die Sicherstellung der DSGVO-Konformität Veränderungen der IT-Landschaft erfordert. Da in Kürze die Frist für die Umsetzung verstreicht, läuft vielen die Zeit davon. Firmen, die die DSGVO-Vorgaben noch nicht erfüllt haben, schätzen den Zeitraum für die Realisierung im Durchschnitt auf 7 Monate. Wer sich jetzt noch nicht mit der DSGVO auseinandergesetzt hat bleibt, durch eine kurzfristige Vorab-Prüfung wenigstens die Außenwirkung, insbesondere die Webseite, rechtssicher zu gestalten und sich vor Abmahnungen durch Wettbewerber und Abmahnanwälte zu schützen.
