Mit großer Unsicherheit haben viele Unternehmen, Institutionen und Vereine den 25. Mai 2018 auf sich zukommen sehen. Denn mit diesem Datum wurde die bereits seit zwei Jahren geltende EU-Datenschutzgrundverordnung (EU-DSGVO) bindendes Recht auf dem europäischen Markt.
Sie brachte grundlegende Veränderungen im Datenschutzrecht mit sich, insbesondere bedeutet sie wesentlich strengere Dokumentationspflichten zur Speicherung und Verwendung personenbezogener Daten. Betroffen sind von diesen Regelungen nahezu alle Unternehmen, Vereine und Verbände. Viele investierten daher im Vorfeld umfassend Zeit und zum Teil hohe Beträge, um ihre Prozesse und Leistungen konform zur DSGVO auszurichten. Nach einem halben Jahr aktiver Gültigkeit der neuen Gesetzgebung zieht der Cluster IT Mitteldeutschland e. V. nun gemeinsam mit den Landesdatenschutzbeauftragten aus Sachsen, Sachsen-Anhalt und Thüringen ein erstes Fazit.
„Als Cluster IT Mitteldeutschland haben wir intensiv miterlebt, dass das Thema Datenschutz in der Wirtschaft gerade durch das Wirksamwerden der DSGVO sehr ernst genommen wurde und weiterhin wird“, sagt Gerd Neudert, Geschäftsführer Cluster IT Mitteldeutschland e. V. „Viele Unternehmen haben umfangreiche Maßnahmen durchgeführt, um ihren Umgang mit Daten an die DSGVO anzupassen. Durch die neue Gesetzgebung ist das Thema Datenschutz damit insgesamt deutlich aufgewertet worden. Allerdings hat vor allem in der Einführungsphase oftmals große Unsicherheit darüber geherrscht, wie genau Datenschutzbestimmungen im eigenen Unternehmen umgesetzt werden müssen. Selbst heute noch besteht diese Unklarheit vielerorts fort.“
Ähnliche Erfahrungen haben auch die Datenschutzbeauftragten der mitteldeutschen Länder gesammelt. Dr. Harald von Bose, Landesdatenschutzbeauftragter Sachsen-Anhalt: „Aufgrund zahlreicher differenzierter Anfragen haben wir festgestellt, dass sich viele Unternehmen detailliert mit der DSGVO und dem neuen Bundesdatenschutzgesetz befassen. Gleichwohl gibt es Handlungsbedarf. Mitunter ist der Umstellungsprozess noch nicht abgeschlossen.
So gibt es nach wie vor Verarbeitungen personenbezogener Daten auf Firmenhomepages, ohne dass die Informationspflichten erfüllt werden.“ Beim Landesdatenschutz in Magdeburg sind bisher weit über 700 Beratungsanfragen sowie 48 Meldungen von Datenschutzverstößen nach Art. 33 der DSGVO seit deren Anwendung eingegangen. Es wurden bisher vier Bußgeldverfahren wegen Verstößen gegen die DSGVO eingeleitet, aber noch nicht abgeschlossen. Vorwürfe sind u.a. die unbefugte Datenübermittlung, unvollständige Löschung sowie die Nichterteilung von Auskünften.
Und Andreas Schneider, Referatsleiter beim Sächsischen Datenschutzbeauftragen, beschreibt: „In der Tendenz wird man sagen können, dass größere Unternehmen und einige wenige Branchen gut vorbereitet wirken. Nicht wenige Unternehmen sind auch rechtsberaten, kleine Unternehmen benötigen allerdings regelmäßig Hilfe, in erster Linie in Bezug auf rechtliche und Auslegungsfragen der Datenschutz-Grundverordnung.
Es bestehen seitens der Wirtschaft allgemein noch große Unsicherheiten im Hinblick auf die neuartige EU-Verordnung. Schwierigkeiten bereiten in der Praxis primär die Informationspflichten gemäß Art. 13 und 14 DSGVO, aber auch die verbesserten Betroffenenrechte, insbesondere was Auskunft und Einsichtnahme anbelangt. Zum Teil werden die Anforderungen der Datenschutz-Grundverordnung allerdings seitens Unternehmen nicht selten übererfüllt.“
Die allgemeine Verunsicherung zeigt sich auch im deutlich gestiegenen Volumen von Beratungsanfragen an die Landesdatenschutzbeauftragten. In Sachsen hat sich das Aufkommen seit Inkrafttreten der DSGVO verdreifacht, in Thüringen sogar vervierfacht. Dr. Lutz Hasse, Landesdatenschutzbeauftragter Thüringen: „Viele Anfragen beziehen sich derzeit auf die Umsetzung der Informationspflichten, die Gestaltung der Verträge nach Art. 28 DSGVO und die Bestellung des betrieblichen Datenschutzbeauftragten.“ Gleichzeitig ist die Anzahl von Beschwerden und Meldungen von Datenschutzverstößen in den Datenschutzbehörden spürbar gestiegen, in Sachsen zum Beispiel um das Dreifache.
Um die noch herrschende Verunsicherung zu beseitigen, gilt es, eindeutige und praktikable Richtlinien zu gestalten. So lautet die Forderung des Clusters IT Mitteldeutschland. „Nicht zielführend – und in ihrer Grundintension auch überhaupt nicht von der Gesetzgebung beabsichtigt – ist es, wenn die Umsetzung der aktuellen Datenschutzrichtlinien zu einer Lähmung oder Hemmung von unternehmerischem Tun führt. Die zu erfüllenden Maßnahmen müssen daher klar, transparent und für alle betroffenen Akteure praktisch umsetzbar sein.
Dafür gilt es, die Gesetzgebung im Zweifelsfall noch einmal nachzuschärfen. Auch Grundsatzurteile können Klarheit in heute noch herrschende Grauzonen bringen“, erklärt Gerd Neudert, „Aus unserer Sicht ist es außerdem wichtig, auch weiterhin umfassend Aufklärungsarbeit über die rechtskonforme Umsetzung von Datenschutz zu leisten. Dies kann und sollte im Sinne eines bestmöglichen Ergebnisses gemeinsam zwischen Wirtschaft, Interessenvereinigungen und Behörden erfolgen.“
Darin sind sich auch die Landesdatenschutzbeauftragten aus Sachsen, Sachsen-Anhalt und Thüringen einig. Sie sehen in einem engen Schulterschluss mit der Wirtschaft einen Schlüssel zur erfolgreichen Umsetzung der Datenschutzgesetzgebung. Gleichzeitig lautet aktuell die Anregung von Seiten der Datenschutzbehörden: nach der ersten Phase von Anpassungen an die DSGVO die Umsetzungen jetzt noch einmal überprüfen und sich über die korrekte Erfüllung vergewissern.
Zum Cluster IT Mitteldeutschland e. V.
Der Cluster IT ist das Branchennetzwerk der IT-Wirtschaft in Sachsen, Sachsen-Anhalt und Thüringen mit der Zielsetzung, die Aktivitäten der Branche zu koordinieren und sichtbar zu machen. Gegründet wurde der Verein im Jahr 2009 und besitzt mittlerweile knapp 50 Mitglieder. www.it-mitteldeutschland.de.
Keine Kommentare bisher