DSGVO 2020: Wie ist der aktuelle Stand zum Datenschutz? Was ist noch zu tun?

Rechtsanwaeltin-julia-john

Nachdem in 2018 gefühlt sämtliche Unternehmen nur noch von einem Thema sprachen, haben sich die Wogen in Sachen DSGVO mittlerweile etwas geglättet. Doch wie steht es 2020 in Sachen Datenschutz? Wurde alles umgesetzt oder sind noch viele Punkte offen? Wir haben Rechtsanwältin Julia John aus unserem Medienrecht-Kurs gefragt. Lesen Sie hier, was sie zum Thema DSGVO 2020 sagt, welche neuen Themen Sie auf dem Schirm haben sollten und wie Sie diese am besten angehen.

 

Seit dem Inkrafttreten der DSGVO sind über zwei Jahre vergangen: Was hat sich verändert?

Rechtsanwältin Julia John: Für bestimmte Bereiche gab es bereits Behörden-, teilweise sogar schon Gerichtsentscheidungen. Und dennoch lässt sich feststellen, dass es nach wie vor in vielen Bereichen keine absolut geltenden Handlungsvorgaben gibt, sondern viele Unternehmen teilweise ihren eigenen Weg gefunden haben, bestimmte Themen zu bearbeiten, da „die eine Universallösung“ eben nicht existiert.


Wir stellen fest, dass inzwischen ein gesteigertes Bewusstsein von Kunden, Mitarbeitern und weiteren Betroffenen im Hinblick auf die Umsetzung des Datenschutzes in Unternehmen vorliegt. Dies zeigt sich sowohl in der gestiegenen Anzahl an Betroffenenanfragen, die an Unternehmen gerichtet werden, als auch an der Anzahl jährlicher aufsichtsbehördlicher Verfahren.

 

Viele befürchteten, nicht rechtzeitig mit allen Anforderungen fertig zu werden. Sind denn nun die meisten Unternehmen DSGVO-fit oder werden nach wie vor Änderungen umgesetzt?

Rechtsanwältin Julia John: Manchmal müssen wir schmunzeln, wenn wir von Unternehmen hören, die verlauten lassen, dass sie mit dem Thema Datenschutz „durch“ wären und alle Anforderungen und Vorgaben bereits erfüllt hätten. Dass man das Thema Datenschutz im Unternehmen nicht einfach so „abhaken“ kann, dafür sorgen stetig neue Veröffentlichungen nationaler und europäischer Datenschutzbehörden, die Unternehmen mit Orientierungshilfen und Handreichungen bei der Umsetzung der Anforderungen der DSGVO unterstützen möchten, was aber meist mit Anpassungen in den bisherigen (Prozess-)Abläufen einhergeht.

Nicht zuletzt die bereits ergangenen Urteile des Europäischen Gerichtshofs (EuGH) z. B. in Sachen Facebook-Fanpage, zu Cookies oder zuletzt zur rechtskonformen Ausgestaltung von Drittstaatentransfers sorgen immer wieder dafür, dass das Datenschutzrecht ein Bereich ist, der wohl nie ganz abgeschlossen sein wird, sondern sich eher in einem stetigen Wandel befindet.

Was meinen Sie mit dem „stetigen Wandel“ genau?

Rechtsanwältin Julia John:Unternehmen sind immer mehr daten- und technologiegetrieben, d. h., in vielen Bereichen werden neue Technologien eingesetzt, die datenbasiert arbeiten. Die Digitalisierung in Unternehmen schreitet stetig voran. Wo früher die Personalakte im Papierformat geführt wurde, geschieht dies heute meist digital, manchmal auch mit Unterstützung durch Softwarelösungen. Hier spielt die datensichere Ausgestaltung digitaler Prozesse im Unternehmen natürlich eine wesentliche Rolle. Dabei müssen fortwährend die sich wandelnden Technologien und damit auch die Anforderungen an die Datensicherheit überprüft und die Prozesse im Unternehmen gegebenenfalls angepasst werden. Das ist ein dynamischer Prozess und keine Aufgabe, die dann irgendwann erledigt ist.

 

Gibt es Punkte, die nach wie vor vielen Unternehmen unklar sind?

Rechtsanwältin Julia John: Ein Punkt, der vielen Unternehmern nach wie vor Schwierigkeiten bereitet, ist die richtige datenschutzrechtliche Einordnung von Dienstleistern, die in bestimmte Verarbeitungsvorgänge im Unternehmen eingebunden werden, sowie die Bestimmung, welche Rolle das Unternehmen dabei selbst einnimmt. Je nach Rolle können sich die datenschutzrechtlichen Pflichten aber auch auf die Haftung auswirken und ggf. sind auch andere vertragliche Grundlagen zu schließen.


Auch die Beantwortung der Frage, ob es einer Einwilligungserklärung des Betroffenen für die Verarbeitung seiner Daten bedarf oder ob ein gesetzlicher Erlaubnistatbestand die Datenverarbeitung rechtfertigt, fällt vielen Unternehmen schwer.


Natürlich ist es für Unternehmen auch ein wesentlicher Punkt, welche Folgen ein Verstoß gegen die DSGVO ggf. mit sich bringt, da die Bußgelder unter Geltung der DSGVO ja bekanntlich erheblich gestiegen sind.

Die neue Datenschutzverordnung

 

Was sind Ihre wichtigsten Tipps für Unternehmen, die online werben und Geschäfte machen?

Rechtsanwältin Julia John: Zunächst gilt es zu überprüfen, wann und wie Daten von Kunden, aber auch von Mitarbeitern verarbeitet werden. Gerade bei Mailinglisten brauchen Unternehmen in der Regel eine Zustimmung der Personen im Verteiler.

Dann sollten Vermarktungswege professionalisiert werden. Das hilft nicht nur dabei, rechtlich sicher zu agieren, sondern bietet auch die Chance, durch die bessere Vernetzung neue Marketingstrategien erfolgversprechend auszuprobieren.

Im Hinblick auf das zuletzt ergangene Urteil des EuGH zum Drittstaatentransfer von Daten sollten Unternehmen insbesondere überprüfen, an welchen Stellen sie Datenverarbeitungen an externe Dienstleister auslagern, die nicht in der EU ansässig sind und bei denen es einer besonderen Absicherung der Datenübermittlung bedarf. Zudem kann dies auch die Anpassung von Verträgen und Datenschutzinformationen erfordern.

Gibt es weitere Themen, die Unternehmen im Jahr 2020 im Fokus haben sollten?

Rechtsanwältin Julia John: Neben dem bereits erwähnten Urteil des EuGH zum Drittstaatentransfer gab es 2019 bereits ein weiteres Urteil des EuGH, das für viele Unternehmen mit weitreichenden Änderungen verbunden war. Gemeint ist das Urteil des EuGH zum Einsatz von Cookies auf Websites. Dies ist deshalb wichtig, weil die Aufsichtsbehörden der Länder hier erst kürzlich ein gemeinsames Vorgehen angekündigt haben und beginnen, Websites zu überprüfen, die Cookie-Technologien einsetzen. Zunächst sollen zwar Medienhäuser im Fokus der Überprüfungen stehen, aber es dürfte nur eine Frage der Zeit sein, bis dies auch bei Unternehmen aus anderen Bereichen relevant wird. Hier gilt es vorbereitet zu sein und bereits ein Consent-Management für die Website eingerichtet zu haben. Dabei geht es darum, explizite Einwilligungen der Nutzer für die Verarbeitung und Nutzung personenbezogener Daten DSGVO-konform einzuholen, zu dokumentieren und zu speichern.

Was gilt es zu beachten, wenn Unternehmen mit den eigenen Mitarbeitern oder Fotos von der letzten Firmenfeier werben?

Rechtsanwältin Julia John: Sie sollten in jedem Fall darauf achten, schriftliche Einwilligungserklärungen von jedem Einzelnen einzuholen – und dies unter Angabe der Veröffentlichungskanäle. Es ist zu beachten, dass die DSGVO neue, umfassendere Anforderungen an Einwilligungserklärungen stellt, als es vorher der Fall war. Die alten Muster müssen daher unbedingt angepasst werden und sollten nicht weiterverwendet werden.

karriere tutor®: Herzlichen Dank für das Gespräch!

 Julia John ist Rechtsanwältin für Datenschutz und Medienrecht bei der Kanzlei Spirit Legal, zertifizierte Datenschutzbeauftragte (TüV) und Dozentin für Medienrecht bei karriere tutor®.

DAS BESTE VOM BLOG PER NEWSLETTER ERHALTEN

Über karriere tutor® 207 Artikel
karriere tutor® möchte Menschen an jedem Arbeitsplatz der Welt beruflich erfolgreich und glücklich machen. Ein Team aus hervorragend geschulten Dozenten und Tutoren, Karriereberatern und Experten für berufliche Weiterbildung berät und begleitet seine Kunden ganzheitlich auf dem Weg zur beruflichen Erfüllung.