Die DSGVO ist am 25. Mai 2018 in Kraft getreten. Sie ist weder Hexenwerk noch Teufelszeug, sondern präzisiert den europaweiten Rechtsrahmen für den Datenschutz. Wer sich bisher wenig um Datenschutz und IT-Sicherheit gekümmert hat, hat Nachholbedarf. Die vielfach beschworenen Schreckensszenarien sind jedoch unangebracht. Wir rücken einige DSGVO-Mythen ins rechte Licht.

Mythos #1: Es werden Strafen bis 20 Millionen fällig

Die Wahrheit: Für Verstöße gegen bestimmte grundlegende Pflichten sind in der DSGVO (Art. 83) Obergrenzen für Sanktionen benannt. Welche Bußgelder tatsächlich aufgerufen werden, ist von verschiedenen Faktoren abhängig: Die Art und Schwere eines Verstoßes, die Anzahl betroffener Personen, das konkrete Risiko für deren Rechte, oder die Kooperationsbereitschaft der Organisation, in der sich ein Datenschutzproblem ereignet hat – dies und mehr muss bei der Festlegung möglicher Bußgelder berücksichtigt werden.

Derzeit arbeiten die Aufsichtsbehörden der EU-Mitgliedsstaaten an einem europaweit homogenen Bußgeldkatalog. Den gab es bisher nicht, und in einigen Ländern müssen sich die Aufsichtsbehörden über Bußgelder finanzieren. Insofern ist eine tendenzielle Erhöhung der Bußgelder hierzulande nicht unwahrscheinlich, zumal die Sanktionen zwar angemessen sein sollen, aber auch „abschreckend“ wirken sollen. Die häufig zitierte Obergrenze von 20 Millionen zielt dagegen ausschließlich auf Konzerne, die massenhaft personenbezogene Daten verarbeiten und dabei systematisch, wissentlich oder vorsätzlich gegen die Datenschutzgrundsätze verstoßen. Für normale Organisationen werden Bußgelder in dieser Höhe nie ein Thema sein.

Mythos #2: Jeder Verstoß muss binnen 72 Stunden gemeldet werden

Die Wahrheit: Festgestellte Datenschutzverstöße sind an die Aufsichtsbehörde zu melden (Art. 33 DSGVO), wenn sie ein Risiko für die Rechte betroffener Personen darstellen. Und dann möglichst innerhalb von 72 Stunden.

Zunächst muss also festgestellt werden, ob es tatsächlich einen Datenschutzvorfall gab, also ob z.B. unbefugte Personen Daten eingesehen haben, ob ein Datenabfluss erfolgt ist, oder ob Personendaten zu anderen Zwecken als vorgesehen verwendet wurden. Danach ist zu einzuschätzen, ob überhaupt ein Risiko für betroffene Personen besteht – kein Risiko, keine Meldepflicht. Sicher: werden beide Prüfungen mit „ja“ beantwortet, dann ist mit der genannten Frist eine Meldung an die zuständige Aufsichtsbehörde abzugeben. Das geht im übrigen meist online. Möglicherweise reichen aber 3 Tage nicht, um die oben beschriebenen Klärung abzuschließen. In solchen Fällen melden Unternehmen auch schon mal vorsorglich. Beispielsweise, wenn besonders sensible Daten oder sehr viele Personen betroffen sein können. Unabhängig von der Meldefrist an die Behörde dürfen die eigentlich Betroffenen nicht vergessen werden. Wenn das Risiko für diese Personen als hoch eingeschätzt wird, sind sie auf jeden Fall unverzüglich zu informieren (Art. 34 DSGVO).

Mythos #3: Man braucht die neueste Informationstechnik

Die Wahrheit: Es sind technische und organisatorische Maßnahmen zu treffen, damit personenbezogene Daten mit einem angemessenen Schutzniveau verarbeitet werden (Artt. 24, 25, 32 DSGVO). Die Maßnahmen sind risikoorientiert zu bemessen, wobei hier das Risiko für die betroffenen Personen gemeint ist. Gesundheitsdaten bedürfen auf jeden Fall höherer Schutzmaßnahmen als allgemeine Adressdaten.

Bei der Wahl der Maßnahmen zu berücksichtigen sind ebenso der Stand der Technik („was ist verfügbar und hat sich in der Praxis bewährt“) sowie die Implementierungskosten („was können wir uns leisten“). Der Neuigkeitsgrad der Produkte ist nachrangig, und die Kosten müssen in ein geschäftsübliches Budget passen. Wer im Zweifel ist, ob er den Stand der Technik einhält: konkret werden Pseudonymisierung (wie etwa die Verkürzung der IP-Adresse bei Google Analytics) und Verschlüsselung genannt (z.B. Festplatten, Übertragungswege, E-Mails). Die dazu notwendigen Technologien sind verfügbar und durchaus bezahlbar. Ebenso sind regelmäßige Updates und Backups heute Standard. Hier zu sparen, ist schlicht unvernünftig.

Mythos #4: Es droht eine Dokumentations-Flut

Die Wahrheit: Dokumentation zum Datenschutz, wie etwa die Beschreibung von Verarbeitungen, ist bereits seit vielen Jahren Pflicht. Neu ist, dass sich die Beweislast umkehrt: war bisher der Verstoß gegen Datenschutzgesetze zu belegen, ist nun die Organisation bzw. ihre Leitung dazu verpflichtet, die Einhaltung der Datenschutzgesetze nachzuweisen.

Wer noch wenig getan hat, muss auf jeden Fall die wichtigsten Anwendungen und Prozesse mit den geforderten Inhalten beschreiben. Beispielsweise müssen zur Personalverwaltung u.a. Zwecke, Datenkategorien und Löschfristen benannt werden. Wo man nicht weiterkommt, helfen Datenschutzexperten und Beauftragte. Die vom Gesetz geforderten Angaben sind letztlich überschaubar und können zügig durch die Prozess- oder IT-Verantwortlichen beantwortet werden. Führt eine Organisation dann noch regelmäßig (= mindestens jährlich) Kontrollen durch und dokumentiert diese, ist sie bereits gut auskunftsfähig.

Fazit: Wer mit Personendaten verantwortlich und fair umgeht,  muss sich nicht ins Bockshorn jagen lassen.