Hat sich der DSGVO-Nebel seitdem gelichtet?

Die vorherrschende Unsicherheit führte zu einigen Kuriositäten: Manche Webseiten wurden von den Betreibern vorsorglich deaktiviert und es entstand eine Diskussion über Namen auf Klingelschildern. Doch die befürchtete große Welle an Abmahnungen und Prüfungen durch die zuständigen Behörden blieben zunächst aus. Dies lag auch an der hohen Auslastung der zuständigen Behörden durch den großen Beratungsbedarf und die erheblichen administrativen Bearbeitungsaufwände.

Zunächst begannen die Behörden ab Juni 2018 mit kleineren, stichprobenartigen Überprüfungen, wie beispielsweise in Niedersachsen. Dort erhielten 50 Unternehmen, davon 20 große und 30 mittelgroße, unterschiedlicher Branchen einen Fragebogen zu zehn Bereichen des Datenschutzes. Ziel des Fragebogens war eine weitere Sensibilisierung für die Thematik sowie eine erste Einschätzung zur praktischen Umsetzung der DSGVO.

Welche Auswirkungen hat die Grundverordnung auf das Fotografieren sowie das Veröffentlichen von Bildern? Im Bereich der Fotografie und des Journalismus sorgte die DSGVO ebenso für Unsicherheiten, sogar bei der Polizei. Dürfen Journalisten Demonstranten ohne deren Einwilligung fotografieren oder verstößt das gegen die DSGVO? Mit derartigen rechtlichen Fragestellungen sehen sich Polizisten im Einsatz vermehrt konfrontiert, wie beispielsweise in München. Dort wurden Journalisten und Fotografen bei einer Versammlung beschuldigt, mit ihren Bildaufnahmen gegen die DSGVO zu verstoßen. Daraufhin wurde die Speicherkarte eines Fotografen beschlagnahmt und dessen Personalien aufgenommen, obwohl es kein Verstoß gegen die DSGVO war. Bei einer weiteren Veranstaltung stellte ein Pegida-Aktivist Anzeige, weil von der Fachinformationsstelle Rechtsextremismus München ein Informationsflyer über die Organisation verteilt wurde, der ihn abbildete. Auch in diesem Fall wurden die Personalien des Flyerverteilers aufgenommen. Durch derartige Vorfälle wird deutlich, dass in der Praxis noch nicht jedem vollumfänglich bewusst ist, wie die DSGVO umzusetzen ist.

Für mehr Klarheit sorgte das Oberlandesgericht Köln im Juni mit einem ersten Gerichtsbeschluss. Demnach verliert das existierende Kunsturhebergesetz durch die DSGVO nicht seine Gültigkeit, wodurch auch weiterhin Bilder zu journalistischen Zwecken veröffentlicht werden dürfen.

Im Oktober wollte eine Wohnungsbaugesellschaft in Wien die Namen auf Klingelschildern in Wohnblöcken entfernen beziehungsweise anonymisieren, um nicht gegen die Datenschutz-Grundverordnung zu verstoßen. Durch diese Pläne entstand eine öffentliche Diskussion, die auch schnell nach Deutschland gelangte. Zwar handelt sich bei den Namen durchaus um personenbezogene Daten, allerdings zählt das Anbringen am Klingelschild nicht als automatische Verarbeitung und fällt somit nicht unter die DSGVO.

Die erste hohe Geldstrafe für Verstöße gegen die DSGVO, vor der sich die Firmen am meisten fürchten, wurde im Oktober gegen ein Krankenhaus in Portugal verhängt. Da zu viele unbefugte Personen Zugriff auf sensible und besonders schützenswerte Patientendaten hatten, soll das Krankenhaus 400.000€ Strafe zahlen. So gab es im System beispielsweise 985 aktivierte Nutzer mit einem Ärzteprofil obwohl zu diesem Zeitpunkt lediglich 296 Ärzte dort arbeiteten.

Die große anfängliche Verunsicherung in Bezug auf die Datenschutz-Grundverordnung hat sich mittlerweile etwas gelegt, doch es wird noch dauern bis sich der Nebel rund um die DSGVO vollständig aufgelöst hat. Diese Beispiele und die anhaltende Präsenz in den Medien zeigen, dass auch weiterhin Unsicherheiten bestehen, weshalb sowohl Unternehmen als auch Privatpersonen für das Thema Datenschutz weiter sensibilisiert werden sollten, um bewusster mit personenbezogenen Daten umzugehen.

Welche Maßnahmen sollten mittlerweile umgesetzt sein?

Derart hohe Strafen wie in Portugal lassen sich durch die Gewährleistung eines grundlegenden Datenschutzes vermeiden. Im ersten Schritt wird dies durch die Berufung eines Datenschutzbeauftragten sowie die datenschutzkonforme Außendarstellung des Unternehmens erreicht. Dazu sollten zum Beispiel der Datenschutz-Passus und das Bewerbungsformular auf der Webseite angepasst werden. Für die legitime Nutzung von Bild- und Tonaufnahmen von Mitarbeitern und Eventbesuchern empfiehlt sich die Erstellung und Etablierung von Einwilligungsformularen.

Im nächsten Schritt gilt es, alle Mitarbeiter zu schulen und für die Thematik zu sensibilisieren. Für besonders kritische Bereiche, wie Marketing und HR, sind darüberhinausgehende Trainings sinnvoll, um den Umgang mit personenbezogenen Daten innerhalb der Bereiche zu vertiefen. Vor allem im Bereich des Bewerbermanagements gibt es viel zu beachten, wie die Anonymisierung und Löschung abgelehnter Bewerberdaten sowie die Aktualisierung des Personalbogens gemäß den aktuellen gesetzlichen Regelungen.

Ein weiterer Schwerpunkt ist die Entwicklung eines Konzepts für die Auftragsverarbeitung mit Kunden und Dienstleistern.

Gemäß DSGVO ist jedes Unternehmen außerdem verpflichtet, ein Verfahrensverzeichnis zu führen. Entsprechend sollten in Absprache mit den relevanten Fachbereichen alle Verfahren mit Berührpunkten zu personenbezogenen Daten identifiziert und anschließend dokumentiert werden.

Ist das Thema Datenschutz damit abgeschlossen?

Der Schutz sensibler, personenbezogener Daten ist ein fortlaufender Prozess. Es gilt also, immer weiter am Datenschutz und der Optimierung zu arbeiten. Das bedeutet zum Beispiel die Definition wiederkehrender Aufgaben, wie der Schulung neuer Mitarbeiter und der kontinuierlichen Erweiterung des Verfahrensverzeichnisses.