Die DSGVO ist zum Schlagwort für rechtliche Herausforderungen an digitale Unternehmen geworden. In der öffentlichen Wahrnehmung schien der 25. Mai 2018 – jener Tag, an dem die EU-Datenschutzgrundverordnung ihre unmittelbare Wirkung entfaltete – der Wendepunkt für Unternehmen und Verbraucher zu sein.
Woraus resultierte dieser Hype um eine neue europäische Verordnung? Auch vor der DSGVO gab es bereits ein umfassendes Bundesdatenschutzgesetz, das dem europäischen Verordnungsgeber sogar in weiten Teilen als Vorlage diente. Prägend in der öffentlichen Wahrnehmung waren jedoch die zahlreichen formellen Anforderungen an Unternehmen und der hohe Strafrahmen, mit denen mögliche Verstöße gegen die DSGVO geahndet werden können: bis zu 20 Millionen Euro oder (für globale Konzerne weitaus beängstigender) bis zu vier Prozent des weltweiten Jahresumsatzes. Dass es sich bei diesen drakonisch klingenden Strafen aber eben nur um Höchststrafen handelt, die im konkreten Einzelfall auch verhältnismäßig sein müssen, beruhigt Unternehmer beim Gedanken an die DSGVO kaum.
Tatsächlich schöpfen die Datenschutz-Aufsichtsbehörden den Strafrahmen bislang nicht annähernd aus. Es gab bislang generell nur wenige behördliche Verfahren aufgrund neuer Vorschriften der DSGVO. Das liegt auch daran, dass die zuständigen Datenschutzbeauftragten der Länder personell stark unterbesetzt sind und gar nicht in der Lage wären, sämtliche Betriebe unterschiedlicher Branchen und Größe zu überprüfen.
Aber auch die vielfach prognostizierten Abmahnwellen sind weitgehend ausgeblieben. Eine „Abmahnindustrie“ hat sich im Zusammenhang mit der DSGVO nicht entwickelt. Das verwundert nur auf den ersten Blick. Abmahnungen durch konkurrierende Unternehmen bringen immer das Risiko mit sich, selbst in den Fokus datenschutzrechtlicher Prüfungen zu gelangen. Die größte Quelle von Abmahnungen ist vielmehr der Verbraucher, dessen Beschwerden sich aber vielfach anderweitig aufklären und beheben lassen.
Startups sollten sich nicht in falscher Sicherheit wiegen
Als Zwischenfazit nach dem DSGVO-Sommer lässt sich also festhalten: Die Panik ist verklungen. Allerdings sollten sich Unternehmen und ganz besonders Startups nicht in falscher Sicherheit wiegen. Die DSGVO hat bei aller gebotenen Gelassenheit zusätzliche datenschutzrechtliche Anforderungen mit sich gebracht. So muss nun jeder Datenprozess gründlich dokumentiert werden. Ein E-Commerce-Unternehmen muss etwa festhalten, wann es welche Verbraucherdaten aufnimmt und zu welchem Zweck es diese verwendet. Hierzu zählen Namen und Zahlungsinformationen, aber auch Daten, die über das Kaufverhalten Auskunft geben.
Ein Grundgedanke der DSGVO ist es, die Einhaltung datenschutzrechtlicher Vorgaben nicht nur sicherzustellen, sondern diese darüber hinaus auch zu dokumentieren und beweisen zu können. Es gilt also in gewisser Weise keine „Unschuldsvermutung“. Verschärft und ergänzt wird die Dokumentationspflicht durch die Selbstanzeigepflicht bei Datenpannen. Bemerkt ein Unternehmen eine Verletzung datenschutzrechtlicher Vorschriften, etwa weil Kundendaten ohne Einwilligung an Geschäftspartner weitergegeben wurden, muss das Unternehmen dies proaktiv bei der Aufsichtsbehörde melden, solange der Verstoß nicht völlig unerheblich ist. Diese Verpflichtung ist eine bemerkenswerte Ausnahme zu dem Grundsatz, dass sich niemand selbst wegen einer Ordnungswidrigkeit (oder gar Straftat) belasten muss.
Die Vorschriften der DSGVO gelten für alle Branchen und Unternehmen. Auch kleine Startups können mit einem erheblichen Aufwand konfrontiert sein, um sie umzusetzen. Ein Beispiel hierfür ist die Notwendigkeit eines eigenen Datenschutzbeauftragten. Die DSGVO stellt nicht nur auf die Größe des Unternehmens ab (mehr als zehn Mitarbeiter mit Datenzugang), sondern auch darauf, ob dieses ein besonders datensensibles Geschäftsmodell verfolgt. Selbst ein kleines Startup mit weniger als zehn Mitarbeitern benötigt daher einen Datenschutzbeauftragten, wenn es beispielsweise besonders schutzbedürftige Gesundheitsdaten verarbeitet.
Datenschutzrecht schon bei Entwicklung des Geschäftsmodells wichtig
Das Datenschutzrecht spielt also bereits bei der Entwicklung eines Geschäftsmodells eine wichtige Rolle. Je früher datenschutzrechtliche Überlegungen einbezogen werden, desto leichter fällt die Umsetzung der DSGVO. Datenschutz gehört per se zum Kernbereich des Compliance-Systems in digitalen Unternehmen. Und alle Bemühungen zur Einhaltung von Rechtsvorschriften (Compliance) sind frühzeitig und präventiv umzusetzen.
Bei allem Zusatzaufwand, den die DSGVO im Unternehmensalltag mit sich bringen mag, bietet sie auch Chancen im Markt: Sie stellt einen weitgehend einheitlichen Datenschutz-Standard für ganz Europa bereit. Eine Expansion ins EU-Ausland wird hierdurch erleichtert. Fazit: Die DSGVO ist kein Grund zur Panik, auch wenn Ihre Umsetzung nicht unterschätzt werden sollte.