Ein Jahr DSGVO ‒ Datenschutz bleibt weiter eine Herausforderung für Unternehmen

| Der 25.5.2018 wird nicht nur Datenschutzexperten, sondern auch vielen Unternehmen in Erinnerung bleiben. Seit diesem Tag ist die EU-Datenschutzgrundverordnung (DSGVO) nach zweijähriger Übergangsfrist in allen EU-Mitgliedstaaten unmittelbar anwendbar. Nach öffentlich spürbarer Aufregung im Jahr 2018, ist das einjährige DSGVO-Jubiläum Anlass für eine erste Zwischenbilanz und einen Ausblick: Was ist bislang passiert im Datenschutz? Was kommt in den nächsten Jahren? |

Rückblick

Etwa ab Anfang des Jahres 2018 rieben sich erfahrene Datenschutzexperten beim morgendlichen Blick in die Medien verwundert die Augen. Immer häufiger tauchte dort die Buchstabenkombination „DSGVO“ auf, oft verbunden mit einem Heischen nach Aufmerksamkeit: „Ab Mai: Neue Regelungen zum Datenschutz“, „Millionenbußen bei Datenschutzverstößen“ oder „Datenverarbeitung ab Ende Mai nur noch mit Einwilligung“ ‒ so exemplarische Überschriften. Aus Expertensicht überraschend war zum einen der hohe Anteil an Falschmeldungen, wie etwa dem Mythos von der stets erforderlichen Einwilligung, zum anderen die verspätete Aufmerksamkeit für das Thema. Denn: Die Datenschutzgrundverordnung, die hinter dem Kürzel steht, war bereits zwei Jahre zuvor, nach ihrer Veröffentlichung im EU-Amtsblatt am 24.5.2016, in Kraft getreten ‒ lediglich die Anwendbarkeit wurde um zwei Jahre aufgeschoben.

Eigentlich hinreichend Zeit, um sich auf den neuen Rechtsrahmen vorzubereiten ‒ so hätte man denken können. Viele Unternehmen haben die Übergangsfrist adäquat genutzt und dezidierte Projekte zur „DSGVO Readiness“ aufgesetzt. Sie mussten in der Regel die unternehmensinternen Datenverarbeitungsvorgänge und etwaige konzerninterne Datenflüsse zunächst aufnehmen und ‒ im Hinblick auf die Dokumentationspflichten der DSGVO ‒ im sogenannten „Verzeichnis der Verarbeitungstätigkeiten“ erfassen. Sie mussten zudem prüfen, ob der Status quo weiterhin zulässig sein würde ‒ gelegentlich mussten Verarbeitungsvorgänge angepasst werden. Unternehmen mussten ergänzende Anforderungen erfüllen, wie die neuen transparenten Informationen an betroffene Personen und verlässliche Prozesse für die sogenannten „Betroffenenrechte“, wie etwa das Recht auf Auskunft oder Datenportabilität. Im Vorteil waren diejenigen Unternehmen, die bereits vor der neuen Verordnung die Anforderungen des Datenschutzrechts ernst genommen hatten. Umgekehrt traf die DSGVO diejenigen besonders hart, die Datenschutz als lästige Pflicht auf die lange Bank geschoben hatten.