Anzeige
Anzeige
Anzeige
EU-DSGVO: Wie man die Beweislastumkehr bei der DSGVO meistert
Bild: SKW
07.02.2018 - Obwohl die Übergangsfrist für die Datenschutzgrundverordnung (DS-GVO) am 25. Mai 2018 endet, sind viele Unternehmen nicht hinreichend darauf vorbereitet. Rechtsanwalt Nikolaus Bertermann hat Umsetzungsprojekte begleitet und verrät in ONEtoONE, was Marketingentscheider beachten müssen.
von Joachim Graf
Reicht es aus, wenn Unternehmen ihre Dokumente verändern? Oder sind es tiefgreifende Veränderungen im Zusammenspiel von Menschen, Prozessen und Systemen?
Nikolaus Bertermann: Die Überarbeitung und Ergänzung der internen Datenschutzdokumentation sowie die Anpassung von Verträgen an die neuen Anforderungen sind wichtige Grundlagen in jedem Umsetzungsprojekt zur Datenschutz-Grundverordnung. Aber die gesetzlichen Veränderungen reichen viel weiter. Beispielsweise gehen die neu eingeführten Informations- und Auskunftspflichten deutlich weiter als bisher. Auch die Anforderungen an die Gestaltung und den Betrieb von IT-Systemen steigen teils dramatisch, insofern sind Prozesse, Systeme und die Menschen betroffen
In der Praxis fällt die Umsetzung der DS-GVO Unternehmen mit einer bereits bestehenden Datenschutzdokumentation nach dem BDSG sehr viel leichter als Unternehmen, die bisher nicht genau auf die Einhaltung datenschutzrechtlicher Vorschriften geachtet haben. Zudem sind Unternehmen, die sich im Digital- und Dialogmarketing bewegen, besonders von den Veränderungen betroffen und haben entsprechend umfangreichen Anpassungs- und Umsetzungsbedarf.
Wie können sich Unternehmen auf die "Umkehr der Beweislast" einstellen?
Die "Umkehr der Beweislast" wird Unternehmen vor Augen führen, dass sie nach der DS-GVO mindestens eine umfassende Darlegungslast trifft. Dabei kann man mit Blick auf die unterschiedlichen sprachlichen Fassungen der DS-GVO durchaus fragen, ob es sich inhaltlich um einen "Beweis" im rechtlichen Sinne handelt. Klar ist aber, dass Unternehmen die Einhaltung der Vorgaben nachvollziehbar dokumentieren müssen. Dies setzt voraus, dass die Unternehmen über eine vollständige und aktuelle Datenschutzdokumentation verfügen und Prozesse implementiert haben, die die Einhaltung datenschutzrechtlicher Vorgaben sicherstellen oder jedenfalls unterstützen.
Wenn klar wird, dass die Bestimmungen bis zum Stichtag nicht umgesetzt werden können: Wie kann sich ein Unternehmen gegen Bußgelder schützen?
Die DS-GVO wurde bereits im Frühjahr 2016 veröffentlicht. Entsprechend machen die Vertreter der deutschen Aufsichtsbehörden bei ihren Vorträgen dazu regelmäßig klar, dass zwei Jahre zur Umsetzung der Anforderungen objektiv völlig ausreichend sind. Ein später Start in das eigene Umsetzungsprojekt ist nach ihrer Auffassung keine Entschuldigung dafür, nicht bis zum Stichtag fertig zu werden. Viele Behördenvertreter gehen außerdem davon aus, dass ein Bußgeld bei einem Verstoß gegen die Vorgaben der DS-GVO in Zukunft die Regel und nicht wie bisher die Ausnahme sein wird.
Gleichwohl werden Behörden eher von einem Bußgeld absehen, wenn Unternehmen erkennbar ernsthaft mit der Umsetzung der Anforderungen der DS-GVO begonnen haben und nur mit einzelnen Umsetzungsmaßnahmen noch nicht fertig geworden sind. Insofern sind Unternehmen gut beraten, die verbleibenden Monate dafür zu nutzen, mit der Umsetzung zumindest zu beginnen und auch zu dokumentieren, dass das Projekt ernsthaft und unter Nutzung aller verfügbaren Ressourcen in Angriff genommen wurde. Reine Lippenbekenntnisse werden hier jedoch nicht ausreichen.
Unsicherheiten bei der Auslegung einzelner Reglungen sind zudem kein Hinderungsgrund, denn die Kernvorgaben der DS-GVO sind bekannt und ausreichend klar. In Umsetzungsprojekten erleben wir immer wieder, dass sich Unternehmen in umstrittenen Detailfragen "verrennen" und dadurch in Verzug geraten. Entwickelt sich mit einer Aufsichtsbehörde Streit darum, ob Art und Umfang der Umsetzung den Anforderungen der Aufsichtsbehörde genügen, so ist bereits die Frage streitig, ob überhaupt ein Verstoß vorliegt. Insofern wird hier das Bußgeldrisiko regelmäßig niedriger sein als in Fällen, in denen die Anforderungen der DS-GVO bisher gar nicht umgesetzt wurden.
Weiterführende Links
Vorträge zum Thema:
Anzeige
HighText Verlag
Schäufeleinstr. 5
80687 München
Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de
Besuchen Sie auch:
Diese Website ist klimaneutral durch CO2-Ausgleich.
Wir unterstützen in Virunga in der D.R. Kongo das Projekt eines Wasserkraftwerks, das den dortigen Bewohnern saubere Energie liefert und die Abholzung im Virunga Nationalpark reduziert. Das Projekt ist nach Verified Carbon Standard (VCS) zertifiziert. Mehr dazu
Nachweis: www.climatepartner.com/16516-2105-1001