Der Mythos von der gefährlichen Datenschutz-Grundverordnung
DEMO

Der Mythos von der gefährlichen Datenschutz-Grundverordnung

Future of Work

Der Mythos von der gefährlichen Datenschutz-Grundverordnung

January 25, 2018 Lars Kripko

Gerade in den letzten Monaten hat sich der Austausch über die DSGVO zwischen Cornerstones Datenschutzteam und Kunden, Interessenten oder Datenschutzkollegen auf nationalen, europäischen oder internationalen Veranstaltungen intensiviert. Zeit für ein kurzes Fazit dazu, was es für Unternehmen zu beachten gibt und auf einige entstehende Mythen hinzuweisen.

Die EU Datenschutz-Grundverordnung – kurz: DSGVO – ist eine Verordnung der EU, mit der die Verarbeitung von personenbezogenen Daten durch Unternehmen und öffentliche Stellen europaweit einheitlicher geregelt wird. International findet die Verordnung besondere Beachtung, weshalb auch die internationale Abkürzung GDPR häufig verwendet wird. Die Verordnung ersetzt eine Datenschutz Richtlinie aus dem Jahr 1995. Im Unterschied zur Richtlinie gilt die Verordnung unmittelbar in allen EU Mitgliedsländern. Die DSGVO ist zum Beispiel ab dem 25.05.2018 direkt von den Unternehmen anzuwenden. Der Text der DSGVO ist offiziell seit Mai 2016 veröffentlicht.

Das Thema Datenschutz spielt unbestritten in Deutschland eine wichtige Rolle. Auch wenn die Gesetze zum Datenschutz recht jung und in ihrer Abstraktheit mit dem Hauch des Unerklärlichen behaftet bleiben. Dabei sind unsere Erfahrungen mit gesetzlichen Regelungen von Persönlichkeitsrechten schon recht alt, denken wir an das Recht am eigenen Bild, das in den 20er Jahren des letzten Jahrhunderts die Persönlichkeitsrechte der abgebildeten Person mit den Rechten des Fotografen und den Nutzern der Fotografie ausgleichen musste. Aber zurück ins Zeitalter des Internet, Smartphones und Software as a Service.

Studien zeigen, dass ein Teil der deutschen Unternehmen sich immer noch schwertut, die neuen Datenschutzbestimmungen in ihre IT-Infrastruktur und HR-Abteilungen aufzunehmen. Laut einer Erhebung der Bitkom aus dem letzten Jahr haben sich 44 Prozent der befragten Manager noch nicht mit der GDPR beschäftigt. Mit solchen Zahlen und dem neuen Bußgeldrahmen wird gerne die Hysterie im Netz befeuert. Manche Software- und Service Nutzer spüren womöglich deshalb besonderen Druck, die Umsetzung der Grundverordnung jetzt schnellstmöglich einfach nur nachzuweisen.

Datenschutz als Geheimhaltung von personenbezogenen Daten?

Als Abkürzung kann man natürlich von seinem Provider verlangen, die Compliance mit der DSGVO zu bestätigen. Der Schutz der personenbezogenen Daten verkommt in diesen Fällen aber zum Papiertiger. Mittelfristig erfolgreicher und notwendig ist dagegen der offene Austausch zwischen den beteiligten Unternehmen, um die Verantwortlichkeiten für personenbezogene Daten, entstehende Risiken für Betroffene und angemessene Schutzmaßnahmen in enger Zusammenarbeit, um best practices vieler Unternehmen zu profitieren.

Die DSGVO wie auch ergänzende nationale Datenschutznormen sind nämlich eher Abwägungen des Gesetzgebers über Sachverhalte, in welchen Fällen zum Beispiel welche Daten zu welchem Zweck erlaubt sind. Wenn also ein Gesetz die Verarbeitung personenbezogener Daten erlaubt, ist eine Einwilligung nicht notwendig und vor allem für den Betroffenen irreführend, denn er glaubt ja gerade die Einwilligungen jederzeit widerrufen zu können. Ein solcher Widerruf wird aber Unternehmen, die beispielsweise Bewerberdaten zur Auswahl der besten Kandidaten speichern, in Schwierigkeiten bringen, sollte die Auswahlentscheidung auf Einhaltung des Gleichbehandlungs-Grundsatzes überprüft werden. Wann immer ein Unternehmen vor Gericht, Behörden oder Vertragspartnern bestimmte Sachverhalte nachweisen muss, wird das Unternehmen die Informationen zum Sachverhalt speichern müssen, deshalb schafft der Gesetzgeber hier auch bestimmte Rechtsgrundlagen. Wohl am deutlichsten wird dies in steuerrechtlichen Sachverhalten, wo Unternehmen wie Privatpersonen kaum Spielraum haben; sie müssen nachweisen können, wer Kosten verursacht hat, beispielsweise Reise- oder Fortbildungskosten von Mitarbeitern. Um die Betroffenen wirklich transparent über die Verarbeitung personenbezogener Daten aufzuklären, sollten keine unnötigen Einwilligungen eingeholt werden.

Datenschutz wird zuweilen als die Geheimhaltung von personenbezogenen Daten dargestellt. Mit diesem Mythos werden jedoch zwei weitere Schutzziele vernachlässigt. Als Betroffene hat man in verschiedenen Szenarien ein besonderes Interesse daran, dass die personenbezogenen Daten verfügbar sind und der Realität entsprechen. Die Grundverordnung spricht hier von Integrität und Verfügbarkeit der personenbezogenen Daten. Die Beispiele aus dem vorherigen Mythos lassen sich hier nahtlos fortführen. Man stelle sich beispielsweise den Kandidaten vor, der Anzeichen für eine Benachteiligung erkennt, diese aber nicht geltend machen kann, weil die Daten der anderen Bewerber nicht mehr verfügbar sind.

Unterm Strich

Über die GDPR gab und gibt es unterschiedliche Meinungen, auch zwischen Theorie und Praxis gibt es seit jeher Differenzen, wie zwischen Behörden und Unternehmen. Ähnlich verläuft es auch zwischen den Mitgliedsländern der EU. Mit dem Text der DSGVO haben wir eine gute Grundlage, um praktikable Lösungen zu finden, wenn wir uns offen über den Schutz personenbezogener Daten austauschen.

About Lars Kripko

Comments

Keinen Artikel mehr verpassen?

Our RSS Feeds

Cornerstone Blog Feed

Lernen Sie, wie unser integriertes Talent Management Sie bei Ihren Herausforderungen unterstützt.
Erfahren Sie mehr über unsere Produkte