Der Mythos von der gefährlichen DSGVO

Gerade in den letzten Monaten hat sich der Austausch über die DSGVO auf nationalen und europäischen Veranstaltungen intensiviert. Im Rahmen der GDPR-Ready-Initiative gilt es nun klarzustellen, was es für Unternehmen wirklich zu beachten gibt und auf einige entstehende Mythen hinzuweisen.

Die neue Datenschutz-Grundverordnung – kurz: DSGVO und im internationalen Sprachgebrauch vor allem als GDPR bekannt ist – ist eine Verordnung der EU, mit der die Regeln für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen europaweit vereinheitlicht werden sollen. Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Ziel der neuen Verordnung ist es, den Schutz von personenbezogenen Daten, sowie den freien Datenverkehr innerhalb des Europäischen Binnenmarktes besser zu gewährleisten. Was gibt es für Unternehmen da zu beachten? Und was ist nur Panikmache?

Anzeige

Das Thema Datenschutz spielt in Deutschland eine wichtige Rolle. Dennoch sind die Gesetze zum Datenschutz recht jung und womöglich aus diesem Grund mit dem Hauch des Unerklärlichen behaftet. Sicher gab es schon seit Jahrzehnten Verordnungen wie das Postgeheimnis oder eine Verschwiegenheitspflicht, aber tatsächlich lieferte erst 1970 das Land Hessen das erste Datenschutzgesetz der Welt, woraufhin der Bund 1977 für ganz Deutschland folgte – und daraufhin der Rest der Welt. Da verwundert es nicht, dass gerade deutsche Unternehmen im Vergleich zu anderen Staaten einen hohen Anspruch an den Schutz personenbezogener Daten haben. Leider bringt ein hohes Datenschutzniveau auf nationaler Ebene aber nicht viel, wenn es um den internationalen Datenaustausch und um das Internet geht. Mit der GDPR wird das Datenschutzrecht nun immerhin europäisch. Inkrafttreten wird es am 25. Mai 2018.

Studien zeigen, dass ein Teil der deutschen Unternehmen sich immer noch schwertut, die neuen Datenschutzbestimmungen in ihre IT-Infrastruktur und HR-Abteilungen aufzunehmen. Nach Zahlen der IDC-Studie, die in Zusammenarbeit mit Cornerstone OnDemand entstanden ist, haben sich 44 Prozent der befragten Manager noch nicht mit der GDPR beschäftigt. Mit solchen Zahlen und dem neuen Bußgeldrahmen wird gerne die Hysterie im Netz befeuert.

Manche Software- und Service Nutzer spüren womöglich deshalb besonderen Druck, die Umsetzung der Grundverordnung jetzt schnellstmöglich einfach nur nachzuweisen. Als Abkürzung kann man natürlich von seinem Provider verlangen, die Compliance mit der DSGVO zu bestätigen. Der Schutz der personenbezogenen Daten verkommt in diesen Fällen aber zum Papiertiger. Mittelfristig erfolgreicher und vom Grundgedanken notwendig ist dagegen der offene Austausch zwischen den beteiligten Unternehmen, um die Verantwortlichkeiten für personenbezogene Daten, entstehende Risiken für Betroffene und angemessene Schutzmaßnahmen in enger Zusammenarbeit zu steuern. So könnten auch alle von den „best practices“ profitieren.

Datenschutz als Geheimhaltung von personenbezogenen Daten?

Die DSGVO wie auch ergänzende nationale Datenschutznormen sind nämlich eher Abwägungen des Gesetzgebers über Sachverhalte, in welchen Fällen zum Beispiel welche Daten zu welchem Zweck erlaubt sind. Wenn also ein Gesetz die Verarbeitung personenbezogener Daten erlaubt, ist eine Einwilligung nicht notwendig und vor allem für den Betroffenen irreführend, denn er glaubt ja gerade mit der Einwilligung selbst eine gewisse Kontrolle zu haben, die Einwilligungen jederzeit widerrufen zu können. Ein solcher Widerruf wird aber Unternehmen, die beispielsweise Bewerberdaten zur Auswahl der besten Kandidaten speichern, in Schwierigkeiten bringen, sollte die Auswahlentscheidung auf Einhaltung des Gleichbehandlungs-Grundsatzes überprüft werden.

Wann immer ein Unternehmen vor Gericht, Behörden oder Vertragspartnern bestimmte Sachverhalte nachweisen muss, wird das Unternehmen die Informationen zum Sachverhalt speichern müssen, deshalb schafft der Gesetzgeber hier auch bestimmte Rechtsgrundlagen. Wohl am deutlichsten wird dies in steuerrechtlichen Sachverhalten, wo Unternehmen wie Privatpersonen kaum Spielraum haben; sie müssen nachweisen können, wer Kosten verursacht hat, beispielsweise Reise- oder Fortbildungskosten von Mitarbeitern. Um die Betroffenen wirklich transparent über die Verarbeitung personenbezogener Daten aufzuklären, sollten keine unnötigen Einwilligungen eingeholt werden, aber in der Datenschutzerklärung auf diese rechtlich erforderlichen Verarbeitungsschritte hingewiesen werden.

Datenschutz wird zuweilen als die Geheimhaltung von personenbezogenen Daten dargestellt. Mit diesem Mythos werden jedoch zwei weitere Schutzziele vernachlässigt. Als Betroffene hat man in verschiedenen Szenarien ein besonderes Interesse daran, dass die personenbezogenen Daten verfügbar sind und der Realität entsprechen. Die Grundverordnung spricht hier von Integrität und Verfügbarkeit der personenbezogenen Daten. Die Beispiele aus dem vorherigen Mythos lassen sich hier nahtlos fortführen. Man stelle sich beispielsweise den Kandidaten vor, der Anzeichen für eine Benachteiligung erkennt, diese aber nicht geltend machen kann, weil die Daten der anderen Bewerber nicht mehr verfügbar sind.

Unterm Strich

Über die GDPR gab und gibt es unterschiedliche Meinungen, auch zwischen Theorie und Praxis gibt es seit jeher Differenzen, wie zwischen Behörden und Unternehmen. Ähnlich verläuft es auch zwischen den Mitgliedsländern der EU. Mit dem Text der DSGVO haben wir eine gute Grundlage, um praktikable Lösungen zu finden, wenn wir uns offen über den Schutz personenbezogener Daten austauschen.

cornerstoneondemand.de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.