Ist Ihr Unternehmen bereit für die DSGVO?

Die Schonfrist ist vorbei. Wir räumen mit den verbreitetsten Irrtümern zum europäischen Datenschutzrecht auf.

Die europäische Datenschutzgrundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft. Sie regelt einheitlich für alle EU-Mitgliedsstaaten den Schutz personenbezogener Daten. Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.

Die fünf großen Irrtümer

1 "Kleine Unternehmen sind nicht betroffen"

Falsch. Die DSGVO unterscheidet grundsätzlich nicht nach Unternehmensgröße. Sobald Sie dauerhaft Daten verarbeiten (Buchhaltung, Personalmanagement, Kundenrechnungen), müssen Sie ein Verzeichnis der Verarbeitungstätigkeiten führen. Selbst Einzelunternehmer mit sensiblen Daten (z.B. Religionszugehörigkeit bei Angestellten) sind voll in der Pflicht.

2 "Der Stichtag ist noch weit weg"

Der 25. Mai 2018 war nicht das Datum des Inkrafttretens, sondern das Ende der zweijährigen Übergangsfrist. Seit diesem Tag wird keine Gnade mehr gewährt. Wer erst bei einer Anfrage reagiert, schafft es meist nicht innerhalb der gesetzlichen 4-Wochen-Frist.

3 "Das BDSG war schon streng genug"

Zwar war Deutschland Vorreiter, aber die DSGVO bringt völlig neue Pflichten: Das Recht auf Datenübertragbarkeit (maschinenlesbare Formate) und die aktive Beweispflicht für Einwilligungen verschärfen die administrative Last erheblich.

4 "Jemand wird mich schon informieren"

Als Teilnehmer am Wirtschaftsverkehr haben Sie eine Holschuld. Behörden führen keine individuellen Infoveranstaltungen durch. Unwissenheit schützt vor Strafe nicht – Sie müssen Ihre Abläufe selbst prüfen und dokumentieren.

5 "Wo kein Kläger, da kein Richter"

Ein gefährliches Spiel mit dem Feuer. Mitbewerber und Verbraucherschutzverbände haben ein aktives Interesse daran, Versäumnisse zu melden. Eine kurze E-Mail eines Betroffenen an den Landesdatenschutzbeauftragten genügt, um eine Prüfung auszulösen.

Fazit & Checkliste

Prüfen und erstellen Sie mindestens folgende Dokumente:

  • Verzeichnis von Verarbeitungstätigkeiten: Jede dauerhafte Datenverarbeitung muss dokumentiert sein.
  • Datenschutz-Folgenabschätzung: Das Unternehmen selbst muss kritische Fälle vorab bewerten.
  • Anpassung der Datenschutzerklärung: Hinweis auf Auskunft, Löschung und Übertragbarkeit.

"Si vis pacem para bellum; Wenn du den Frieden willst, bereite den Krieg vor." — Cicero