Während in den vergangenen Wochen die DSGVO ihr 1-jähriges Jubiläum gefeiert hat, könnte man langsam annehmen, dass der datenschutzrechtliche Rahmen, den der europäische Gesetzgeber mit der DSGVO schaffen wollte, zwischenzeitlich durch Urteile, Stellungnahmen und Auslegungen mehr als ausgefüllt wurde. Dennoch vergeht kaum ein Monat, ohne das die DSGVO in ihrer Umsetzung weitere Änderungen erfährt. Heute geht es mir neben den neuen Änderungen zur DSGVO um etwas “Größeres“. Wenn Du heute als Mittelständler oder Selbständiger erfolgreich sein willst, gehört deutlich mehr dazu, als noch vor einigen Jahren. Den Kunden verstehen, ja. Bedürfnisse erkennen, am Trend der Zeit sein. Heute gibt es allerdings noch mehr Erfolgsfaktoren und –kriterien, die man auf seinem Erfolgsradar haben sollte: Synergieeffekte heben, Aufwände reduzieren, Nachhaltigkeitsaspekte berücksichtigen, rechtliche Anforderungen erfüllen. Bei einem meiner letzten Kunden wurde ich – zugegebenermaßen mit einem Augenzwinkern gemeint – gefragt, wie man es denn bei all den Veränderungen schaffen soll, sich noch auf den Kunden zu konzentrieren. Wie soll man Umsatz machen und Gewinn erwirtschaften, während gefühlt in doppeltem Umfang die Aufwände steigen, die man für die Erfüllung rechtlicher Anforderungen benötigt? Ein Tag hat bekanntermaßen 24h, woher also die Zeit nehmen, sich intensiv über diese Themen Gedanken zu machen und die Umsetzungsprobleme strategisch, d. h. kosten- und ertragsoptimiert, lösen? Und genau hier liegt das Kernproblem, vor dem Viele stehen. Eine Feuerwehr erst zu gründen, Löschfahrzeuge und –personal erst dann zu beschaffen, während das Haus bereits im Dachstuhl brennt, wird nicht die Lösung sein, die zum Erfolg führt. Da kann ein System unterstützen und der Rauchmelder sein, der eine frühe Handlungsempfehlung initiieren kann. Damit wir uns richtig verstehen: Es muss nicht darum gehen, in einem Verein oder in jedem mittelständischen Unternehmen oder bei einem 1-Personen-Einzelunternehmen Abteilungs- und Konzernstrukturen zu etablieren. Damit würde man sicherlich über das Ziel hinausschießen. Die Herausforderungen sind dabei grundsätzlich ähnlich: Neue rechtliche Anforderungen, prozessuale Umsetzungsschwierigkeiten, das Ich-muss-mich-jetzt-auch-noch-mit-diesen-Themen-beschäftigen-Problem. Um beim brandheißen Beispiel zu bleiben bietet es sich also an, strategisch an die Herausforderungen heranzugehen und diese zu lösen. Reduziert Kosten, führt zum Erfolg und nicht selten spart es Nerven. Um die Eingangsfrage wieder aufzugreifen, was bedeutet also die Regeltreue für Euch? Grundsätzlich müsst ihr erstmal feststellen, von welchen Regelungen ihr betroffen sein könnt, bevor es an deren Einhaltung geht. Und dieser erste Schritt kann bereits so umfangreich sein, dass man schnell den Wald vor lauter Bäumen nicht mehr sieht. Und die DSGVO ist da ein sehr passendes, praktisches Beispiel. Es ist dabei letztendlich in der Umsetzung nicht nur damit getan, Datenschutzhinweise auf einer Homepage aufzunehmen. Bei einem Verein kann es schnell dazu führen, dass ganze Satzungen und Trainervereinbarungen umgeschrieben werden müssen. Selbständige müssen sich die Frage stellen, wie über welche Medien-Kanäle Marketing betrieben wird und ob Verarbeitungsverzeichnisse geführt werden müssen. Und die zur Konsultation veröffentlichte Leitlinie 2/2019 des Europäischen Datenschutzausschusses (EDSA) vom 12. April 2019 macht es nicht einfacher, was die Umsetzung der DSGVO im Kontext von Online-Dienstleistungen betrifft. Ihr bietet keine Online-Dienstleistungen an? Ich würde ja jetzt gerne sagen, dass sich die Richtlinie für Euch erledigt hat – aber weit gefehlt. Die neue Leitlinie (im Original: “Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects“) betrifft in erster Linie ausdrücklich die Verarbeitung personenbezogener Daten im Kontext von Online-Dienstleistungen und –Verträgen. Achtet man jedoch auf die Formulierungen in der Leitlinie der EDSA fällt auf, dass dieser überwiegend sehr neutral formuliert sind. Es kann daher angenommen werden, dass die in der Leitlinie getätigten Aussagen durchaus auf andere Vertragsformen übertragbar sind. Und damit zieht die Leitlinie einen erheblichen Mehraufwand für Jeden nach sich, der auf Vertragsbasis mit Kunden arbeitet. Die Leitlinie 2/2019 definiert dabei neu bzw. erweitert die Grundsätze der Datenverarbeitung (vage Beschreibungen sind zukünftig nicht ausreichend!), umfasst weitere Erlaubnistatbestände, führt die Erforderlichkeit weiter aus und bildet spezifische Anwendungsfälle ab. Dabei wird auf die Verarbeitung und den Umgang mit Daten bei bzw. nach der Beendigung eines Vertrages im Speziellen Bezug genommen.
Fragen zur neuen Leitlinie und wie ihr diese umsetzen müsst? Interesse an einem “Feuermelder zur Regeltreue“? Spendiert Euch, eurem Unternehmen und Verein doch einmal Urlaub von der Umsetzung rechtlicher Anforderungen und kommt bei Fragen oder Terminwünsche über 0173 6952636 oder [email protected] auf mich zu.