3 Fragen an: Stefan Sander zur neuen EU-Datenschutzgrundverordnung

Die neue Eu-Datenschutzgrundgesetzt bringt viele Herausforderungen mit sich, über die sich viele den Kopf zerbrechen.

Wir haben im Rahmen unserer Interview-Reihe "3 Fragen an" Stefan Sander, Rechtsanwalt und Fachanwalt für IT-Recht von SDS Rechtsanwälte dazu interviewt.

Herr Sander, die neue EU-Datenschutz-Grundverordnung ist zurzeit in aller Munde. Ab dem 25. Mai wird sie anzuwenden sein. Wieso betrifft das Thema jeden – vom Einzelunternehmer bis zum Konzern?

Die neue Datenschutz-Grundverordnung (DS-GVO) betrifft jeden, der mit personenbezogenen Daten umgeht, weil ein jeder „der Verantwortliche“ im Sinne des Gesetzes sein kann. Davon sind nur natürliche Personen ausgenommen, die Daten ausschließlich für persönliche bzw. familiären Tätigkeiten verarbeiten (beispielsweise, wenn sie zu einer Geburtstagsfeier einladen oder Geburtstage und Telefonnummern von Freunden im Handy speichern). Die neue DS-GVO lässt sich schön mit dem Steuerrecht vergleichen: Keiner möchte sich wirklich damit auseinandersetzen, jeder muss es aber zwangsläufig tun, weil empfindliche Strafen drohen. Auch und gerade vor Einzelunternehmern, Vereinen oder caritativen Einrichtungen macht die DS-GVO keinen Halt.

Viele Unternehmer sind unsicher, wie sie sich verhalten und was sie tun sollen. Was ist aus Ihrer Sicht ein möglicher erster Schritt?

Als erstes sollte man sich aus verlässlichen Quellen informieren. Verlässliche Informationen findet man zum Beispiel beim LDI NRW (Landesbeauftragte für Datenschutz und Informationsfreiheit NRW). Die Landesbeauftragte für den Datenschutz Niedersachsen bietet einen kurzen Fragebogen von nur 3 Seiten, der den Unternehmern alle wesentlichen Fragen stellt, die sie sich zur Vorbereitung auf die DS-GVO selbst stellen sollten: https://www.lfd.niedersachsen.de/startseite/dsgvo/fragen_zur_vorbereitung_auf_dsgvo/

Im Internet bieten manche Datenschützer ihre Dienstleistungen für 99 €/ Monat an. Was ist davon zu halten?

Für die korrekte Umsetzung EU-Datenschutzgrundverordnung reicht ein (ggf. externer) Datenschutzbeauftragter (DSB) nicht aus. Abgesehen davon, dass es sich bei diesen „Rundum-Sorglos-Paketen“ für 99 € um keine seriösen Angebote handelt, darf eines nicht übersehen werden: Die DS-GVO sieht den benannten Datenschutzbeauftragten ausschließlich in der Rolle des Kontrollierenden bzw. Nachprüfenden. Das Unternehmen selbst muss jedoch die Aufgaben erfüllen, die die DS-GVO dem Verantwortlichen zuschreibt. Sollte die Benennung eines DSB zwingend sein, was nicht immer der Fall ist, so müssen es also immer mindestens zwei Personen, die sich mit dem Datenschutz befassen, einer in ausführender Funktion und einer (der DSB) in kontrollierender Funktion, eingebunden sein. Am Ende haftet das Unternehmen für die Einhaltung der DS-GVO, also bei einer GmbH damit letztlich immer im Regresswege der Geschäftsführer.

Vielen Dank für die informativen Antworten, Herr Sander.