Die Europäische Datenschutz-Grundverordnung (DSGVO), die bereits im vergangenen Jahr in Kraft getreten ist, wird am 25. Mai 2018 scharf geschaltet. Bis dahin müssen alle Unternehmen fit für die neuen Datenschutz-Vorgaben sein.
Leider ist es deutlich einfacher, eine Steuererklärung selbst abzugeben, als die Vorschriften zu beachten, die der Gesetzgeber den Unternehmen mit der neuen Verordnung aufgegeben hat. Nahezu jedes Unternehmen muss jetzt ein umfangreiches Verzeichnis erstellen, in dem detailliert aufgeführt wird, in welchem Verfahren welche personenbezogenen Daten gespeichert werden, was mit den Daten angestellt wird und wann sie gelöscht werden. Datenschutzerklärung müssen an die DSGVO angepasst werden. Auch kleine Unternehmen müssen möglicherweise plötzlich einen Datenschutzbeauftragten benennen. Und das ist nur ein Ausschnitt aus dem neuen Pflichtenkatalog.
Wer ein Verzeichnis von Verarbeitungstätigkeiten nicht erstellt, auf seiner Website eine unzureichende Datenschutzerklärung zum Abruf bereithält oder einen Datenschutzbeauftragten nicht benennt, riskiert Abmahnungen von Mitbewerbern oder hohe Bußgelder durch die Datenschutz-Aufsichtsbehörden. Die haben bereits angekündigt, unmittelbar nach dem Wirksamwerden der DSGVO und des im gleichen Atemzug geänderten Bundesdatenschutzgesetzes (BDSG) betroffene Unternehmen daraufhin zu überprüfen, ob sie ihren Pflichten rechtzeitig nachgekommen sind.
Wir unterstützen Sie tatkräftig bei der Erfüllung ihrer Pflichten. Dabei ist uns bewusst, dass sie nicht ihren gesamten Gewinn des Vorjahres investieren möchten, nur um datenschutzrechtlich auf der Höhe zu sein. Trotzdem sollten wir gemeinsam daran arbeiten, dass Ihnen keine Probleme entstehen. Nicht nur Bußgelder und Abmahnungen können teuer werden. Es steht auch zu befürchten, dass Ihre Versicherung nicht einspringt, wenn Sie ihre Pflichten nach der DSGVO vernachlässigen. Und das kann dann richtig teuer werden.
Nach einem Bericht der taz hat die Hamburger Polizei am 6. Juli 2020 nach einer Messerstecherei von einem Gastwirt die Herausgabe der Listen verlangt, mit denen dieser Kontaktdaten von Gästen erfasst hatte. Den Beamten ging es darum, die Daten von potentiellen Zeugen zu erfassen. Das Problem: Die Kontakdatenerfassung dient nach der Hamburger Corona-Schutzverordnung eigentlich ausschließlich dem Zweck der behördlichen Nachverfolgbarkeit von Infektionsketten. Die Verwendung der Kontaktdaten zu anderen als den in der Verordnung genannten Zwecken ist nach § 7 Abs. 1 der Verordnung aus gutem Grund ausdrücklich verboten. In anderen Bundesländern verhält es sich nicht anders. Durften die Daten also herausverlangt werden?