Die Antwort auf die Frage nach dem Schutz lautet ja, unsere Rechte als Bürger sind deutlich gestärkt. In Deutschland war das schon weitgehend so, in anderen EU-Staaten aber ist das eine deutliche Verbesserung.
Auch im praktischen Einsatz zeigt die EU mit hohen Sanktionszahlungen und Anweisungen gegenüber den Brachenriesen vor allem aus dem Land der unbegrenzten digitalen Rechtlosigkeit durchaus die Zähne. Was aber ist mit den vielen kleinen Unternehmen, die das Rückgrat unserer Wirtschaft bilden? Werden die nicht ausgebremst? Die Antwort darauf fällt aus der Sicht der DD-eG durchwachsen positiv aus. Ein großes Problem ist die uneinheitliche Umsetzung der Regeln nach Bundesland. Da gibt es die lockeren Aufsichtsbehörden, die ggf. zu viel durchgehen lassen und die sehr strengen, die gerade bei Zweifelsfällen dann noch lieber eine hohe Strafe verhängen als in eine sachliche Abwägung zu gehen.
Viel schlimmer aber als all die behördlichen Themen ist die oft durch Fehlberatung verursachte völlig fehlgeleitete Umsetzung bei vielen kleinen Unternehmen. Die DSGVO deckt die Datenerhebung nach Art. 6 für alle rechtlich gebotenen und zur Leistungserfüllung notwendigen Daten ab, ohne dass hier eine explizite Zustimmung notwendig ist; es muss nur darauf hingewiesen werden. Dennoch haben viele Unternehmen vorsorglich gleich die Zustimmung zu Verarbeitungen (Email, Kundendaten) erneut eingeholt, obsohl das völlig überflüssig war, weil die Zulässigkeit schon abgedeckt und/oder die Zustimmung schon erteilt war.
Die schlimmste Blüte dieses Aktionismus aber sind wohl Datenschutzerklärungen im Gesundheitsbereich mit Zustimmungsklausel, die generell jede Datenerhebung abdecken sollen, wie sie teilweise von den Kassenärztlichen Vereinigungen ausgegeben wurden. Dabei reicht es, wenn der Arzt auf die erhobenen Daten in einer Datenschutzerklärung hinweist, ggf. auch auf die Auftragsverarbeiter, die Abrechnungen machen. Eine Generalvollmacht aber, wie sie dort abgefordert wird verstösst sogar explizit gegen die DSGVO, da immer die Zustimmung zu genau spezifizierten Informationen gegeben werden muss, wenn sie nicht durch Art. 6 ohnehin schon erhoben und verarbeitet werden dürfen.
Ein anderes großes Thema, das viele Unternehmen und Organisationen nicht auf dem Schirm haben, ist das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Absatz 5 regelt die Ausnahme von dieser Verpflichtung für Unternehmen mit weniger als 250 Beschäftigten. Wäre super, sagt jetzt der Handwerker, der Arzt oder der Leiter eines kleinen Unternehmens. Ist es aber in aller Regel nicht, denn die Ausnahmen dazu sind neben den besonderen Datenkategorien (insbes. Gesundheit) die Regelmässigkeit der Verarbeitung und die Gefährdung von Rechten. Damit sind Ärzte dazu verpflichtet und die Regelmässigkeit ist bei den meisten Unternehmen gegeben, denn die Kundendaten werden heute fast ausschliesslich elektronisch geführt und die Personaldaten oft extern und immer digital verarbeitet. Damit kommt praktisch niemand dieser Verpflichtung aus.
So wird das sogenante Verzeichnis von Verarbeitungstätigkeiten (VvV) zu einem leider noch sehr vernachlässigten, aber extrem wichtigen Nachweis über die Einhaltung der DSGVO. Dieser Nachweis ist aber nach Art. 24 DSGVO zu erbringen. An dieser Stelle setzt auch die DD-eG an, die hierfür die Kompetenz ihrer Mitabeiter gepaart mit einer softwaregestützten Dokumentation im Vier-Augen-Prinzip bietet.
Als Fazit nach einem Jahr DSGVO lässt sich also festhalten, dass diese Verordnung die Bürgerrechte klar stärkt, für die Unternehmen einen überschaubaren Mehraufwand bedeutet, aber durch viele Fehlinterpretationen oft völlig falsch umgesetzt wurde. Unternehmen und Organisationen, die sich der Ideale unseres Grundgesetzes verpflichtet fühlen, können die DSGVO als Chance begreifen, Vertrauen bei ihren Kunden, Klienten oder Patienten aufzubauen und sie so besser an sich zu binden als durch Verstöße gegen die DSGVO mittels dubioser und vertuschter Datenerfassungen und Auswertungen.