Die größten Probleme mit der DSGVO

Am 25. Mai 2018 ist die Datenschutz-Grundverordnung mit vielen strengen, formalistischen Vorschriften in Kraft getreten. Im Folgenden zeigen wir, was im ersten Jahr DSGVO Unternehmen in der Praxis die meisten Probleme bereitete.

Die Geltendmachung von Betroffenenrechten, wie das Recht auf Löschung oder auf Auskunftserteilung, wird von Verantwortlichen zwar ernst genommen. Häufig irren sich aber Betroffene über die Reichweite ihrer Rechte oder Verantwortliche erkennen die Geltendmachung von Rechten nicht als solche. Die Diskrepanz zwischen den Vorstellungen von Betroffenen und Verantwortlichen führte häufig zu Beschwerden bei den Aufsichtsbehörden.

Datenschutzkonformes Marketing stellt eine erhebliche Herausforderung dar. Unsicherheit besteht, auf welche Rechtsgrundlage die Verarbeitung von personenbezogenen Daten gestützt werden soll. Das Heranziehen von „berechtigten Interessen“ führt insbesondere nach den Stellungnahmen der Datenschutzkonferenz (DSK) oft nur eingeschränkt weiter, während das Einholen einer Einwilligung nicht immer eine praxisgerechte Option ist.

Personenbezogene Daten werden oft noch zu lange aufbewahrt – das Implementieren einheitlicher Regeln bereitet nach wie vor Kopfzerbrechen. Datenschutzverstöße werden oft zu spät gemeldet (nicht binnen 72 Stunden), was auch am mangelnden Zusammenspiel von Verantwortlichem und Auftragsverarbeiter liegt.

Die von der DSGVO vorgeschriebenen Verträge zwischen Verantwortlichen und Auftragsverarbeitern (oft Service-Providern) datenschutzkonform zu gestalten, fällt dank vieler kursierender Muster nicht schwer, meist fehlt Verantwortlichen aber die Verhandlungsmacht, Haftungsbeschränkungen des Service-Providers oder andere nachteilige Regeln herauszuverhandeln. Problematisch ist auch das Führen des Verfahrensverzeichnisses. Verantwort­liche wissen oft nicht, was darin aufgenommen werden muss und wie der Prozess zum Aufsetzen des Verzeichnisses zu regeln ist.