Unsere Gremienräume sind ein geschlossener Bereich, in dem wir für unsere Gremienmitglieder Unterlagen der Gremien – Verbandstag, Verbandsrat, Regionaltage, Mitgliederversammlungen, Fachräte und Arbeitsausschüsse – zur Verfügung stellen. Des Weiteren findet sich hier der Zugang zur Arbeitsgruppe des Nachhaltigkeitsrats.
Unser Mitgliederportal ist ein geschlossener Bereich, in dem der Genossenschaftsverband den Mitgliedern der Fachvereinigungen Agrar, Gewerbe, Landwirtschaft sowie Energie, Immobilien und Versorgung Informationen und Anwendungen zur Verfügung stellt.
Auf ein Wort über die Datenschutzgrundverordnung mit Rechtsanwältin und Bereichsleiterin Recht, Kathrin Berberich (Foto: Genossenschaftsverband)
Die Europäische Datenschutzgrundverordnung wird am 25. Mai ein Jahr alt. GENiAL sprach mit Kathrin Berberich, Rechtsanwältin und Bereichsleiterin Recht des Genossenschaftsverbandes, über die Schwierigkeiten und die Erfolge der rechtlichen Beratung und Vertretung.
Frau Berberich, ist mit der Einführung der DSGVO in den Unternehmen das große Chaos eingetreten?
Kathrin Berberich: Das ist Gott sei dank bei unseren Unternehmen ausgeblieben, dafür haben wir gesorgt. So haben wir unsere Mitgliedsgenossenschaften rechtzeitig über die DSGVO informiert und mit praxisnahen Leitfäden bei der Umsetzung unterstützt. Bei einer umfassend neu geregelten Rechtsmaterie ist dies allerdings nicht bis in das letzte Detail möglich. Im Laufe der Zeit haben wir dann in vielen Einzel- und Sonderfällen mit unserem Kooperationspartner, der GRA Rechtsanwaltsgesellschaft, gute Lösungen gefunden. Jetzt müssen wir noch die Auffassungen der Aufsichtsbehörden abwarten, sodass es bestimmt noch längere Zeit Diskussionen und auch Streitereien über die richtige Anwendung der DSGVO geben wird.
Welche Erfahrungen haben Sie bei Ihren Beratungen zur DSGVO gemacht?
Gute. Da viele Unternehmen Datenschutzbeauftragte haben und die Leitfäden beachtet haben, ging es bei unseren Beratungen eher um Einzelfragen. Die Umsetzung der DSGVO ist jedoch noch in vollem Gange, denn neue IT-Dienstleistungen, Produkte und Angebote, aber auch die Werbung der Unternehmen müssen dem neuen Gesetz noch angepasst werden. Hinzu kommt: Die juristische Vertretung von Unternehmen bei Datenpannen ist nach der DSGVO erheblich aufwendiger als vorher und rechtlich sehr schwierig. Hier müssen wir Probleme mit der Aufsicht von Anfang an vermeiden und negative Folgen für das Unternehmen so weit wie möglich abwenden.
Die DSGVO will auch für die Nutzer den Datenschutz in den sozialen Medien und bei den Internetgiganten wie Google, Facebook und Twitter verbessern. Ist das gelungen?
Diese Frage kann ich pauschal nicht beantworten. Denn es hängt davon ab, ob das einzelne Unternehmen die DSGVO beachtet und entsprechend umgesetzt hat. Bei Nachlässigkeiten werden unter Umständen hier hohe Bußgelder fällig.
Wird es noch zu weiteren Novellierungen der DSGVO kommen müssen?
Auf der EU-Ebene ist damit eher nicht zu rechnen. Auf nationaler Ebene testen die Aufsichtsbehörden die DSGVO nun in der Praxis. Diese Ergebnisse sowie mögliche neue Gerichtsurteile müssen wir abwarten und bei Veränderungen gegebenenfalls schnell reagieren.
Welche Erfahrungen haben Sie mit den Datenschutzbehörden in Deutschland gemacht?
Für Unternehmen in Deutschland gibt es 16 unabhängige Aufsichtsbehörden, die datenschutzrelevante Fragen sehr unterschiedlich würdigen. Deshalb müssen wir in der rechtlichen Beratung den Überblick behalten, um die richtigen und günstigsten Entscheidungen für Unternehmen bei der jeweils zuständigen Behörde zu erlangen. Das ist nicht leicht.
Hat die Aufsicht bisher schon Sanktionen und Bußgelder für Unternehmen verhängt?
Ja, sogar mehrfach, wie man in der Presse lesen konnte. Und ich bin mir sicher, dass diese Verfahren noch weiter zunehmen. Denn die Aufsicht will Unternehmen keine Übergangszeiten mehr zur Beachtung der DSGVO einräumen. Glücklicherweise hat die GRA bei ihren Mandanten einen solchen Fall noch nicht erlebt. Das liegt sicherlich auch daran, dass wir unsere Unternehmen direkt nach der Entdeckung von Datenpannen rechtlich beraten und vertreten haben.
Wie ist der genossenschaftliche Verbund bei der Datensicherheit für die Zukunft gerüstet?
Für den Verbund kann ich keine Einschätzung geben, auch hier ist wieder jedes einzelne Unternehmen in der Pflicht. Es zeichnen sich schon die ersten Rechtsstreitigkeiten ab. Selbstverständlich steht die GRA Rechtsanwaltsgesellschaft mit ihren Spezialisten bis hin zur gerichtlichen Vertretung zur Verfügung.
Ansprechpartner: GRA Rechtsanwaltsgesellschaft
Michael Misch,
Rechtsanwalt und Data Protection Risk Manager
Tel.: 069 6978-3383
E-Mail:
Peter Heyers
Fachanwalt für IT-Recht/Urheber- und Medienrecht
Tel.: 0541 20517-16
E-Mail:
Die größten Gefahren der DSGVO
Datenpannen
Bei Datenpannen werden personenbezogene Daten unbefugt offengelegt oder übermittelt. Dadurch entstehen Risiken für die betroffenen Personen. Die DSGVO regelt für diese Fälle unter bestimmten Voraussetzungen eine Meldepflicht für Unternehmen bei der Aufsichtsbehörde und eine Benachrichtigungspflicht gegenüber den Personen, die von der Panne betroffen sind (Art. 33, 34 DSGVO).
Ist das Risiko des Schadens oder Nachteils gering, ist eine Meldung jedoch nicht erforderlich. Die Frage der konkreten Risikobestimmung ist ein wesentlicher Aspekt für das Verhalten eines Unternehmens im Pannenfall. Die Meldung muss innerhalb von 72 Stunden erfolgen. Nichtmeldungen und Meldefehler werden mit Bußgeldern bestraft. Eine anwaltliche Unterstützung bei Datenpannen im Unternehmen ist deshalb äußerst sinnvoll.
Auftragsverarbeitung und Datenschutzfolge-Abschätzung (DSFA)
Unternehmen nutzen oft Dienstleister, zum Beispiel für die Verarbeitung personenbezogener Daten. Das Unternehmen muss in dieser Konstellation sicherstellen, dass die konkrete Datenverarbeitung nicht zu einem hohen Risiko für die Betroffenen führt, da sonst weitere Anforderungen bestehen. Die Risikobestimmung erfolgt durch eine Datenschutz-Folgenabschätzung nach Art. 35
DSGVO. Die entsprechende Ermittlung ist für den konkreten Fall der vertraglichen Leistungen vorzunehmen. Bei hohem Risiko muss die zuständige Aufsichtsbehörde informiert werden. Auch hier sollte das Unternehmen eine rechtliche Beratung in Anspruch nehmen.
