bußgeld dsgvo

DSGVO – Nach der “Party” – das große Aufräumen

/von

Der 25.05.2018 – ein Datum, das uns allen vermutlich ähnlich im Gedächtnis bleiben wird, wie der Jahrtausendwechsel. Was Sie nachfolgend lesen, ist ein subjektiver – nicht ganz ernst gemeinter – Erfahrungsbericht:

25.05.2016: Die EU Datenschutz-Grundverordnung (DSGVO) tritt in Kraft, die 2-jährige Übergangsfrist beginnt. Wir schreiben bereits seit mehreren Monaten immer wieder (spekulative) Artikel in Blog und Newsletter. Wir beginnen, uns in die Verordnungstexte einzuarbeiten und Meinungen zu bilden.

August 2016: Wir besuchen die erste Fortbildungsveranstaltung zur DSGVO und stellen fest, dass die Referenten auch nicht besser informiert sind, als wir.

November 2016: Teilnahme an der DAFTA (DAtenschutz-FachTAgung). Eine gute Veranstaltung, leider enden immer noch die meisten Vorträge mit dem Satz “Natürlich wissen wir nicht, ob das alles so kommt, wie die Aufsichtsbehörden das sehen und was die Gerichte draus machen”. Naja, immerhin stellt man fest, dass die herrschenden Meinungen (wenn man zu diesem Zeitpunkt davon sprechen kann) sich in den meisten Fällen mit unserer Sicht auf die DSGVO decken.

Anfang 2017: Erste Kommentare zur DSGVO sind endlich erhältlich. Wir kaufen uns einen.

März bis Juni 2017: Wir analysieren die Regelungen der DSGVO, schreiben diverse Blog- und Newsletterbeiträge und erstellen unser über 40-seitiges Dokument “Handlungsempfehlungen zur DSGVO”. Dieses versenden wir Mitte Juni kostenfrei an alle unsere Mandanten mit dem Hinweis, dass wir uns in Kürze melden werden, um einen Gesprächstermin zu vereinbaren.

Juli 2017: Wir beginnen, die ersten Mandanten zu kontaktieren, um Termine für eine Erläuterung des Handlungsbedarfs sowie zur Planung des Vorgehens zu vereinbaren. Die Resonanz ist gemischt und reicht von “Bitte kommen Sie unbedingt nächste Woche vorbei” bis zu “Ach das ist doch Panikmache, wir warten erstmal ab”.

August 2017: Die nächste Fortbildungsveranstaltung zur DSGVO. Die Referenten: Deutlich sicherer im Thema. Die Disclaimer am Ende der Vorträge: Deutlich weniger. Die Kongruenz zwischen Meinung der Referenten und unserer: Erfreulich hoch. Fazit: Nicht enorm viel Neues gelernt, aber enorm viel an Sicherheit gewonnen. Das ist auch viel Wert.

Freitag, 10.11.2017: Panischer Anruf aus einem der Verbände, in denen wir organisiert sind – “Uns ist ein Referent ausgefallen. Hilfe!”. Wir springen kurzfristig ein, erstellen über das Wochenende einen Vortrag zum Thema “Nutzung von Messengern im Unternehmen unter Berücksichtigung der DSGVO” und stehen am 16.11.2017 in Köln vor Publikum. Und das auf der Veranstaltung, auf der wir im Vorjahr waren, um uns fortzubilden, so schnell kann es gehen…

Ende Dezember 2017: Alle verabschieden sich entspannt in den Weihnachtsurlaub.

Mitte Januar 2018: Die Zahl der Anfragen von Interessenten bei uns steigt langsam aber merklich an.

Februar 2018: Die Zahl der Anfragen von Interessenten bei uns steigt schneller an.

März 2018: Die Zahl der Anfragen steigt auf ein Maß, welches beginnt, uns von der eigentlichen Arbeit abzuhalten. Wir nehmen das Kontaktformular von der Homepage. Auch nehmen wir keine neuen Mandate mehr an. Wir haben unsere Arbeitszeiten von 40 auf bis zu 60 Stunden die Woche erhöht.

April 2018: Hysterie bricht aus. Die Zahl der (nun hauptsächlich telefonischen) Anfragen steigt so stark an, dass wir Anfragen nach Unterstützung bereits in der Telefonzentrale abblocken lassen müssen. Die Erlebnisse dort reichen von Verständnis und Enttäuschung bis hin zu Beschimpfungen und auch Versuchen, mit Hilfe “kleiner Geschenke” doch durchgestellt zu werden. Da die Tage von Montag bis Freitag nicht mehr ausreichen, um der Flut an deutlich zu spät an uns gestellten Aufgaben nachzukommen, nehmen wir die Wochenenden und Feiertage mit dazu.

26.04.2018: Die Konferenz der Datenschutzbeauftragten Deutschlands veröffentlicht ein Positionspapier, in dem (sehr kurz zusammengefasst) klargestellt wird, dass ab dem 25.05. für jegliches Tracking, auch für anonymes, eine Einwilligung des Nutzers benötigt wird. Noch unpassender könnte der Zeitpunkt hierfür kaum gewählt werden. Muss das sein? Wir schalten das Tracking auf unserer Homepage also ab, die Daten haben uns ohnehin nie wirklich etwas genützt.

01.05.2018: Endlich ein Feiertag. Nicht, dass wir da frei machen würden, aber wir können relativ ungestört arbeiten. Das Telefon ist aus, das Mailpostfach bleibt zu. Herrlich.

02.05.2018: Beim Öffnen des Mailpostfachs trifft uns der Schlag. Über 80 ungelesene Mails vom Feiertag!

10.05.2018: Noch ein Feiertag, der die Produktivität steigert.

11.05.2018: Wir öffnen mit zitternden Fingern das Mailpostfach. Erleichterung – es sind zumindest nicht noch mehr ungelesene Mails als die Woche zuvor. Noch zwei Wochen, dann ist alles vorbei. Hoffen wir zumindest.

24.05.2018, ca. 23:30 Uhr: Wie war das noch mit dem Schuster? Wir laden also kurz vor knapp unsere überarbeitete Datenschutzerklärung für die Homepage hoch und stellen das Tracking für den Newsletter ab. Mit den Daten konnten wir ohnehin noch nie was anfangen – hatten wir das nicht schon? Und jetzt: Ab ins Bett.

25.05.2018, ca. 06:00 Uhr: Entspanntes Aufwachen. Heute ist der große Tag. Heute müssen alle fertig sein. Heute können einfach keine neuen Anfragen und Aufgaben mehr kurzfristig kommen. So der Gedankengang beim Frühstück.

25.05.2018, ca. 08:00 Uhr: Ankunft im Büro, die Stimmung: leicht beschwingt. Die Welt ist offenbar nicht stehengeblieben, in den Nachrichten wurde von keinen Dramen in Sachen Datenschutz berichtet. Nunja, vielleicht ist es auch noch zu früh für soetwas.

25.05.2018, ca. 08:03 Uhr: Öffnen des E-Mailpostfachs, Ernüchterung tritt ein und schlägt nach kurzer Zeit in Panik um. Es war tatsächlich zu früh, sich zu freuen. Zwischen 19:00 Uhr am Vortag und 08:00 Uhr des heutigen Tags: 35 neue E-Mails. Ok, stürzen wir uns in die Arbeit…

25.05.2018, mittags: So langsam wird es ruhiger und die Anrufe werden weniger. Dennoch: Weiterhin konstanter E-Mail-Eingang. Wir lächeln und sind dankbar, dass unsere Mandanten auf unsere Meinung zählen.

25.05.2018, ca. 18:00 Uhr: Feierabend und Schluss für diese Woche. Am Wochenende wird gefälligst nicht gearbeitet!

26.05.2018: Ok, wir arbeiten also doch am Wochenende, aber nur ein bisschen… Oops, wie schnell doch acht Stunden rum sind…

27.05.2018: Der Newsletter will ja auch noch vorbereitet werden…

28.05.2018, ca. 08:07 Uhr: Es sind bereits die ersten zwei Anfragen von Interessenten, die dringend einen Datenschutzbeauftragten benötigen im E-Maileingang. Die ersten Mandanten haben auch schon versucht, uns zu erreichen. So wie es aussieht, werden wir auch die nächsten Tage (Wochen?) nicht zu normalen Arbeitszeiten zurückfinden.

An dieser Stelle endet die Beschreibung. Wir stürzen uns in die Arbeit und sehen, was die erste Woche mit der DSGVO bringt. “Hoping the best and expecting the worst”, heißt es so schön. Und es beschreibt unsere Stimmung recht gut.

Bitte beachten Sie: Es ist nicht unsere Intention, uns hier über unsere Mandanten zu beklagen. Ganz im Gegenteil, wir sind sehr dankbar mit so zahlreichen wirklich sympathischen Menschen zusammenarbeiten zu dürfen.

An dieser Stelle: Vielen Dank, Sie sind großartig! 

Uns geht es hier um eine nicht ganz ernst gemeinte und überspitzte Darstellung der Entwicklungen der letzten zwei Jahre. Darüber hinaus hoffen wir, etwas zu sensibilisieren, wenn es an die nächste EU Verordnung geht. Die steht bereits in den Startlöchern und nennt sich ePrivacy-Verordnung (ePVO). Zu dieser anstehenden Verordnung haben wir einen gesonderten Artikel geschrieben.

Wir freuen uns auf die nächsten Jahre gemeinsam mit Ihnen!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigertMeldung des Datenschutzbeauftragten an die Aufsichtsbehörde – Erstes Testformular
besondere kategorien 9Serie Rechtsgrundlagen: Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO
privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanDatenübermittlungen in Drittstaaten und die DSGVO
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenAufsichtsbehörden prüfen Datenübermittlungen ins Ausland
ds-gvo adv auftragsverarbeitung backups löschenAuftragsdatenverarbeitung unter der DSGVO im Vergleich zum BDSG
Aufsicht prüft Tracking-Tools und Drittanbieterdienste auf Webseiten