Datenschutz

Wie man die Beweislastumkehr bei der DSGVO meistert

Nikolaus Bertermann von SKW Schwarz Rechtsanwälte ist Fachanwalt für Informationstechnologierecht und Datenschutzauditor (TÜV).



Reicht es aus, wenn Unternehmen ihre Dokumente verändern? Oder sind es tiefgreifende Veränderungen im Zusammenspiel von Menschen, Prozessen und Systemen?

Nikolaus Bertermann: Die Überarbeitung und Ergänzung der internen Datenschutzdokumentation sowie die Anpassung von Verträgen an die neuen Anforderungen sind wichtige Grundlagen in jedem Umsetzungsprojekt zur Datenschutz-Grundverordnung. Aber die gesetzlichen Veränderungen reichen viel weiter. Beispielsweise gehen die neu eingeführten Informations- und Auskunftspflichten deutlich weiter als bisher. Auch die Anforderungen an die Gestaltung und den Betrieb von IT-Systemen steigen teils dramatisch, insofern sind Prozesse, Systeme und die Menschen betroffen

In der Praxis fällt die Umsetzung der DS-GVO Unternehmen mit einer bereits bestehenden Datenschutzdokumentation nach dem BDSG sehr viel leichter als Unternehmen, die bisher nicht genau auf die Einhaltung datenschutzrechtlicher Vorschriften geachtet haben. Zudem sind Unternehmen, die sich im Digital- und Dialogmarketing bewegen, besonders von den Veränderungen betroffen und haben entsprechend umfangreichen Anpassungs- und Umsetzungsbedarf.

Wie können sich Unternehmen auf die „Umkehr der Beweislast“ einstellen?

Die „Umkehr der Beweislast“ wird Unternehmen vor Augen führen, dass sie nach der DS-GVO mindestens eine umfassende Darlegungslast trifft. Dabei kann man mit Blick auf die unterschiedlichen sprachlichen Fassungen der DS-GVO durchaus fragen, ob es sich inhaltlich um einen „Beweis“ im rechtlichen Sinne handelt. Klar ist aber, dass Unternehmen die Einhaltung der Vorgaben nachvollziehbar dokumentieren müssen. Dies setzt voraus, dass die Unternehmen über eine vollständige und aktuelle Datenschutzdokumentation verfügen und Prozesse implementiert haben, die die Einhaltung datenschutzrechtlicher Vorgaben sicherstellen oder jedenfalls unterstützen.

Wenn klar wird, dass die Bestimmungen bis zum Stichtag nicht umgesetzt werden können: Wie kann sich ein Unternehmen gegen Bußgelder schützen?

Die DS-GVO wurde bereits im Frühjahr 2016 veröffentlicht. Entsprechend machen die Vertreter der deutschen Aufsichtsbehörden bei ihren Vorträgen dazu regelmäßig klar, dass zwei Jahre zur Umsetzung der Anforderungen objektiv völlig ausreichend sind. Ein später Start in das eigene Umsetzungsprojekt ist nach ihrer Auffassung keine Entschuldigung dafür, nicht bis zum Stichtag fertig zu werden. Viele Behördenvertreter gehen außerdem davon aus, dass ein Bußgeld bei einem Verstoß gegen die Vorgaben der DS-GVO in Zukunft die Regel und nicht wie bisher die Ausnahme sein wird.

Gleichwohl werden Behörden eher von einem Bußgeld absehen, wenn Unternehmen erkennbar ernsthaft mit der Umsetzung der Anforderungen der DS-GVO begonnen haben und nur mit einzelnen Umsetzungsmaßnahmen noch nicht fertig geworden sind. Insofern sind Unternehmen gut beraten, die verbleibenden Monate dafür zu nutzen, mit der Umsetzung zumindest zu beginnen und auch zu dokumentieren, dass das Projekt ernsthaft und unter Nutzung aller verfügbaren Ressourcen in Angriff genommen wurde. Reine Lippenbekenntnisse werden hier jedoch nicht ausreichen.

Unsicherheiten bei der Auslegung einzelner Reglungen sind zudem kein Hinderungsgrund, denn die Kernvorgaben der DS-GVO sind bekannt und ausreichend klar. In Umsetzungsprojekten erleben wir immer wieder, dass sich Unternehmen in umstrittenen Detailfragen „verrennen“ und dadurch in Verzug geraten. Entwickelt sich mit einer Aufsichtsbehörde Streit darum, ob Art und Umfang der Umsetzung den Anforderungen der Aufsichtsbehörde genügen, so ist bereits die Frage streitig, ob überhaupt ein Verstoß vorliegt. Insofern wird hier das Bußgeldrisiko regelmäßig niedriger sein als in Fällen, in denen die Anforderungen der DS-GVO bisher gar nicht umgesetzt wurden.