In den Medien kursieren derzeit in Zusammenhang mit der bevorstehenden Anwendbarkeit der DS-GVO viele Meldungen und Meinungen, wonach zukünftig insbesondere Klein- und mittelständische Unternehmen oder auch Vereine mit einem unverhältnismäßigen bürokratischen Aufwand belastet werden und viele Datenverarbeitungen in der bisher praktizierten Form nicht mehr oder nur noch mit individueller Einwilligung der betroffenen Person zulässig sein sollen. Die DS-GVO mit ihren überzogenen Vorgaben einerseits und den drohenden Sanktionen andererseits wird als großes Risiko für den Fortbestand der Unternehmen dargestellt.
Dabei wird zumeist übersehen, dass vergleichbare Pflichten auch schon nach aktueller Rechtslage bestehen und der Umsetzungs- und Anpassungsaufwand daher letztendlich gar nicht so groß ist wie oftmals dargestellt wird. Mit einigen der gängigen Missverständnisse bzw. Fehlbewertungen soll nachfolgend aufgeräumt werden:
Beispiel 1 – Handwerksfirmen: Verarbeitung von Kundendaten
Handwerksfirmen werden von der DS-GVO über Gebühr belastet. Schon das Ausmessen der Wohnung eines Kunden beispielsweise durch einen Maler oder einen Fußbodenleger falle künftig unter den Datenschutz. Der Handwerker muss dann protokollieren, wie er mit den Daten umgeht.
Diese Meinung übersieht, dass schon jetzt jede Erhebung, Verarbeitung und Nutzung von Kundendaten, etwa zur Erstellung eines Angebots oder zur nachfolgenden Rechnungslegung, in den Geltungsbereich des Bundesdatenschutzgesetzes fällt und damit auch jetzt schon jeder Handwerker angemessene technische und organisatorische Maßnahmen zu treffen hat, die die Sicherheit der verarbeiteten Daten garantieren. Mit der Anwendbarkeit der DS-GVO ändert sich daran nicht viel: Wie bisher darf ein Handwerker auch nach der DS-GVO zur Erfüllung seiner vertraglichen Vereinbarungen Kundendaten – und dazu gehören beispielsweise auch die zur Erfüllung der angebotenen Handwerksleistungen notwendigen Angaben zur Größe und zum Zuschnitt einer Wohnung – verarbeiten. Und wie bisher muss er auch für die Sicherheit dieser Daten sorgen. Auch daran, dass dies natürlich mit gewissen Dokumentationspflichten verbunden ist, ändert sich nichts Grundsätzliches. Die DS-GVO hält insoweit sogar eine Erleichterung parat. Während bisher ein Verfahrensverzeichnis zur Einsichtnahme für jedermann vorgehalten werden musste und unter besonderen Umständen sogar eine Meldepflicht gegenüber der Aufsichtsbehörde bestand, ist ein solches Verzeichnis zukünftig nur noch für interne Zwecke bzw. für die Einsichtnahme durch die Aufsichtsbehörde zu erstellen.
Was allerdings neu ist, sind die umfangreicheren Informationspflichten im Rahmen der Datenerhebung. Diese können aber mit einem letztendlich einmaligen Aufwand abgefangen werden. Die DS-GVO sieht vor, dass Personen, von denen Daten erhoben werden, zur Gewährleistung einer fairen und transparenten Verarbeitung über den jeweiligen Verarbeitungskontext zu informieren sind. Dies kann praktisch über ein entsprechendes Informationsblatt erfolgen, welches dem Kunden beim Erstkontakt, etwa bei einer Angebotsfrage, ausgehändigt wird.