1 Jahr DSGVO

Ein Interview mit Christoph Eifrig

Ein Jahr nachdem die Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist, führen wir ein Interview mit dem Datenschutzbeauftragten und Syndikusanwalt der Netfonds Gruppe – Christoph Eifrig. Was hat sich in den letzten 12 Monaten getan und wie ist der heutige Stand?

Die Datenschutzgrundverordnung (DSGVO) ist nun seit über 12 Monaten in Kraft. Wie läuft es heute, zwölf Monate nach dem Inkrafttreten?

Das Thema ist – wie so oft eigentlich – am Ende weniger heiß gegessen worden, als es noch gekocht wurde. Die Abmahnwellen sind weniger intensiv ausgefallen, als man es zunächst vermutet hatte und wir haben hier sicher auch durch konsequente Weitergabe aktueller Informationen vorbeugen können. Gerade Hilfestellungen rund um das Thema „Kontaktformular“ (https, sicherere Verbindungstypen, Pflichtfelder etc.) waren hilfreich für unsere Partner. Ich bekomme zwar immer noch Anfragen in diese Richtung, es ist aber nicht mehr das alles dominierende Thema in der täglichen Arbeit.

Welche Punkte haben sich in Ihrer Praxis als kompliziert, problematisch oder sehr aufwändig herausgestellt?

Eine echte Herausforderung, war, ist und bleibt das Verfahrensverzeichnis. Die Anpassung auf DSGVO Standard war mit hohem Aufwand verbunden, der aber nicht mit Abschluss der initialen Ermittlung erledigt ist, sondern dieses Verzeichnis muss fortlaufend gepflegt werden.

Auch verfügen wir in der Netfonds Gruppe über mehrere Datenschutzsysteme. Dort wo wir bspw. mit vertraglich gebundenen Vermittlern zusammen arbeiten, haben wir uns für ein Joint-Control-Verfahren entschieden, wohingegen wir bei der Netfonds AG im Rahmen der Kooperation mit freien Maklern eine klassische Auftragsverarbeitung vereinbart haben.

Abschließend soll nicht unerwähnt bleiben, dass die DSGVO auch nachhaltigen Einfluss auf die Konzeption und Umsetzung neuer IT Projekte hat. Hier werde ich als Datenschutzbeauftragter doch deutlich intensiver mit einbezogen als vielleicht noch vor ein paar Jahren.

Wo gab es weniger Schwierigkeiten, als Sie vielleicht erwartet hatten?

Eine echte Hürde schien zunächst das Erfordernis der rechtmäßigen Einwilligung, auch aus Altvereinbarungen bspw., zu sein. Hier haben wir aber gemeinsam mit vielen anderen großen Pools ein Verfahren gewählt, dass die Nutzung der Daten aus übernommener Auftragsverarbeitung rechtfertigt. Dieser Weg löst viele Probleme im Einzelfall, gerade auch für den Makler und ist daher auch gut angenommen worden.

Ferner war damals noch unklar, wie umfangreich oder auch detailreich die Informationsverpflichtungen nach § 13 ff DSGVO werden würden. Nachdem sich aber auch hier ein branchenüblicher Standard etabliert hat, hat dieses Thema viel von seinem Schrecken verloren.

Oft war zu hören, die DSGVO werde eine Abmahn-Welle auslösen. Ist es dazu gekommen?

Nein. Im Vorwege war bereits bekannt, in welche Kerbe die Abmahnbranche vermutlich schlagen würde, so dass man hier gut vorbeugen konnte. Einige wenige Fälle sind mir natürlich bekannt, wir selbst waren aber ebenfalls nicht betroffen.

Wo müsste Ihrer Ansicht nach noch einmal nachgebessert werden?

Ich denke, dass viele Betroffene einfach so weiter machen wie bisher. Dies bedeutet, dass die meisten Menschen die wesentliche Stärkung ihrer Rechte noch gar nicht verinnerlicht haben. Demgegenüber steht ein kleiner Kreis von Eingeweihten, welche die neuen datenschutzrechtlich verschärften Bestimmungen zur Durchsetzung eigener Interessen möglicherweise auch missbrauchen können. Ein Mißbrauchstatbestand hätte der DSGVO folglich gut angestanden.

Auch finde ich es nicht angemessen, dass alle Verpflichteten in gleicher Weise verpflichtet sind. So hätte es bspw. Sinn gemacht, kleine bis mittelständische Unternehmen von dem Pflichtenkatalog ganz oder zumindest teilweise zu entbinden und dafür echte „Datenkraken“ in den Fokus zu nehmen. Dass dies nicht gelungen ist, bewies Facebook eindrucksvoll – wohlgemerkt nach dem 25.05.2018 – mit der Einholung der Zustimmung zur Aufzeichnung via Webcam bei Verwendung der Webseite. Diese Zustimmung zu verweigern, war extrem schwierig und vermutlich auch bewusst so gestaltet. Transparenz und eine Privacy-by-Design-Einstellung nach DSGVO sieht anders aus.

Ein Rätsel bleibt außerdem, warum – einmal mehr – der deutsche Gesetzgeber über die Vorgaben der EU hinausschießt. So regelt Art. 30 Abs. 5 DSGVO eine Entlastung hinsichtlich der Erstellung des Verfahrensverzeichnis (Pflicht zur Erstellung gilt nur für Unternehmen größer 250 Mitarbeiter), wohingegen diese Erleichterung im neuen § 70 BDSG gänzlich fehlt.

Und zum Schluss: Wie beurteilen Sie die Verordnung? Welche Vorteile und Minuspunkte hat sie?   

Ich möchte mich des allgemein bekannten Zitats „Das Gegenteil von Gut ist gut gemeint“ bedienen. Die Verordnung verfolgt ein hehres Ziel, belastet aber hauptsächlich diejenigen, die nicht Gefährder im datenschutzrechtlichen Sinne sind, sondern kleine und mittelständische Betriebe. Ein weiterer Indikator über die öffentliche Wahrnehmung der Verordnung ist schlussendlich doch auch, wie humorvoll die Gesellschaft mit der Einführung der DSGVO umgegangen ist. Ernstgemeinte und sinnvolle Regulierung wird grundsätzlich anders aufgenommen.

Ihr Ansprechpartner im Hause Netfonds:

Christoph Eifrig
Telefon: 040 / 822 267-381
E-Mail: ceifrig@netfonds.de

Ihr Netfonds-Team

Bild: pixabay.com