Angst vor Welle an Bußgeldern war groß

2018 trat die neue EU-Datenschutz-Grundverordnung in Kraft. Viel Aufregung und Unsicherheit begleiteten die Einführung. Zwei Jahre später ist der Alltag wieder eingekehrt. Oder?

Bad Mergentheim. Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter, sowohl private wie öffentliche, EU-weit vereinheitlicht werden.

Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden, heißt es dazu auf Wikipedia. – So weit, so gut, so einfach. Sollte man zumindest meinen. Leider war die Umsetzung alles andere als glücklich.

Maka Abshilava beschäftigt sich mit ihrer Firma Syntargo GmbH in Bad Mergentheim seit Jahren mit dem brisanten Thema Datenschutz und ist heute noch konsterniert: „Die Einführung der DSGVO war ein reines PR-Desaster!“

In der Tat kursierten damals viele Gerüchte und niemand wusste so ganz genau, wie alles umgesetzt werden sollte. Viele Ehrenamtler und Eigentümer kleinerer Betriebe rüsteten sich für das Schlimmste, die Drohung von drakonischen Bußgeldern schwebte wie ein Damoklesschwert über den Köpfen. Letztendlich wurde dann doch nicht so heiß gegessen, wie es die EU gekocht hatte. Maka Abshilava: „Datenschutz wurde ja nicht im Mai 2018 neu erfunden. Den gab es schon vorher und wer sich da einigermaßen auskannte und sich an die Bestimmungen hielt, hatte auch wenig zu befürchten.“

Für Bastian Linsenmayer, Inhaber der Firma Linsenmayer Personal Beratung & Vermittlung GmbH in Bad Mergentheim, ist das Thema Datenschutz schon immer ein sehr wichtiges Thema – bereits vor der Einführung der DSGVO: „In unserer Branche mussten wir schon immer viel mit sensiblen Daten arbeiten. Für uns war das kein Neuland. Neu hingegen waren für uns das komplette Formularwesen, das nun eingeführt und dann entsprechend auf uns angepasst werden musste. Das war zwangsläufig mit viel Aufwand verbunden.“

Obwohl der Aufwand hoch war, war Bastian Linsenmayer dennoch zuversichtlich: „Vieles hatten wir bereits – und mit Frau Abshilava haben wir uns dann externe Hilfe geholt, damit wir die DSGVO wirklich bis ins kleinste Detail umsetzen konnten: Ob Formularwesen, Arbeitsverträge oder auch Datenaustausch mit Kunden, gemeinsam haben wir alles präzise unter die Lupe genommen.“

Die DGSVO hat aber auch Auswirkungen auf das tägliche Arbeiten von Linsenmayer Personal. Personenbezogene Auskünfte „über den kurzen Dienstweg“ gibt er nicht mehr. „Wir brauchen nun auch im Alltag oftmals ein Schriftstück um sicherzustellen, dass wir den Datenschutz einhalten. Das kostet häufig mehr Zeit, ist aber absolut erforderlich und mittlerweile schon Routine.“

Für die meisten Privatleute und vor allem Vereine lief die Einführung der DSGVO viel besser ab als erwartet. Bei vielen Gelegenheiten mussten und müssen zwar nun Datenschutzerklärungen abgegeben werden, aber das war es im Großen und Ganzen für die meisten auch schon.

196 Verfahren, nur 19 Bescheide

Die Vereine haben ihre Satzungen, Aufnahmeerklärungen usw. angepasst und reagieren jetzt auch sehr sensibel, wenn es um Veröffentlichung von Bildmaterial geht. Die befürchtete Welle von Bußgeldern ist praktisch komplett ausgeblieben.

Von 196 eingeleiteten Bußgeldverfahren 2019 in Baden-Württemberg sind lediglich 19 Bescheide erteilt worden. Aktuell gab es dann aber doch einen großen Fall: Der Hamburger Datenschutzbeauftragte hat einen Bußgeldbescheid in Millionenhöhe gegen den Modehändler Hennes & Mauritz (H&M) erlassen. Mindestens seit 2014 sei es bei einem Teil der Beschäftigten zu „umfangreichen Erfassungen privater Lebensumstände“ gekommen. Nun werden für H&M 35,3 Millionen Euro fällig.

Meike Henkel (Name von der Redaktion auf Wunsch geändert) ist seit vielen Jahren Praxismanagerin in einer Allgemeinarztpraxis im Raum Bad Mergentheim und durch zahllose Gesetzesänderungen im Gesundheitswesen nicht so leicht aus der Ruhe zu bringen. Auch die DSGVO konnte sie nicht aus der Bahn werfen, bedeutete aber viel Arbeit: „Wir mussten verschiedene Abläufe umstellen und erst einmal den Patienten erklären, dass ohne eine Einwilligung zur Datenspeicherung eine Behandlung nicht möglich ist. Das hat viel Zeit gekostet und der Papierberg wuchs immens.

Auch die Kommunikation mit den Krankenkassen wurde komplizierter, eine schnelle Abfrage per Fax geht nicht mehr, E-Mails müssen verschlüsselt werden und dergleichen mehr. Ebenso ist die Befund-anforderung und -übermittlung an andere Ärzte und Krankenhäuser umständlicher und dauert unter Umständen länger, wenn keine Einverständniserklärung vorliegt.“

Für die Patienten bedeutete dies oft auch zusätzliche Wege, denn: „Es wird noch strenger darauf geachtet, dass Unterlagen an Angehörige nur ausgehändigt werden, wenn eine Vollmacht vorliegt. Und falls keine Krankenversichertenkarte vorliegt, kann nicht, wie früher, per Fax bei der zuständigen Krankenkasse nachgefragt werden, das heißt der Patient muss mit der Karte wiederkommen“, betont sie. Insgesamt gibt es durch die DSGVO Verzögerungen, mehr Papier in der Praxis und manchmal auch längere Wartezeiten beziehungsweise mehr Wege zu bewältigen, aber mittlerweile habe sich das System ganz gut eingespielt.

Cornelia Schuster ist mit ihrer Physiotherapiepraxis „feelings“ schon lange in Bad Mergentheim tätig. Für sie bedeutete die DSGVO vor allem bei der Einführung eine Menge Arbeit, galt es doch eine Vielzahl von Vorgaben umzusetzen. „Alleine bei der Gestaltung des Ablaufs in der Verwaltung musste eine Menge beachtet werden.

Den Menschen zu erklären, dass sie ein Datenschutzdokument ausfüllen müssen, war gar nicht so schwer und es gab da auch keine Schwierigkeiten. Alle Schränke und Schubladen mit Patienten-, Personal-, Lieferantendaten sind jetzt verschließbar, der PC schließt automatisch nach einer Minute und das Fax ist deaktiviert, wenn die Anmeldung nicht besetzt ist“, erläutert sie.

Dabei kam ihr zugute, dass die räumliche Aufteilung der Praxis schon immer im Sinne des Datenschutzes sehr gut war. Wartezimmer und Anmeldung sind weit voneinander entfernt.

Zeitaufwendig

Kosten entstanden so wenig, aber: „Zeitaufwändig war die Umsetzung. Um die nötigen Maßnahmen treffen zu können, habe ich zunächst eine Fortbildung über die neuen Datenschutzrichtlinien besucht.“ Danach folgte eine interne Mitarbeiter-Schulung. Unterstützung gab es glücklicherweise auch vom Physio-Verband Deutschland.

Spannende Entwicklungen in Sachen Datenaustausch zwischen Europa und den USA

Nachdem sich die Aufregung um die Einführung der EU-Datenschutzgrundverordnung fast überall gelegt hat und relative Ruhe eingekehrt ist, gibt es ganz aktuell eine neue und spannende Entwicklung. Die Vereinbarung für den Datenaustausch zwischen Europa und den USA (privacy shield) ist vom höchsten EU-Gericht gekippt worden. Informationen über europäische Verbraucher seien auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt, so die Richter. Die Entscheidung betrifft amerikanische IT-Konzerne wie Facebook oder Google, aber auch zahlreiche Hoster, Tracking- und Newsletter-Anbieter.

Fachfrau Maka Abshilava aus Bad Mergentheim sagt dazu: „Es ist nicht zu erwarten, dass von Unternehmen verlangt wird, alle US-Dienste durch deutsche oder europäische Dienste zu ersetzen. Damit sollten die Behörden bei sich anfangen – das ist auch die Botschaft des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink. Doch wenn irgendeine Aufsichtsbehörde in der EU beginnt, Bußgelder in dieser Hinsicht zu verhängen, werden auch andere Behörden mitziehen müssen. Also sollte man zumindest beim Einsatz neuer Dienste, wie zum Beispiel Software, auf jeden Fall genau prüfen, ob es auch Anbieter im europäischen Raum gibt und Vor- sowie Nachteile für den jeweiligen Dienst abwägen.“

Es ist und bleibt ein unternehmerisches Risiko, nicht zuletzt in punkto Abhängigkeit. Die Frage, die man sich hier stellen sollte, so Experten, lautet: Was mache ich, wenn mir der eine oder der andere Dienst, zum Beispiel Whatsapp oder Microsoft 365 wegbricht, wie schlimm ist das für mein Unternehmen? Für Privatpersonen gelte ganz klar, so Fachleute: „Schützen Sie Ihre Privatsphäre, denn wenn Sie es nicht tun, tut es keiner für Sie und vor allem nicht in den USA – Rechtsgrundlage hin oder her.“ rome

Zum Thema

Zur Startseite

Zusatzmittel aus Stuttgart fallen gering aus

Zweifel an Lockerungen der Corona-Regeln für die Feiertage

Merkel hofft auf Sieg über das Coronavirus

Rot schwächt Union - Piatek schießt Hertha zum Derbysieg

Kniefall als Zäsur

Gelegenheit verpasst

„Vive la France!“ funktioniert auch per Streaming

Tipps für den sicheren Weihnachtsbaum-Transport

Deutscher Autobestand wächst

Genial im Gelände, flink auf der Straße

Angst vor Welle an Bußgeldern war groß

196 Verfahren, nur 19 Bescheide

Zeitaufwendig