Grundsätzlich ist eine erteilte Einwilligung so lange gültig, bis die betroffene Person diese widerruft. Die Parteien können in der Einwilligung jedoch auch festlegen, dass diese nur für einen bestimmten Zeitraum gelten soll. In diesem Fall endet die Gültigkeit der Einwilligung dann automatisch zum festgelegten Zeitpunkt. Der Widerruf einer datenschutzrechtlichen Einwilligung darf jederzeit erfolgen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Datenschutz hat es zu keiner Zeit leicht gehabt. Den Befürwortern ging es nie weit genug, die Gegner fühlten sich in ihrer Arbeit stets eingeschränkt. Statt für Akzeptanz zu werben, wurde mit Strafen gedroht. Ein wahrhaft schlechter Start. Wir von ds² werden weiter daran arbeiten, das Positive und die Vorteile des Datenschutzes aufzuzeigen.

Das ist es nur auf den ersten Blick. Die Vorschriften des Datenschutzrechts greifen in vielfacher Hinsicht verzahnt ineinander. So kann die Rechtmäßigkeit von Verarbeitungen immer nur ganzheitlich betrachtet erreicht werden. Wie bei vielen anderen Rechtsgebieten auch ist aber noch nicht jede strittige Frage durch die Rechtsprechung beantwortet, geschweige denn durch Kommentare ausdiskutiert. Zudem wurden die Regelungen aller EU-Mitgliedsstaaten zusammengefasst, da ist es zu erwarten, dass sich dies in der Praxis erst etablieren muss.

Dafür gibt es viele Gründe. Oft mangelt es an Priorität bei der Geschäftsleitung, nicht selten fehlt Know-how, um die hohe Komplexität der Einführung eines Managementsystems zu Ende zu begleiten. In vielen Fällen treffen die Projektverantwortlichen auch auf große Widerstände. Wir gehen aktuell davon aus, dass rund die Hälfte aller Unternehmen die Einführungsphase – die normalerweise rund sechs Monate dauert – auch nach Jahren noch nicht abgeschlossen haben.

Je komplexer die Aufgabenstellung, desto mehr Know-how sollte ein/e Datenschutzbeauftragte/r mitbringen – und dabei geht es nicht nur um Datenschutzrecht, sondern vor allem auch um Prozess-Know-how und IT-Verständnis. Und je größer das Unternehmen ist, desto mehr Kapazitäten braucht es, um die Projekte in angemessener Zeit zum Erfolg zu führen. Kleine und mittlere Unternehmen besetzen das Amt gerne mit nachgeschulten internen Mitarbeitern. Damit diese nicht scheitern, sollte man ihnen externe Sparringspartner sowohl für die Einführung als auch für Problemfälle zur Seite stellen.

Zum einen, dass es alle relevanten Fälle und geforderten Prozesse klar definiert; zum anderen, dass es für die, die damit arbeiten sollen, verständlich formuliert ist und nachvollziehbar macht, welche Verbesserung die Nutzung mit sich bringt. Dass es rechtskonform ist, ist eine Selbstverständlichkeit.

Nach unserer Erfahrung ist zuerst mangelnde Akzeptanz bei der Unternehmensführung zu nennen. Platz zwei belegt mangelndes Wissen bei den intern Verantwortlichen und oft auch das fehlende Verständnis für die Unternehmensprozesse bei den Beratern. Platz drei der Negativ-Hitliste teilen sich das Fehlen eines verbindlichen Zeitplans und heftige Gegenwehr diverser Beteiligter im Unternehmen – aufgrund eines fehlenden Commitments der Geschäftsführung.

Das größte Risiko sind nicht die teils empfindlich hohen Geldstrafen. Das größte Risiko besteht darin von kritischen Kunden und Geschäftspartnern in der Öffentlichkeit vorgeführt zu werden. Medien mögen Stories über Firmen, die es mit den Gesetzen nicht so genau nehmen. Der Schaden, der durch diesen Imageverlust entsteht, dürfte größer sein und länger nachwirken als jede Geldstrafe.

Die kann man am besten unter dem Begriff Unterlassungen bündeln. Das Weglassen wichtiger aber unbequemer Aufgaben oder Pflichten, das Nichtreagieren auf Beschwerden oder Ansprüchen von Kunden und Betroffenen oder auch das fehlende Kontrollieren, ob die getroffenen Maßnahmen tatsächlich funktionieren. Man kann pauschal festhalten, dass ein Stückwerk von Regelungen und Formularen hier nicht funktioniert und ein Managementsystem die bewährte Lösung darstellt, wenn es wie beispielsweise im Qualitätsbereich sorgfältig betrieben wird.

Diese Frage klingt einfach, ist aber schwierig zu beantworten. Durchschnittswerte gibt es nicht, da der Aufwand je nach Unternehmenszweck und Unternehmensgröße extrem unterschiedlich ist. Wer viel mit personenbezogenen Daten zu tun hat, wird einen größeren Aufwand betreiben müssen als jene, die davon weniger berührt sind. Üblicherweise ist der Anfangsaufwand höher, im laufenden Betrieb sind die Kosten mit anderen Bereichen vergleichbar, die einer Überwachung und Rezertifizierung bedürfen.