search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

GDPR: Auslöser für die Vereinigung von Datenschutzanwälten und Datenschutzsoftware

GDPR: Auslöser für die Vereinigung von Datenschutzanwälten und Datenschutzsoftware

Von Francesc Alcaraz Gallego

Am 3. Mai 2025

Die Zukunft der Rechtsberatung wird mit dem Inkrafttreten der neuen Verordnung über den Schutz personenbezogener Daten einer ersten wichtigen Prüfung unterzogen.

Die Einführung der komplexen Verordnung hat zur Entstehung einer Reihe von Software- oder IT-Tools geführt, die einerseits die korrekte Handhabung der durch das neue Gesetz festgelegten Verpflichtungen erleichtern, andererseits aber auch darauf abzielen, die eigentliche juristische Arbeit der Beratung zur Einhaltung der Vorschriften zu ersetzen.

Welchen Umfang wird diese Beratung haben? Wer wird letztendlich verantwortlich sein? Werden beide Dienstleister zusammenarbeiten? Wird sie sich auf andere Rechtsbereiche erstrecken?

Was bringt die DSGVO mit sich?

Am 25. Mai 2016 trat die EU-Verordnung Nr. 679/2016 über den Schutz personenbezogener Daten in Kraft, und das wird auch so bleiben. Es handelt sich also nicht um eine bloße regulatorische Anpassung, sondern um einen tiefgreifenden kulturellen Wandel, der den verschiedenen Verpflichteten, wie bisher, wiederkehrende Aufgaben auferlegt:

  • Buchhaltung,
  • Steuererklärungen,
  • die Registrierung von Geschäftsbüchern und Jahresabschlüssen, usw.

Nach der Panik, die in den vergangenen Monaten und vor allem in den Tagen vor dem Inkrafttreten herrschte, ist es an der Zeit, über die grundlegenden Veränderungen aufzuklären und einen Kulturwandel, der zweifellos absolut notwendig ist, mit offenen Armen zu empfangen.

Was also können wir als Bürger fordern und welche Maßnahmen werden Unternehmen und andere, die zur Einhaltung der Verordnung verpflichtet sind, ergreifen müssen?

Ausweitung der Rechte für die Bürger

Neue Rechte

Zusätzlich zu den bereits bekannten ARCO-Rechten (Auskunft, Einschränkung, Berichtigung und Widerspruch) wurden das beliebte Recht auf Vergessenwerden und das Recht auf Übertragbarkeit geschaffen . Letzteres verpflichtet den für die Verarbeitung Verantwortlichen, der betroffenen Person eine vollständige Kopie ihrer Daten in elektronischer Form und in einem kompatiblen Format zur Verfügung zu stellen. Das Recht auf Vergessenwerden hingegen verpflichtet den für die Verarbeitung Verantwortlichen, alle über eine bestimmte betroffene Person gespeicherten Daten zu löschen.

Der Bürger als Eigentümer seiner eigenen Daten

Aus der Sicht des Bürgers ermöglicht die neue Verordnung, dass er wieder Eigentümer seiner Daten wird. Von nun an werden personenbezogene Datenbanken nicht mehr Eigentum eines bestimmten Unternehmens sein, sondern der Eigentümer dieser Daten.

Das bedeutet, dass das Unternehmen die Daten gemäß den in der Verordnung festgelegten Legitimationskriterien verwendet, vor allem auf der Grundlage der ausdrücklichen Zustimmung des Dateninhabers oder seines Vormunds, und dass das Unternehmen für die korrekte Aufbewahrung und den Schutz der Daten verantwortlich ist, aber niemals der Dateninhaber.

Die gesamte Kette wird verantwortlich sein

Aus der Sicht des Unternehmens, des Berufsstandes oder der öffentlichen Einrichtung, die, wie bereits erwähnt, nunmehr als für die Verarbeitung Verantwortliche gelten, können sie nicht mehr als Eigentümer der von ihnen verarbeiteten personenbezogenen Daten angesehen werden, sondern sind vielmehr für deren Verarbeitung verantwortlich.

Dies bedeutet, dass sie eine proaktive und verantwortungsbewusste Haltung einnehmen und an der Einhaltung der Vorschriften mitwirken müssen, indem sie sich die neue Kultur des Schutzes personenbezogener Daten zu eigen machen und sich ihr anpassen.

Das Unternehmen muss nämlich nicht nur die Daten schützen, sondern auch dafür sorgen, dass Dritte, die aus verschiedenen Gründen Zugang zu den von ihm verwahrten Daten haben, ebenfalls die Vorschriften einhalten und bei der Verarbeitung der Daten verantwortungsbewusst handeln .

Mehr Pflichten für Unternehmen

Neue Register und Verantwortlichkeiten

Die Pflicht zur Registrierung von Dateien bei der AEPD wurde abgeschafft, aber das Register der Verarbeitungstätigkeiten wurde als gesetzliche Verpflichtung für Unternehmen mit mehr als 250 Beschäftigten oder für Unternehmen, die sensible Daten oder Daten verarbeiten, die erhebliche Risiken für die betroffenen Personen mit sich bringen können, eingeführt.

Gleichzeitig ist das Register der Auftragsverarbeiter auch aus dem gesunden Menschenverstand heraus entstanden:

  • das Register der Auftragsdatenverarbeiter,

  • das Register der Auftraggeber, die als Datenverarbeiter tätig sind,

  • das Register der Anträge von Inhabern von Rechten an personenbezogenen Daten,

  • das Register der Datenübermittlungen und das Register der Vorfälle.

Andererseits wird es auch obligatorisch sein:

  • die Risikoanalyse der einzelnen Verarbeitungsvorgänge,

  • Datenschutz-Folgenabschätzungen ( Privacy Impact Assessments , PIA ), wenn aufgrund der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung eine hinreichend hohe Wahrscheinlichkeit besteht, dass die Rechte und Freiheiten natürlicher Personen beeinträchtigt werden.

Ein neuer Akteur kommt ins Spiel

Der Datenschutzbeauftragte (DSB ) ist eine natürliche Person mit juristischer Ausbildung und praktischen Kenntnissen im Bereich des Datenschutzes, die zwischen dem Unternehmen, den betroffenen Personen, den beteiligten Dritten und der spanischen Datenschutzbehörde (AEPD) vermittelt und darüber hinaus die Systeme zur Einhaltung der Vorschriften bewertet, die Risiken analysiert und die verschiedenen Teams koordiniert, die an der Einhaltung der Vorschriften beteiligt sind.

Bis auf Weiteres sind nur öffentliche Verwaltungen, mit Ausnahme von Gerichten, und Unternehmen, die Verarbeitungen durchführen, die eine regelmäßige und systematische Beobachtung der betroffenen Personen in großem Umfang erfordern, und/oder Verarbeitungen, die besondere Datenkategorien in großem Umfang betreffen, wie z. B. Gesundheitsdaten, verpflichtet, einen DSB zu bestellen. Dies gilt auch, wenn die EU-Mitgliedstaaten dies in ihren internen Vorschriften vorschreiben.

Es liegt auf der Hand, dass sich der Kreis der verpflichteten Unternehmen in nicht allzu ferner Zukunft erweitern wird, da die Prozesse vereinfacht und die Kosten gesenkt werden, z. B. durch Software-Tools.

Die AEPD hat bereits mehrfach darauf hingewiesen, dass Unternehmen, die nicht dazu verpflichtet sind, ihren DSB freiwillig benennen sollten, da dies enorme Vorteile bietet.

Sanktionen erfordern die Einhaltung der Vorschriften

Angesichts der obigen Ausführungen und nachdem klar ist, wer der für die Verarbeitung Verantwortliche und wer der Verantwortliche ist, sei darauf hingewiesen, dass die Sanktionen zwischen 2 % und 4 % des gesamten jährlichen Gesamtumsatzes des vorangegangenen Geschäftsjahres liegen, ohne dass dies abschreckend wirken soll. Bei schwerwiegenden Verstößen werden 10 Millionen Euro und bei sehr schwerwiegenden Verstößen 20 Millionen Euro fällig.

Ein Beispiel: Ein KMU, das im Jahr 2017 800.000 Euro erwirtschaftet hat, unabhängig davon, ob es im Jahr 2017 einen Gewinn erzielt hat oder nicht, muss im Falle einer Bestrafung zwischen 16.000 und 32.000 Euro zahlen.

Deshalb ist es wichtig, diesen Kulturwandel sehr ernst zu nehmen und Strafen so weit wie möglich zu vermeiden, anstatt sich auf deren Kosten einzulassen, Rückstellungen zu bilden und abzuwarten. Eine in der Vergangenheit sehr verbreitete Praxis, die heute keinen Sinn mehr macht.

RGPD-Software: Tools, die zweifellos notwendig sind

Wie wir gesehen haben, erfordern die neuen Vorschriften einen großen Aufwand, zunächst durch die Erstellung dichter rechtlicher Studien und dann durch einen Aktionsplan , in dem alle Maßnahmen aufgeführt sind, die durchgeführt werden müssen, um einer eventuellen Kontrolle nachzuweisen, dass die Vorschriften eingehalten werden und/oder dass alle Maßnahmen, die zur Einhaltung der Vorschriften als notwendig erachtet werden, proaktiv durchgeführt werden.

Als Berater in diesem Bereich können wir das Vorhandensein solcher Software und ihre mehr als fundierten Ratschläge für einen geeigneten Aktionsplan nicht ignorieren. Wir können auch nicht weiterhin die Verwendung von Excel-Tabellen vorschlagen, um die oben erwähnten Aufzeichnungen durchzuführen. Die Software hat Einzug in unseren Beruf gehalten, und wir sollten uns nicht nur nicht vor ihr fürchten, sondern sie als weiteres Instrument zur Verbesserung und Steigerung der Qualität unserer Arbeit einsetzen.

Kann die Technologie die Arbeit von Anwälten ersetzen?

Einige Unternehmen sind vielleicht fast auf sich allein gestellt, aber sehr darauf bedacht, die "Anweisungen" korrekt zu befolgen, um eine Haftung zu vermeiden, aber die Zukunft sagt, dass sie uns trotzdem brauchen werden .

Ein Beweis dafür ist, dass einige GDPR-Software bereits eine parallele Plattform bietet, auf der der Berater - unabhängig davon, ob er als interner oder externer Datenschutzbeauftragter fungiert - sowohl die Erstellung des Aktionsplans als auch dessen Umsetzung überprüfen und genehmigen kann. Dies ist vielleicht das beste Kriterium, um die Qualität und Nützlichkeit einer solchen Software zu beurteilen.

Nach meiner persönlichen Erfahrung, die sich in jedem Rechtsgebiet stellt, ist es unerlässlich, dass die Kommunikation zwischen Anwalt und Mandant perfekt aufgezeichnet und geordnet wird und dass es möglich ist, Dokumente zu erstellen, die diese Gespräche transkribieren (z. B. PDF), falls es zu einem Konflikt kommt. Die E-Mail ist daher kurz davor, der Vergangenheit anzugehören.

Juristen + Technik = sichere Bearbeitung

Diese Kombination scheint ideal zu sein, denn obwohl die Beratungszeiten und damit die Kosten stark reduziert werden, werden die Unternehmen das Risiko der abschließenden Beratung weiterhin auf die Juristen und damit auf ihre Versicherungsgesellschaften übertragen wollen.

Ob sich dies auch auf andere Rechtsgebiete ausdehnen wird, ist nicht vorhersehbar, aber alles deutet darauf hin, dass dies zweifellos der Fall sein wird.

Artikel übersetzt aus dem Spanischen