Rz. 3
Derart allgemeine Anfragen waren selten, nehmen aber in der Vergangenheit an Häufigkeit zu. Auch mehr als fünf Jahre nach Inkrafttreten und bereits sieben Jahre nach Verabschiedung der DSGVO befinden sich Unternehmen, die faktisch keine datenschutzrelevante Dokumentation vorhalten, immer noch in bester Gesellschaft. In Gesprächen mit den potenziellen Mandanten kristallisieren sich häufig zwei Beweggründe heraus, sich auch noch mehrere Jahre mit der grundsätzlichen Herstellung der DSGVO-Compliance zu befassen:
Zum einen handelt es sich um Unternehmen, die – aus welchen Gründen auch immer – auf dem "Radar" der zuständigen Datenschutz-Aufsichtsbehörde gelandet sind (zuständig sind in aller Regel die Landesdatenschutzbehörden der Bundesländer am Sitz des Unternehmens). Häufig sind es verärgerte Kunden, die sich über unerwünschte Newsletter beschweren oder Beschäftigte, mit denen man sich nicht "im Guten" getrennt hat und die fehlende Datenschutz-Compliance – aus welchen Beweggründen auch immer – gegenüber der Datenschutzbehörde monieren.
Zum anderen wird der Kreis solcher Unternehmen immer größer, die von ihren Geschäftspartnern Compliance-Erklärungen (auch) zum Thema Datenschutz verlangen oder konkrete Anfragen stellen, weil sich beispielsweise herauskristallisiert hat, dass das nun an der anwaltlichen Beratung interessierte Unternehmen ein sog. Auftragsverarbeiter (Art. 28 DSGVO) ist und einen Auftragsverarbeitungsvertrag (sog. "AVV") schließen soll, in dem sich der potenzielle Mandant zum vorhandenen Datenschutzniveau erklären und verpflichten muss.
Das obenstehende Muster dient nicht nur für den potenziellen Mandanten, sondern letztlich auch für den beratenden Anwalt als grobe Richtschnur und Checkliste, welche Aufgaben durchzuführen sind. Hierbei wird es in erster Linie darum gehen, den Mandanten beim "Grundstock" der datenschutzrechtlich relevanten Dokumentation behilflich zu sein, nämlich beim sog. Verfahrensverzeichnis (soweit erforderlich) nach Art. 30 DSGVO, das trotz der großzügig klingenden Ausnahme in Art. 30 Abs. 5 DSGVO (250 Mitarbeiter oder mehr) leider doch von vielen Unternehmen zu führen ist, bei den Datenschutzerklärungen für die üblichen Verarbeitungssituationen und Adressaten (häufig handelt es sich um Erklärungen für die Website, die Bewerber und Beschäftigten, die Kunden auf der einen und die Lieferanten auf der anderen Seite), und zuletzt bei der Übersicht der im Unternehmen vorhandenen und "gelebten" technischen und organisatorischen Maßnahmen (sog. "TOMs"). Je nach Unternehmen, dessen Tätigkeitsbereich und Kundenzuschnitt könnten initiale und regelmäßig zu wiederholende Schulungen und Anleitungen beim Umfang mit sog. Betroffenenanfragen vorzunehmen sein.