Kein Thema sorgte in mittelständischen Unternehmen für so viel Kopfzerbrechen wie die am 25.5.2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO). Mit dieser Regelung hat die EU die Verarbeitung personenbezogener Daten durch Unternehmen und Behörden neu geregelt. Oberstes Gebot: Das Recht auf individuelle Selbstbestimmung im Umgang mit den eigenen Daten. Damit werden viele Gepflogenheiten in der unternehmerischen Praxis in Frage gestellt. Es bestehen weitreichende Auskunftsrechte über die Datenverwendung und Unternehmen sind verpflichtet, Löschkonzepte zu entwickeln für den Fall, dass die gemeinschaftliche Geschäftsbeziehung beendet wird. Verstöße gegen die DSGVO können mit drakonischen Strafen sanktioniert werden. Claudia Stange-Gathmann betreut im Geschäftsbereich IT-Revision (GBIT) bei Ebner Stolz operative Fragen rund um das Thema DSGVO und sorgt bei den Mandanten dafür, dass die operativen und technischen Abläufe entsprechend angepasst werden.
© Claudia Stange-Gathmann, CISA, CIA, CISM bei Ebner Stolz in HamburgWie ist Ihre Erfahrung: Trifft es zu, wie von der Presse kolportiert, dass in Teilen der Wirtschaft blankes Entsetzen angesichts der DSGVO besteht?
Blankes Entsetzen ist vielleicht übertrieben, aber trotzdem – obwohl viele Regelungen der DSGVO nicht neu sind, sondern seit vielen Jahren gesetzlich bereits im alten Bundesdatenschutzgesetz geregelt waren, sehen sich viele unserer Mandaten vor der Herausforderung im Thema Datenschutz quasi „von Null“ zu beginnen. Dass dies nicht zu Glücksgefühlen bei den Unternehmen führt, ist glaube ich verständlich.
Im Zuge der DSGVO sind ja viele verschiedene Dinge zu beachten und anzupassen. Angefangen von der Datenschutzerklärung über Verträge zur Auftragsverarbeitung (AV) und die Umsetzung von technisch-organisatorischen Maßnahmen (TOM). Sind mittelständische Unternehmen hiermit nicht schlichtweg überfordert?
Die Umsetzung der DSGVO ist für viele Unternehmen eine Herausforderung, aber sie ist zum einen gesetzlich notwendig und zum anderen bringt sie auch Mehrwerte. Z. B. sind viele der umzusetzenden technisch organisatorischen Maßnahmen, wie etwa die Durchführung von Datensicherungen und der Schutz vor unbefugtem Zugang oder Zugriff, unabhängig vom Schutz personenbezogener Daten, aus Sicht der Informationssicherheit auch im ureigenen Unternehmensinteresse. Unternehmen, die von IT-Sicherheit generell überfordert sind, sollten hier schnell Kapazitäten aufbauen und Maßnahmen ergreifen. Für einige Unternehmen wird allerdings die (Teil-)Auslagerung der IT aus Kapazitätsgründen die einzig gangbare Lösung sein.
Die großen Konzerne scheinen das Thema mehr oder weniger im Griff zu haben. Wäre es nicht angemessen gewesen, weniger strenge Anforderungen an kleinere und mittlere Unternehmen zu stellen bzw. diese ganz aus dem Regelungsbereich der DSGVO auszunehmen?
Groß in der Presse war ja der Fall um das Unternehmen „Cambridge Analytica“, das mit 200 Mitarbeitern kein großes Unternehmen ist. Wenn man den Schutz der personenbezogenen Daten in den Mittelpunkt stellt, dann kann die Unternehmensgröße kein Maßstab sein. Wir kennen aus unserer Praxis Großunternehmen, die durch ihr Geschäftsmodell und ihre Prozesse relativ wenig Berührungspunkte zum Datenschutz haben. Das kann sich bei kleinen bzw. mittelgroßen Unternehmen ganz anders darstellen, denken Sie nur an die ganzen Internet-Startups für die „Daten das neue Gold sind“. Nichtsdestotrotz stellen die Anforderungen der DSGVO mit ihrem Motto „one size fits all“ manche kleine Unternehmen, Vereine etc., deren Hauptgeschäft nicht die Verarbeitung von personenbezogenen Daten ist, vor große Herausforderungen. Da liegt die Frage nach Vereinfachungen, z. B. für Immobilienmakler mit zwei Mitarbeitern oder einen Bäcker mit einem Lieferservice an Privatpersonen, nahe. Von den Aufsichtsbehörden gibt es entsprechende Handreichungen.
Für Unternehmen jeglicher Größe gilt: das Vertrauen von Kunden ist durch eine Datenpanne schnell verloren und nur schwer wieder zu gewinnen. Die Unternehmen sollten Datenschutz als Marketinginstrument betrachten, um den „Schmerz“ zu lindern.
Die rechtlichen Bestimmungen der DSGVO müssen technisch umgesetzt werden. Es besteht also quasi eine Schnittstelle zwischen IT und Recht. Wie können Unternehmen dafür Sorge tragen, dass die Anforderungen korrekt und effizient umgesetzt werden?
Dies war gerade in der Vergangenheit ein Problem, dass Berater oder Datenschutzbeauftragte oft entweder einen technischen oder einen juristischen Schwerpunkt hatten. Die DSGVO verlangt aber beides. Hier muss abgestimmt vorgegangen werden. Die Umsetzung des Datenschutzes ist nicht die Aufgabe einer einzelnen Person, sondern muss in den Fachbereichen (IT, Personal etc.) unter Hinzuziehung der notwendigen Kompetenzen erfolgen.
Bei Ebner Stolz haben wir sowohl die datenschutzrechtliche, als auch die IT-technische Kompetenz im Hause. Im Zweifel müssen sich die Unternehmen intern oder extern in den fehlenden Bereichen verstärken. Wichtig dabei ist aber eine einheitliche Gesamtkoordination, insbesondere bei der Bearbeitung einer Datenschutzverletzung sind verschiedene Know-how-Träger im Unternehmen gemeinschaftlich gefordert. Wichtig: Datenschutz ist eine Führungsaufgabe!
Können überhaupt schon alle Anforderungen korrekt umgesetzt werden - oder bestehen in Teilbereichen noch rechtliche Unklarheiten?
In den nächsten Monaten werden sich noch einige Dinge konkretisieren müssen, z. B. ist die richtige Umsetzung von Löschverpflichtungen in gewachsenen Systemlandschaften derzeit oft technisch gar nicht möglich. Hier fehlen Lösungen, die auch die Landesbehörden zum Datenschutz mittragen können. Und natürlich wird auch die Rechtsprechung in den nächsten Monaten und Jahren weiter für Klarheit sorgen.
Welchen Themen der DSGVO messen Sie die höchste Relevanz bei?
Erst einmal richtet sich der Blick aus Unternehmenssicht sicherlich nach Außen, also hin zu den Personen, die mit dem Unternehmen in Kontakt kommen. Dem Nachkommen von Informationspflichten und eine ordnungsgemäße Webseite, aber auch technisch organisatorische Maßnahmen, AV-Verträge oder die Schulung von Mitarbeitern sind wichtig. Am Ende muss die DSGVO als Gesamtpaket gesehen und umgesetzt werden, aus dem man nur bedingt Teile herausnehmen kann.
Es besteht die Befürchtung, dass insbesondere Abmahngesellschaften von der DSGVO profitieren. Wie ist ihr Eindruck?
Die DSGVO dient vor Allem dem Schutz der Daten der Bürger der EU. Dass Abmahnvereine sich dieses Vehikel zu Nutze machen, um schnelles Geld zu machen, betrachten wir mit Sorge. Wir hören derzeit von einigen Fällen, in denen gerade kleine Unternehmen, z. B. Vermietungen von Ferienwohnungen mit eigenen Webseiten, von Abmahnvereinen betroffen sind. Die große Welle scheint bisher aber ausgeblieben. Trotzdem behalten wir das Thema im Auge und die Sorge bleibt. Übrigens auch bei der Unionsfraktion im Bundestag, diese will laut Presseberichten teure Abmahnungen bei vermeintlichen Verstößen gegen die neue DSGVO aussetzen.
Was raten Sie Unternehmen, die das Thema DSGVO bisher eher stiefmütterlich behandelt haben?
Nicht in Panik verfallen, die Welt dreht sich auch nach dem 25.5.2018 weiter. In Ruhe die wesentlichen Baustellen identifizieren und analysieren und dann im Zweifel mit Hilfe von außen geeignete Maßnahmen ergreifen, um Schwachstellen abzustellen. Risikoorientierung ist auch hier das Mittel der Wahl.
