de en
Nexia Ebner Stolz

Rechtsberatung

Datenschutzgrundverordnung - Überforderung des Mittelstandes?

Ei­nige Wo­chen nach In­kraft­tre­ten der DS­GVO schil­dert Clau­dia Stange-Gath­mann aus dem Ge­schäfts­be­reich IT-Re­vi­sion (GBIT) bei Eb­ner Stolz den ak­tu­el­len Um­set­zungs­stand in mit­telständi­schen Un­ter­neh­men und wo der­zeit noch Hand­lungs­be­darf be­steht.

Kein Thema sorgte in mit­telständi­schen Un­ter­neh­men für so viel Kopf­zer­bre­chen wie die am 25.5.2018 in Kraft ge­tre­tene Da­ten­schutz­grund­ver­ord­nung (DS­GVO). Mit die­ser Re­ge­lung hat die EU die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten durch Un­ter­neh­men und Behörden neu ge­re­gelt. Obers­tes Ge­bot: Das Recht auf in­di­vi­du­elle Selbst­be­stim­mung im Um­gang mit den ei­ge­nen Da­ten. Da­mit wer­den viele Ge­pflo­gen­hei­ten in der un­ter­neh­me­ri­schen Pra­xis in Frage ge­stellt. Es be­ste­hen weit­rei­chende Aus­kunfts­rechte über die Da­ten­ver­wen­dung und Un­ter­neh­men sind ver­pflich­tet, Löschkon­zepte zu ent­wi­ckeln für den Fall, dass die ge­mein­schaft­li­che Ge­schäfts­be­zie­hung be­en­det wird. Verstöße ge­gen die DS­GVO können mit dra­ko­ni­schen Stra­fen sank­tio­niert wer­den. Clau­dia Stange-Gath­mann be­treut im Ge­schäfts­be­reich IT-Re­vi­sion (GBIT) bei Eb­ner Stolz ope­ra­tive Fra­gen rund um das Thema DS­GVO und sorgt bei den Man­dan­ten dafür, dass die ope­ra­ti­ven und tech­ni­schen Abläufe ent­spre­chend an­ge­passt wer­den.

Datenschutzgrundverordnung - Überforderung des Mittelstandes?© Claudia Stange-Gathmann, CISA, CIA, CISM bei Ebner Stolz in Hamburg

Wie ist Ihre Er­fah­rung: Trifft es zu, wie von der Presse kol­por­tiert, dass in Tei­len der Wirt­schaft blan­kes Ent­set­zen an­ge­sichts der DS­GVO be­steht?

Blan­kes Ent­set­zen ist viel­leicht über­trie­ben, aber trotz­dem – ob­wohl viele Re­ge­lun­gen der DS­GVO nicht neu sind, son­dern seit vie­len Jah­ren ge­setz­lich be­reits im al­ten Bun­des­da­ten­schutz­ge­setz ge­re­gelt wa­ren, se­hen sich viele un­se­rer Man­da­ten vor der Her­aus­for­de­rung im Thema Da­ten­schutz quasi „von Null“ zu be­gin­nen. Dass dies nicht zu Glücks­gefühlen bei den Un­ter­neh­men führt, ist glaube ich verständ­lich.

Im Zuge der DS­GVO sind ja viele ver­schie­dene Dinge zu be­ach­ten und an­zu­pas­sen. An­ge­fan­gen von der Da­ten­schutz­erklärung über Verträge zur Auf­trags­ver­ar­bei­tung (AV) und die Um­set­zung von tech­ni­sch-or­ga­ni­sa­to­ri­schen Maßnah­men (TOM). Sind mit­telständi­sche Un­ter­neh­men hier­mit nicht schlicht­weg über­for­dert?

Die Um­set­zung der DS­GVO ist für viele Un­ter­neh­men eine Her­aus­for­de­rung, aber sie ist zum einen ge­setz­lich not­wen­dig und zum an­de­ren bringt sie auch Mehr­werte. Z. B. sind viele der um­zu­set­zen­den tech­ni­sch or­ga­ni­sa­to­ri­schen Maßnah­men, wie etwa die Durchführung von Da­ten­si­che­run­gen und der Schutz vor un­be­fug­tem Zu­gang oder Zu­griff, un­abhängig vom Schutz per­so­nen­be­zo­ge­ner Da­ten, aus Sicht der In­for­ma­ti­ons­si­cher­heit auch im ur­ei­ge­nen Un­ter­neh­mens­in­ter­esse. Un­ter­neh­men, die von IT-Si­cher­heit ge­ne­rell über­for­dert sind, soll­ten hier schnell Ka­pa­zitäten auf­bauen und Maßnah­men er­grei­fen. Für ei­nige Un­ter­neh­men wird al­ler­dings die (Teil-)Aus­la­ge­rung der IT aus Ka­pa­zitätsgründen die ein­zig gang­bare Lösung sein.

Die großen Kon­zerne schei­nen das Thema mehr oder we­ni­ger im Griff zu ha­ben. Wäre es nicht an­ge­mes­sen ge­we­sen, we­ni­ger strenge An­for­de­run­gen an klei­nere und mitt­lere Un­ter­neh­men zu stel­len bzw. diese ganz aus dem Re­ge­lungs­be­reich der DS­GVO aus­zu­neh­men?

Groß in der Presse war ja der Fall um das Un­ter­neh­men „Cam­bridge Ana­lytica“, das mit 200 Mit­ar­bei­tern kein großes Un­ter­neh­men ist. Wenn man den Schutz der per­so­nen­be­zo­ge­nen Da­ten in den Mit­tel­punkt stellt, dann kann die Un­ter­neh­mensgröße kein Maßstab sein. Wir ken­nen aus un­se­rer Pra­xis Großun­ter­neh­men, die durch ihr Ge­schäfts­mo­dell und ihre Pro­zesse re­la­tiv we­nig Berührungs­punkte zum Da­ten­schutz ha­ben. Das kann sich bei klei­nen bzw. mit­tel­großen Un­ter­neh­men ganz an­ders dar­stel­len, den­ken Sie nur an die gan­zen In­ter­net-Star­tups für die „Da­ten das neue Gold sind“. Nichts­des­to­trotz stel­len die An­for­de­run­gen der DS­GVO mit ih­rem Motto „one size fits all“ man­che kleine Un­ter­neh­men, Ver­eine etc., de­ren Haupt­ge­schäft nicht die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Da­ten ist, vor große Her­aus­for­de­run­gen. Da liegt die Frage nach Ver­ein­fa­chun­gen, z. B. für Im­mo­bi­li­en­mak­ler mit zwei Mit­ar­bei­tern oder einen Bäcker mit einem Lie­fer­ser­vice an Pri­vat­per­so­nen, nahe. Von den Auf­sichts­behörden gibt es ent­spre­chende Hand­rei­chun­gen.

Für Un­ter­neh­men jeg­li­cher Größe gilt: das Ver­trauen von Kun­den ist durch eine Da­ten­panne schnell ver­lo­ren und nur schwer wie­der zu ge­win­nen. Die Un­ter­neh­men soll­ten Da­ten­schutz als Mar­ke­ting­in­stru­ment be­trach­ten, um den „Schmerz“ zu lin­dern.

Die recht­li­chen Be­stim­mun­gen der DS­GVO müssen tech­ni­sch um­ge­setzt wer­den. Es be­steht also quasi eine Schnitt­stelle zwi­schen IT und Recht. Wie können Un­ter­neh­men dafür Sorge tra­gen, dass die An­for­de­run­gen kor­rekt und ef­fi­zi­ent um­ge­setzt wer­den?

Dies war ge­rade in der Ver­gan­gen­heit ein Pro­blem, dass Be­ra­ter oder Da­ten­schutz­be­auf­tragte oft ent­we­der einen tech­ni­schen oder einen ju­ris­ti­schen Schwer­punkt hat­ten. Die DS­GVO ver­langt aber bei­des. Hier muss ab­ge­stimmt vor­ge­gan­gen wer­den. Die Um­set­zung des Da­ten­schut­zes ist nicht die Auf­gabe ei­ner ein­zel­nen Per­son, son­dern muss in den Fach­be­rei­chen (IT, Per­so­nal etc.) un­ter Hin­zu­zie­hung der not­wen­di­gen Kom­pe­ten­zen er­fol­gen.

Bei Eb­ner Stolz ha­ben wir so­wohl die da­ten­schutz­recht­li­che, als auch die IT-tech­ni­sche Kom­pe­tenz im Hause. Im Zwei­fel müssen sich die Un­ter­neh­men in­tern oder ex­tern in den feh­len­den Be­rei­chen verstärken. Wich­tig da­bei ist aber eine ein­heit­li­che Ge­samt­ko­or­di­na­tion, ins­be­son­dere bei der Be­ar­bei­tung ei­ner  Da­ten­schutz­ver­let­zung sind ver­schie­dene Know-how-Träger im Un­ter­neh­men ge­mein­schaft­lich ge­for­dert. Wich­tig: Da­ten­schutz ist eine Führungs­auf­gabe!

Können über­haupt schon alle An­for­de­run­gen kor­rekt um­ge­setzt wer­den - oder be­ste­hen in Teil­be­rei­chen noch recht­li­che Un­klar­hei­ten?

In den nächs­ten Mo­na­ten wer­den sich noch ei­nige Dinge kon­kre­ti­sie­ren müssen, z. B. ist die rich­tige Um­set­zung von Löschver­pflich­tun­gen in ge­wach­se­nen Sys­tem­land­schaf­ten der­zeit oft tech­ni­sch gar nicht möglich. Hier feh­len Lösun­gen, die auch die Lan­des­behörden zum Da­ten­schutz mit­tra­gen können. Und natürlich wird auch die Recht­spre­chung in den nächs­ten Mo­na­ten und Jah­ren wei­ter für Klar­heit sor­gen.

Wel­chen The­men der DS­GVO mes­sen Sie die höchste Re­le­vanz bei?

Erst ein­mal rich­tet sich der Blick aus Un­ter­neh­mens­sicht si­cher­lich nach Außen, also hin zu den Per­so­nen, die mit dem Un­ter­neh­men in Kon­takt kom­men. Dem Nach­kom­men von In­for­ma­ti­ons­pflich­ten und eine ord­nungs­gemäße Web­seite, aber auch tech­ni­sch or­ga­ni­sa­to­ri­sche Maßnah­men, AV-Verträge oder die Schu­lung von Mit­ar­bei­tern sind wich­tig. Am Ende muss die DS­GVO als Ge­samt­pa­ket ge­se­hen und um­ge­setzt wer­den, aus dem man nur be­dingt Teile her­aus­neh­men kann.

Es be­steht die Befürch­tung, dass ins­be­son­dere Ab­mahn­ge­sell­schaf­ten von der DS­GVO pro­fi­tie­ren. Wie ist ihr Ein­druck?

Die DS­GVO dient vor Al­lem dem Schutz der Da­ten der Bürger der EU. Dass Ab­mahn­ver­eine sich die­ses Ve­hi­kel zu Nutze ma­chen, um schnel­les Geld zu ma­chen, be­trach­ten wir mit Sorge. Wir hören der­zeit von ei­ni­gen Fällen, in de­nen ge­rade kleine Un­ter­neh­men, z. B. Ver­mie­tun­gen von Fe­ri­en­woh­nun­gen mit ei­ge­nen Web­sei­ten, von Ab­mahn­ver­ei­nen be­trof­fen sind. Die große Welle scheint bis­her aber aus­ge­blie­ben. Trotz­dem be­hal­ten wir das Thema im Auge und die Sorge bleibt. Übri­gens auch bei der Uni­ons­frak­tion im Bun­des­tag, diese will laut Pres­se­be­rich­ten teure Ab­mah­nun­gen bei ver­meint­li­chen Verstößen ge­gen die neue DS­GVO aus­set­zen.

Was ra­ten Sie Un­ter­neh­men, die das Thema DS­GVO bis­her eher stiefmütter­lich be­han­delt ha­ben?

Nicht in Pa­nik ver­fal­len, die Welt dreht sich auch nach dem 25.5.2018 wei­ter. In Ruhe die we­sent­li­chen Bau­stel­len iden­ti­fi­zie­ren und ana­ly­sie­ren und dann im Zwei­fel mit Hilfe von außen ge­eig­nete Maßnah­men er­grei­fen, um Schwach­stel­len ab­zu­stel­len. Ri­si­ko­ori­en­tie­rung ist auch hier das Mit­tel der Wahl.

nach oben