deen
Nexia Ebner Stolz

Datenschutzgrundverordnung - Überforderung des Mittelstandes?

Einige Wochen nach Inkrafttreten der DSGVO schildert Claudia Stange-Gathmann aus dem Geschäftsbereich IT-Revision (GBIT) bei Ebner Stolz den aktuellen Umsetzungsstand in mittelständischen Unternehmen und wo derzeit noch Handlungsbedarf besteht.

Kein Thema sorgte in mit­tel­stän­di­schen Unter­neh­men für so viel Kopf­zer­b­re­chen wie die am 25.5.2018 in Kraft get­re­tene Daten­schutz­grund­ver­ord­nung (DSGVO). Mit die­ser Rege­lung hat die EU die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Unter­neh­men und Behör­den neu gere­gelt. Obers­tes Gebot: Das Recht auf indi­vi­du­elle Selbst­be­stim­mung im Umgang mit den eige­nen Daten. Damit wer­den viele Gepf­lo­gen­hei­ten in der unter­neh­me­ri­schen Pra­xis in Frage ges­tellt. Es beste­hen weit­rei­chende Aus­kunfts­rechte über die Daten­ver­wen­dung und Unter­neh­men sind verpf­lich­tet, Lösch­kon­zepte zu ent­wi­ckeln für den Fall, dass die gemein­schaft­li­che Geschäfts­be­zie­hung been­det wird. Ver­stöße gegen die DSGVO kön­nen mit dra­ko­ni­schen Stra­fen sank­tio­niert wer­den. Clau­dia Stange-Gath­mann bet­reut im Geschäfts­be­reich IT-Revi­sion (GBIT) bei Ebner Stolz ope­ra­tive Fra­gen rund um das Thema DSGVO und sorgt bei den Man­dan­ten dafür, dass die ope­ra­ti­ven und tech­ni­schen Abläufe ent­sp­re­chend ange­passt wer­den.

Datenschutzgrundverordnung - Überforderung des Mittelstandes?© Claudia Stange-Gathmann, CISA, CIA, CISM bei Ebner Stolz in Hamburg

Wie ist Ihre Erfah­rung: Trifft es zu, wie von der Presse kol­por­tiert, dass in Tei­len der Wirt­schaft blan­kes Ent­set­zen ange­sichts der DSGVO besteht?

Blan­kes Ent­set­zen ist viel­leicht über­trie­ben, aber trotz­dem – obwohl viele Rege­lun­gen der DSGVO nicht neu sind, son­dern seit vie­len Jah­ren gesetz­lich bereits im alten Bun­des­da­ten­schutz­ge­setz gere­gelt waren, sehen sich viele unse­rer Man­da­ten vor der Her­aus­for­de­rung im Thema Daten­schutz quasi „von Null“ zu begin­nen. Dass dies nicht zu Glücks­ge­füh­len bei den Unter­neh­men führt, ist glaube ich ver­ständ­lich.

Im Zuge der DSGVO sind ja viele ver­schie­dene Dinge zu beach­ten und anzu­pas­sen. Ange­fan­gen von der Daten­schutz­er­klär­ung über Ver­träge zur Auf­trags­ver­ar­bei­tung (AV) und die Umset­zung von tech­nisch-orga­ni­sa­to­ri­schen Maß­nah­men (TOM). Sind mit­tel­stän­di­sche Unter­neh­men hier­mit nicht sch­licht­weg über­for­dert?

Die Umset­zung der DSGVO ist für viele Unter­neh­men eine Her­aus­for­de­rung, aber sie ist zum einen gesetz­lich not­wen­dig und zum ande­ren bringt sie auch Mehr­werte. Z. B. sind viele der umzu­set­zen­den tech­nisch orga­ni­sa­to­ri­schen Maß­nah­men, wie etwa die Durch­füh­rung von Daten­si­che­run­gen und der Schutz vor unbe­fug­tem Zugang oder Zugriff, unab­hän­gig vom Schutz per­so­nen­be­zo­ge­ner Daten, aus Sicht der Infor­ma­ti­ons­si­cher­heit auch im urei­ge­nen Unter­neh­mens­in­ter­esse. Unter­neh­men, die von IT-Sicher­heit gene­rell über­for­dert sind, soll­ten hier sch­nell Kapa­zi­tä­ten auf­bauen und Maß­nah­men erg­rei­fen. Für einige Unter­neh­men wird aller­dings die (Teil-)Aus­la­ge­rung der IT aus Kapa­zi­täts­grün­den die ein­zig gang­bare Lösung sein.

Die gro­ßen Kon­zerne schei­nen das Thema mehr oder weni­ger im Griff zu haben. Wäre es nicht ange­mes­sen gewe­sen, weni­ger strenge Anfor­de­run­gen an klei­nere und mitt­lere Unter­neh­men zu stel­len bzw. diese ganz aus dem Rege­lungs­be­reich der DSGVO aus­zu­neh­men?

Groß in der Presse war ja der Fall um das Unter­neh­men „Cam­bridge Ana­lyti­ca“, das mit 200 Mit­ar­bei­tern kein gro­ßes Unter­neh­men ist. Wenn man den Schutz der per­so­nen­be­zo­ge­nen Daten in den Mit­tel­punkt stellt, dann kann die Unter­neh­mens­größe kein Maß­stab sein. Wir ken­nen aus unse­rer Pra­xis Groß­un­ter­neh­men, die durch ihr Geschäfts­mo­dell und ihre Pro­zesse rela­tiv wenig Berüh­rungs­punkte zum Daten­schutz haben. Das kann sich bei klei­nen bzw. mit­tel­gro­ßen Unter­neh­men ganz anders dar­s­tel­len, den­ken Sie nur an die gan­zen Inter­net-Star­tups für die „Daten das neue Gold sind“. Nichts­de­s­to­trotz stel­len die Anfor­de­run­gen der DSGVO mit ihrem Motto „one size fits all“ man­che kleine Unter­neh­men, Ver­eine etc., deren Haupt­ge­schäft nicht die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ist, vor große Her­aus­for­de­run­gen. Da liegt die Frage nach Ver­ein­fa­chun­gen, z. B. für Immo­bi­li­en­mak­ler mit zwei Mit­ar­bei­tern oder einen Bäcker mit einem Lie­fer­ser­vice an Pri­vat­per­so­nen, nahe. Von den Auf­sichts­be­hör­den gibt es ent­sp­re­chende Hand­rei­chun­gen.

Für Unter­neh­men jeg­li­cher Größe gilt: das Ver­trauen von Kun­den ist durch eine Daten­panne sch­nell ver­lo­ren und nur schwer wie­der zu gewin­nen. Die Unter­neh­men soll­ten Daten­schutz als Mar­ke­ting­in­stru­ment betrach­ten, um den „Sch­merz“ zu lin­dern.

Die recht­li­chen Bestim­mun­gen der DSGVO müs­sen tech­nisch umge­setzt wer­den. Es besteht also quasi eine Schnitt­s­telle zwi­schen IT und Recht. Wie kön­nen Unter­neh­men dafür Sorge tra­gen, dass die Anfor­de­run­gen kor­rekt und effi­zi­ent umge­setzt wer­den?

Dies war gerade in der Ver­gan­gen­heit ein Pro­b­lem, dass Bera­ter oder Daten­schutz­be­auf­tragte oft ent­we­der einen tech­ni­schen oder einen juris­ti­schen Schwer­punkt hat­ten. Die DSGVO ver­langt aber bei­des. Hier muss abge­stimmt vor­ge­gan­gen wer­den. Die Umset­zung des Daten­schut­zes ist nicht die Auf­gabe einer ein­zel­nen Per­son, son­dern muss in den Fach­be­rei­chen (IT, Per­so­nal etc.) unter Hin­zu­zie­hung der not­wen­di­gen Kom­pe­ten­zen erfol­gen.

Bei Ebner Stolz haben wir sowohl die daten­schutz­recht­li­che, als auch die IT-tech­ni­sche Kom­pe­tenz im Hause. Im Zwei­fel müs­sen sich die Unter­neh­men intern oder extern in den feh­len­den Berei­chen ver­stär­ken. Wich­tig dabei ist aber eine ein­heit­li­che Gesamt­ko­or­di­na­tion, ins­be­son­dere bei der Bear­bei­tung einer  Daten­schutz­ver­let­zung sind ver­schie­dene Know-how-Trä­ger im Unter­neh­men gemein­schaft­lich gefor­dert. Wich­tig: Daten­schutz ist eine Füh­rungs­auf­gabe!

Kön­nen über­haupt schon alle Anfor­de­run­gen kor­rekt umge­setzt wer­den - oder beste­hen in Teil­be­rei­chen noch recht­li­che Unklar­hei­ten?

In den nächs­ten Mona­ten wer­den sich noch einige Dinge kon­k­re­ti­sie­ren müs­sen, z. B. ist die rich­tige Umset­zung von Lösch­verpf­lich­tun­gen in gewach­se­nen Sys­tem­land­schaf­ten der­zeit oft tech­nisch gar nicht mög­lich. Hier feh­len Lösun­gen, die auch die Lan­des­be­hör­den zum Daten­schutz mit­tra­gen kön­nen. Und natür­lich wird auch die Recht­sp­re­chung in den nächs­ten Mona­ten und Jah­ren wei­ter für Klar­heit sor­gen.

Wel­chen The­men der DSGVO mes­sen Sie die höchste Rele­vanz bei?

Erst ein­mal rich­tet sich der Blick aus Unter­neh­mens­sicht sicher­lich nach Außen, also hin zu den Per­so­nen, die mit dem Unter­neh­men in Kon­takt kom­men. Dem Nach­kom­men von Infor­ma­ti­onspf­lich­ten und eine ord­nungs­ge­mäße Web­seite, aber auch tech­nisch orga­ni­sa­to­ri­sche Maß­nah­men, AV-Ver­träge oder die Schu­lung von Mit­ar­bei­tern sind wich­tig. Am Ende muss die DSGVO als Gesamt­pa­ket gese­hen und umge­setzt wer­den, aus dem man nur bedingt Teile her­aus­neh­men kann.

Es besteht die Befürch­tung, dass ins­be­son­dere Abmahn­ge­sell­schaf­ten von der DSGVO pro­fi­tie­ren. Wie ist ihr Ein­druck?

Die DSGVO dient vor Allem dem Schutz der Daten der Bür­ger der EU. Dass Abmahn­ve­r­eine sich die­ses Vehi­kel zu Nutze machen, um sch­nel­les Geld zu machen, betrach­ten wir mit Sorge. Wir hören der­zeit von eini­gen Fäl­len, in denen gerade kleine Unter­neh­men, z. B. Ver­mie­tun­gen von Feri­en­woh­nun­gen mit eige­nen Web­sei­ten, von Abmahn­ve­r­ei­nen betrof­fen sind. Die große Welle scheint bis­her aber aus­ge­b­lie­ben. Trotz­dem behal­ten wir das Thema im Auge und die Sorge bleibt. Übri­gens auch bei der Uni­ons­frak­tion im Bun­des­tag, diese will laut Pres­se­be­rich­ten teure Abmah­nun­gen bei ver­meint­li­chen Ver­stö­ßen gegen die neue DSGVO aus­set­zen.

Was raten Sie Unter­neh­men, die das Thema DSGVO bis­her eher stief­müt­ter­lich behan­delt haben?

Nicht in Panik ver­fal­len, die Welt dreht sich auch nach dem 25.5.2018 wei­ter. In Ruhe die wesent­li­chen Bau­s­tel­len iden­ti­fi­zie­ren und ana­ly­sie­ren und dann im Zwei­fel mit Hilfe von außen geeig­nete Maß­nah­men erg­rei­fen, um Schwach­s­tel­len abzu­s­tel­len. Risi­ko­o­ri­en­tie­rung ist auch hier das Mit­tel der Wahl.


nach oben