Die goldsteps consulting GmbH & Co. KG hat ihren Hauptsitz in Bielefeld.

DSGVO

Interview mit einem Rechtsanwalt

Rechtsanwalt Dejan Krljar ist seit 2004 aktiv im Bereich Datenschutz tätig und arbeitet für eine Vielzahl von Unternehmen als externer Datenschutzbeauftragter. In den vergangenen Jahren hat sich der technikaffine Jurist vor allem auf die Beratung von IT-Unternehmen spezialisiert. Im Interview relativiert er die Hysterie einiger Unternehmen in Bezug auf die DSGVO, gibt Tipps zur Umsetzung und stellt klar, dass nicht nur die Unternehmen, sondern auch die Aufsichtsbehörden noch einiges zu tun haben.

Weitere Infos anfordern

Vor gut drei Monaten ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Was hast du seither beobachtet?

Ich habe festgestellt, dass eine gewisse Hysterie in den Unternehmen um sich greift. Das liegt im Wesentlichen daran, dass man sich plötzlich überrascht und überrannt sah, obwohl die DSGVO als solche bereits 2016 verabschiedet worden ist.

Wieso ist die Hysterie denn so groß? Was hat sich im Vergleich zum Deutschen Datenschutzgesetz mit der DSGVO verändert?

Datenschutz ist in der Bundesrepublik bereits seit 1978 ein Thema und tatsächlich gab es schon seit dem Bundesdatenschutzgesetz von 2001 eine Verpflichtung, wenn z.B. mehr als 9 Personen personenbezogene Daten verarbeitet haben, einen Datenschutzbeauftragten zu bestellen. Viele Unternehmen haben sich vor dem Inkrafttreten der DSGVO aber nicht darum gekümmert. Das lag vielleicht auch daran, dass die eher unten angesiedelten Bußgelder den einen oder anderen Unternehmer erheitert haben. Seit Mai 2018 steht nun fest, dass Unternehmen mit bis zu 20 Millionen Euro bzw. 4 Prozent ihres weltweiten Unternehmensumsatzes haften können.

Und dadurch wurden die Unternehmen wachgerüttelt und haben erkannt: Wir müssen etwas tun?

Genauso ist es.

Was hat sich denn abgesehen von den hohen Strafen noch geändert?

Es sind zahlreiche neue Pflichten dazu gekommen. Es gab schon immer ein Verarbeitungsverzeichnis. Also eine Aufzeichnung der im Unternehmen laufenden Verfahren. Hinzugekommen sind jedoch ein hohes Maß an Informationspflichten und eine Rechenschaftspflicht.

Das heißt?

Dass der Unternehmer jederzeit in der Lage sein muss, nachzuweisen wie er das Thema Datenschutz umsetzt.

Würdest du sagen, die DSGVO ist ein wichtiges neues Gesetz?

Ich würde nicht sagen, dass die europäische Datenschutzgrundverordnung ein neues Gesetz im engeren Sinne ist. Sie ist nur eine Fortentwicklung der bestehenden Datenschutzgesetze. In der Bundesrepublik hatte Datenschutz schon immer einen hohen Stellenwert. Spätestens mit Aufkommen der ersten großen Datenschutzskandale wie beispielsweise Verlust von Kundendaten, Missbrauch von Kundendaten (Facebook etc.) ist das Thema Datenschutz immer mehr in den Fokus gerückt.

Für wen ist die DSGVO denn eigentlich gemacht? Wen soll sie schützen?

Die DSGVO schützt uns alle, nämlich den Menschen und zwar insbesondere in Bezug auf den Schutz personenbezogener Daten. Es ist im Prinzip ein Grundrecht, was seinerzeit abgeleitet worden ist aus dem allgemeinen Persönlichkeitsrecht. Dieses Freiheitsrecht findet sich auch in der Charta der Grundrechte der Europäischen Union wieder. Insofern ist es ein Menschenrecht.

Und wer muss die DSGVO umsetzen?

Unternehmen, Vereine und auch der Staat, der letztendlich natürlich auch den Datenschutz zu beachten hat.

Womit tun sich die Unternehmen besonders schwer bei der Umsetzung? Was sind die größten Stolperfallen?

Da muss differenziert werden. Es gibt Unternehmen, die schon vor Inkrafttreten der DSGVO viel getan haben: Es bestand z.B. bereits eine Verarbeitungsübersicht und Datenschutzprozesse sind eingeführt worden. Dort war es nicht allzu aufwändig, diese an die Datenschutzgrundverordnung anzupassen. Wie gesagt: Der Standard der DSGVO ist dem bisher geltenden Bundesdatenschutzgesetz sehr ähnlich. Problematischer ist es da, wo bisher noch nichts passiert ist. Es ist schlichtweg nicht möglich, die Umsetzung der DSGVO in einem mittelständischen Unternehmen in kurzer Zeit vorzunehmen.

Warum?

Weil in den meisten Unternehmen gewachsene Strukturen herrschen und erst einmal Transparenz in den Prozessen geschaffen werden muss. Ich würde daher sagen, dass fehlende Transparenz der größte Stolperstein bei der Erstellung der internen Verarbeitungsübersicht ist.

Hast du einen ganz praktischen Tipp für Unternehmen, die noch am Anfang der Umsetzung stehen?

Am besten fängt man damit an, Struktur und Transparenz zu schaffen, indem man die Verfahren beleuchtet und dokumentiert. Das ist allerdings auch die Fleißarbeit, die in vielen Unternehmen schon deshalb nicht funktioniert, weil der damit betraute Datenschutzbeauftragte gar nicht in der Lage ist, innerhalb der normalen Arbeitszeit die Aufgabe zu bewältigen.

Lass uns näher auf den Datenschutzbeauftragten eingehen: Was genau sind seine Aufgaben?

In erster Linie berät er die Unternehmen und auditiert. Darüber hinaus ist er verantwortlich, die sog. Datenschutzfolgenabschätzung durchzuführen und muss entsprechend die Prozesse in regelmäßigen Abständen überwachen und hierzu Feststellungen machen.

Was ist denn eine Datenschutzfolgeabschätzung?

Das ist nicht viel Anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle. Sie ist immer dann durchzuführen, wenn besonders sensible Daten, wie z.B. Gesundheitsdaten etc. betroffen sind und soll im Ergebnis durch eine entsprechende Abwägung bzw. Feststellung dazu führen, ob ein Verarbeitungsvorgang datenschutzrechtlich zulässig ist. Es ist eine Art Abwägung zwischen den Interessen des Verantwortlichen und der natürlichen Person.

Nun gibt es ja sowohl interne als auch externe Datenschutzbeauftragte. Wo siehst du Vor- und Nachteile bei der Wahl?

In der Vergangenheit habe ich den Standpunkt vertreten, dass ein interner Datenschutzbeauftragter sicherlich als interner Mitarbeiter weiß, welche Prozesse laufen und auch besser Auskunft im Unternehmen einholen kann. Inzwischen hat sich aber vieles verändert. Insbesondere durch den hohen Anspruch der DSGVO müssen die Mitarbeiter, die diesen Job übernehmen wollen, entsprechend ausgebildet werden. Ich habe aber festgestellt, dass selbst der gut ausgebildete Datenschutzbeauftragte im Unternehmen die Aufgabe nicht verlässlich erfüllen kann, da letztendlich meist der praktische Ansatz zur Umsetzung fehlt. Zudem werden gar nicht die Kapazitäten im Unternehmen geschaffen, sodass der Datenschutzbeauftragte seinen Aufgaben auch in ausreichender und ordentlicher Form nachgehen kann.

Hilfe von Extern ist also eine gute Wahl?

Sie ist dann eine gute Wahl, wenn der Externe nicht nur seinen Kopf hinhält und sich Datenschutzbeauftragter nennt, sondern tatsächlich daran mitwirkt, ein Datenschutzsystem vollständig aufzubauen, umzusetzen und seinen Aufgaben als Auditor und Berater des Unternehmens gerecht wird.

Gibt es denn auch Werkzeuge, die Unternehmen zur Unterstützung im Bereich Datenschutz einsetzen können, praktische kleine Helferlein?

Der wichtigste Helfer ist eine im Datenschutz geschulte Person im Unternehmen, die weiß worum es geht. Das ist auch ein ganz wesentlicher Inhalt meines Workshops: Das gemeinsame Wording zwischen Datenschutz und Unternehmen herzustellen. Zum anderen gibt es natürlich auch diverse Softwarelösungen. Diese sollen z.B. ermöglichen, dass ein Verfahrensverzeichnis einfacher und schneller aufgenommen werden kann.

Durch wen finden solche Überprüfungen statt?
Der Gesetzgeber hat sich überlegt, den Datenschutzbeauftragten mehr oder weniger als internen Auditor einzusetzen. Er ist also dafür verantwortlich, dass regelmäßig Prüfungen stattfinden. Natürlich kann auch eine Überprüfung von außen erfolgen. Auch dann ist der Datenschutzbeauftragte Ansprechpartner, wenn beispielsweise die Aufsichtsbehörde die Vorlage der datenschutzrelevanten Unterlagen verlangt.

Heute müssen Personen ja auch jederzeit informiert werden, woher Unternehmen ihre personenbezogenen Daten haben und was sie damit tun. War das früher auch schon so?

Das war im Prinzip ähnlich, aber mit dem Unterschied, dass heute eine Verpflichtung besteht, vor Verarbeitung personenbezogener Daten, den Betroffenen (den Menschen) detailliert zu informieren. Da geht es um die neuen Informationspflichten. Der eine oder andere Nutzer wird das durch eine Vielzahl von Emails im Newsletter-Versand bemerkt haben, in denen z.B. auf die neuen Datenschutzerklärungen hingewiesen wird. Es muss detailliert beschrieben werden, was mit den personenbezogenen Daten passiert und welche Art der Verarbeitung vorliegt.

Wie kommt es zu den Strafen, wenn es im Unternehmen mit dem Datenschutz nicht so rund läuft?

Ein Betroffener, also eine natürliche Person, wird sich bei der Aufsichtsbehörde melden und sagen: Da läuft etwas schief. In diesem Fall erfolgt eine Prüfung und möglicherweise auch die Festsetzung eines entsprechenden Bußgeldes. Allerdings kann es auch passieren, dass die Aufsichtsbehörde schon von sich aus feststellt, dass irgendwas nicht in Ordnung ist. Nämlich dann, wenn beispielsweise kein Datenschutzbeauftragter gemeldet worden ist. Auch das zieht schon ein Bußgeld nach sich.

Und was passiert bei einer Abmahnung?
Eine Abmahnung ist zivilrechtlicher Art und ist im Prinzip darauf gerichtet, dass ein bestimmtes Handeln in Zukunft unterlassen wird. Im Regelfall zieht sie Schadensersatzansprüche nach sich. Gleich nach Inkrafttreten der DSGVO hat es seitens konkurrierender Unternehmen auch schon Abmahnungen gegeben, wenn eines der Unternehmen z.B. keine neue Datenschutzerklärung zur Verfügung gestellt hat.

Sind die Aufsichtsbehörden denn entsprechend vorbereitet oder gibt es noch viel Nachbesserungspotenzial?

Ich denke da wird noch einiges nachgebessert und perfektioniert werden. Festzustellen ist, dass die Aufsichtsbehörden zum Teil immer noch völlig unterbesetzt sind. Sie suchen händeringend nach entsprechenden Experten. Es sind sogar bei der technischen Umsetzung Probleme aufgetreten, sodass die Meldung des Datenschutzbeauftragten erst nicht richtig funktioniert hat.

Können wir in den nächsten Jahren noch weitere neue Gesetze erwarten?

Das nächste was vor der Tür steht, ist die sog. e-privacy Verordnung. Diese wird unter anderem das Gesetz gegen den unlauteren Wettbewerb in Deutschland ablösen. Interessant wird es auch für diejenigen, die mit Endkunden arbeiten. Welche Regeln da auf uns zukommen ist schon bekannt, es muss aber abgewartet werden, was letztendlich verabschiedet wird.

Wurden eigentlich schon hohe Strafen verhängt?

Ich glaube, dass es erst ab nächstem Jahr richtig losgehen wird, wenn sich das Ganze seitens der Aufsichtsbehörden ein wenig eingespielt hat. Aber ich schätze, wenn der letzte Facebook-Skandal ein paar Wochen später gewesen wäre, hätte Facebook vermutlich das eine oder andere Tränchen vergossen, wenn 4 Prozent des weltweiten Unternehmensumsatzes hätte gezahlt werden müssen…

  • On 5. September 2018
Tags: Datenschutz, DSGVO, IT-Sicherheit, Unternehmen
Über goldsteps

goldsteps ist dein Partner für Aus- und Weiterbildung im IT-Bereich. Seit mehr als 20 Jahren sorgen wir für IT-Personal in Bestform und unterstützen IT-begeisterte Menschen dabei, ihre ganz persönliche IT-Karriereleiter zu erklimmen.

Unser Angebot gliedert sich in: IT-Berufsausbildungen, Techniktrainings, Managementtrainings.

Newsletter abonnieren

Kontakt

goldsteps consulting GmbH & Co. KG
August-Schroeder-Straße 4
33602 Bielefeld

Tel.: +49 521 922797-47
info@goldsteps.de

array(13) { [0]=> string(10) "_edit_last" [1]=> string(10) "_edit_lock" [2]=> string(7) "gallery" [3]=> string(14) "slide_template" [4]=> string(17) "_wpb_vc_js_status" [5]=> string(26) "_yoast_wpseo_content_score" [6]=> string(29) "_yoast_wpseo_primary_category" [7]=> string(27) "use_featured_image_as_photo" [8]=> string(12) "_wp_old_date" [9]=> string(16) "overwrite_layout" [10]=> string(26) "_wpb_shortcodes_custom_css" [11]=> string(13) "_thumbnail_id" [12]=> string(12) "_wp_old_slug" }