IT-Security Management & Technology Conference 2018

Bei der DSGVO sollte man nicht abwarten!

| Redakteur: Peter Schmitz

Es ist besser, nach dem 25.Mai 2018 noch an einer veritablen Datenschutz­konformität nach DSGVO zu arbeiten, als sich auf vermeintliche externe Persilscheine zu verlassen und nichts weiter zu unternehmen.
Es ist besser, nach dem 25.Mai 2018 noch an einer veritablen Datenschutz­konformität nach DSGVO zu arbeiten, als sich auf vermeintliche externe Persilscheine zu verlassen und nichts weiter zu unternehmen. (Bild: Konrad Fersterer)

Die Datenschutz-Grundverordnung (DSGVO) gilt jetzt unmittelbar für alle Unternehmen die personenbezogene Daten von EU-Bürgern verarbeiten. Wir sprechen darüber mit Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht bei der Noerr LLP, Honorarprofessor an der Universität Passau und Keynote-Speaker bei der IT-Security Management & Technology Conference 2018.

Security-Insider: Die zweijährige Übergangsfrist der DSGVO ist abgelaufen. Gerade bei vielen Selbständigen, aber auch bei etablierten Unternehmen, hat die Umsetzung der Vorgaben oft gerade erst begonnen und ist noch längst nicht abgeschlossen. Was ist das Wichtigste was ein Unternehmer im Hinblick auf die DSGVO jetzt noch tun sollte?

Prof. Dr. Peter Bräutigam: Auch wenn vielleicht noch nicht alle Schritte zur Umsetzung der Anforderungen der DSGVO durchlaufen sind, sollte das Projekt auf jeden Fall mit voller Kraft weiterverfolgt werden. Nach Auskunft der Datenschutzbehörden wird es zwar keine Karenzzeiten geben, allerdings ist es für die Aufsichtsbehörden entscheidend, dass man um die Umsetzung der Anforderungen nachhaltig besorgt ist. Die wichtigsten Stichworte für die Herstellung der Datenschutzkonformität sind der Datenschutzbeauftragte nach Art. 37 ff. DSGVO in Verbindung mit § 38 BDSG neue Fassung, die Erstellung des Verfahrensverzeichnisses zur Dokumentation der unterschiedlichen Verarbeitungsprozesse von personenbezogenen Daten im Unternehmen gem. Art. 30 DSGVO (dabei ist auch die neue Datenschutzfolgenabschätzung nach Art. 35 DSGVO zu beachten), die Information über die Betroffenenrechte nach Art. 13 f. DSGVO in Verbindung mit §§ 32 f. BDSG neue Fassung, sowie schließlich das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO, was eine entsprechende „Vorbereitung“ im Unternehmen, insbesondere auch was die Prozesse selbst anbelangt, erforderlich macht.

Der Stichtag für die DSGVO ist unwiderruflich da!

Anwendung Datenschutz-Grundverordnung

Der Stichtag für die DSGVO ist unwiderruflich da!

25.05.18 - Mit dem 25. Mai 2018 endet die Übergangsfrist, die Datenschutz-Grundverordnung (DSGVO / GDPR) gilt unmittelbar und ersetzt in Deutschland zusammen mit dem neuen Bundesdatenschutzgesetz das bisherige BDSG. So klar diese rechtliche Tatsache ist, so offen sind noch viele Punkte bei der Umsetzung. Das Projekt DSGVO ist also nicht abgeschlossen, sondern muss fortgeführt werden. lesen

Security-Insider: In den meisten Unternehmen gibt es viele, über Jahre hinweg eingespielte Arbeitsabläufe, wie mit Mitarbeiter- oder Kundendaten umgegangen wird. Oft entwickelt man da eine gewisse Betriebsblindheit, durch die man mögliche Datenschutzrisiken gar nicht mehr erkennt. Gibt es Tipps die Sie geben können, wie man den Weg zu einem neuen, datenschutzkonformen Workflow schafft?

Prof. Bräutigam: In der Tat müssen all diese Prozesse auf den Prüfstand und vor allem auf ihre datenschutzrechtliche Zulässigkeit abgeklopft werden. Hierzu empfiehlt sich – vielfach auch aus Kapazitätsgründen – sich externer Unterstützung zu bedienen. Die Berater von außen sehen unvoreingenommen auf die Dinge, haben Erfahrung aus vergleichbaren Beratungsaufträgen und auch die Unabhängigkeit, Missstände konkret anzusprechen. Die datenschutzrechtliche Aufarbeitung der Verarbeitungsprozesse kann auch dazu genutzt werden, die Prozesse selbst in ihrem Workflow zu optimieren. Damit lässt sich also gut das Notwendige mit dem Nützlichen verbinden.

Security-Insider: Deutsche Unternehmen sehen in der DSGVO oft nur unnötigen bürokratischen Aufwand. Ist das so oder profitieren neben den Bürgern, deren Daten besser geschützt werden, auch die Unternehmen von der neuen Regelung?

Prof. Bräutigam: Natürlich ist die Herstellung der Konformität mit der DSGVO mit Aufwand verbunden. Allerdings profitieren die deutschen Unternehmen hiervon auch erheblich, da nunmehr EU-weit ein einheitliches Datenschutzrecht gilt und damit alle in diesem wichtigen Feld gleiche Wettbewerbsbedingungen vorfinden. Mehr noch: Aufgrund des Marktortprinzips in Art. 3 Abs. 2 DSGVO haben auch nicht europäische Unternehmen die Regelungen der DSGVO zu beachten, wenn sie in der EU Geschäfte machen und dazu europäische Kunden ansprechen wollen.

Ergänzendes zum Thema
 
Hier geht es zur Anmeldung für die IT-Security Management & Technology Conference 2018

Security-Insider: Gerade durch die Deadline zum 25. Mai 2018 sieht man in letzter Zeit immer häufiger Angebote kostenpflichtiger DSGVO-Prüfungen, Datenschutzgutachten die vor Abmahnungen schützen sollen, Datenschutzzertifikate und Siegel. Was ist Ihrer Ansicht nach davon zu halten und gibt es vielleicht sinnvollere Alternativen für Unternehmen die vielleicht noch gar nichts in Richtung DSGVO unternommen haben?

Prof. Bräutigam: Von schnellen kurzfristigen Lösungen und bloßer Symptombekämpfung ist abzuraten. Nach Auskunft der Datenschutzbehörden, geht es wirklich darum, dass die Unternehmen in der Tat ihre Datenverarbeitungsvorgänge auf die DSGVO überprüfen und anpassen. Dies erfordert einfach einen gewissen Aufwand und eine gewisse Zeit. Auf jeden Fall ist es besser, am 25.05.2018 an einer veritablen Datenschutzkonformität zu arbeiten, als sich auf vermeintliche externe Persilscheine zu verlassen und nichts weiter zu unternehmen.

Auf fester Basis einer einmal erarbeiteten Datenschutzkonformität machen dann Zertifizierungsverfahren sowie Datenschutzsiegel und –prüfzeichen (gem. Art. 42 DSGVO) Sinn. Dadurch erlangt man eine höhere Transparenz, dies kann und wird ein Wettbewerbsvorteil sein.

Datenschutz ist ein Prozess, kein Projekt

Neues eBook „DSGVO-Compliance“

Datenschutz ist ein Prozess, kein Projekt

30.04.18 - Die Umstellungsarbeiten im Datenschutz laufen bei vielen Unternehmen auf Hochtouren, den Termin 25. Mai 2018 fest im Blick. Wer die Anpassung auf die Datenschutz-Grundverordnung (DSGVO / GDPR) abgeschlossen hat, sollte seine Datenschutzmaßnahmen gleich fortsetzen. Das neue eBook zeigt, was ab dem 25. Mai 2018 ansteht. lesen

Security-Insider: Häufig hört man auch, dass Unternehmer bei der DSGVO erst einmal grundsätzlich abwarten wollen, bis es eine Beschwerde oder Prüfung durch eine Aufsichtsbehörde gebe und man dann immer noch genug Zeit habe um sich dann um das Thema zu kümmern. Ist das ein Ansatz der überhaupt funktionieren kann?

Prof. Bräutigam: Gerade von einem solchen Vorgehen ist strikt abzuraten. Da die DSGVO nicht nur Datenschutzkonformität sondern auch deren Dokumentation verlangt (z.B. bei der Erstellung des Verfahrensverzeichnisses nach Art. 30 DSGVO oder der Informationspflichten gegenüber Betroffenen nach Art. 13 f. DSGVO in Verbindung mit §§ 32 f. BDSG neue Fassung) liegt die Beweislast beim Unternehmen und nicht bei der Behörde. D.h. der Ansatz „wir warten erst einmal bis uns die Datenschutzbehörde einen Verstoß nachweist“ ist überhaupt keine gute Taktik. Im Gegenteil: Mit einem solchen Vorgehen würden sie sich nur den Unwillen der Aufsicht zuziehen, weil sie damit demonstrieren, dass sie den Grundansatz der Neuregelung nicht verstanden haben.

Missachtung der DSGVO ist kein Kavaliersdelikt

Datenschutz-Grundverordnung

Missachtung der DSGVO ist kein Kavaliersdelikt

03.05.17 - Für eine umfassende IT-Sicherheit müssen IT-Abteilungen heute auch Compliance-Risiken aus rechtlicher Sicht korrekt beurteilen können. Mit der Datenschutz-Grundverordnung (DSGVO) kommen neue Herausforderungen auf Unternehmen zu. Wir sprechen darüber mit Prof. Dr. Peter Bräutigam, Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei der Noerr LLP und Keynote-Speaker bei der IT-Security Management & Technology Conference. lesen

Prof. Dr. Peter Bräutigam ist Fachanwalt für IT-Recht und Honorarprofessor an der Universität Passau. Er leitet als Koordinierender Partner den Bereich Commercial und ist Mitglied der Practice Group IT, Outsourcing & Datenschutz. Neben seiner langjährigen praktischen Tätigkeit als Anwalt im IT-Recht publiziert und referiert er regelmäßig zu aktuellen Fragen des IT-Vertragsrechts. So ist er u.a. Herausgeber des Handbuchs IT-Outsourcing - das demnächst in 4. Auflage unter dem Titel „IT-Outsourcing und Cloud-Computing“ erschienen erscheinen wird - und Mitherausgeber der Neuen Juristischen Wochenschrift (NJW). Neben seinem Engagement in verschiedenen Vereinigungen (u.a. Stellvertretender Vorstandsvorsitzender bei der Deutschen Gesellschaft für Recht und Informatik [DGRI], Vice Chair des Cyber Crime Committees der International Technology Law Association [ITechLaw]) gehört Prof. Dr. Peter Bräutigam dem geschäftsführenden Ausschuss der Arbeitsgemeinschaft IT-Recht im deutschen Anwaltsverein [DAVIT] an und ist Beiratsvorsitzender der Stiftung Datenschutz. Prof. Bräutigam ist außerdem Keynote-Speaker bei der IT-Security Management & Technology Conference 2018.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45299432 / Compliance und Datenschutz )