Suchen

Zwei Jahre DSGVO Die Datenschutz-Grundverordnung in der Praxis

| Redakteur: Peter Schmitz

Zwei Jahre DSGVO – wir gehen in den Rückblick und eine Bestandsaufnahme. Wir fragen den Datenschutzexperten Ralf Schulze, was sich vom Start der DSGVO vor zwei Jahren bis heute getan hat, wo dringend nachjustiert werden sollte und was die DSGVO speziell für den Mittelstand bedeutet.

Firmen zum Thema

Zwei Jahre nach Ende der Übergangsfrist der DSGVO steht bei Unternehmen der Datenschutz oft nicht mehr an oberster Stelle. Die Schonfrist bei Bußgeldern ist inzwischen allerdings vorbei.
Zwei Jahre nach Ende der Übergangsfrist der DSGVO steht bei Unternehmen der Datenschutz oft nicht mehr an oberster Stelle. Die Schonfrist bei Bußgeldern ist inzwischen allerdings vorbei.
(Bild: gemeinfrei / Pixabay )

Schauen wir kurz zurück: Ende 2019 referierte für die Berliner IT-Expertenrunde vom Bundesverband der Mittelständischen Wirtschaft Ralf Schulze, Geschäftsführer der Kedua, zum Thema DSGVO. Die geladenen Unternehmer aus den Branchen E-Health, Dienstleistung, Handel/E-Commerce, IT, IT-Security oder Kommunikation waren sich einig: sinnvoll in jedem Fall sind Checklisten und Szenarien für den Umgang mit Kundendaten. Aber wo soll man systematisch anfangen und welche Konsequenzen gab es bislang bei Verstößen?

Die Zahlen der gemeldeten Datenpannen sprechen für sich. Allein in 2019 waren rund 1.000 Meldungen über Datenpannen beim baden-württembergischen Datenschutzbeauftragten eingegangen, auch in Berlin/Brandenburg stiegen die Meldefälle. Ralf Schulze erläuterte, wie in verschiedenen Bundesländern bei Verstößen gegen die DSGVO reagiert wird und wie proaktiv reagiert werden sollte. Einige Neuerungen bei der gesetzlich vorgeschriebenen Ernennung eines Datenschutzbeauftragten wie die Änderung der Mitarbeitergrenze von zehn auf zwanzig wurden zu Beginn der Expertenrunde thematisiert, ebenso die bekanntgewordenen Datenpannen, die zum Teil hohe Bußgelder nach sich gezogen haben. Generell zeigt sich, dass sowohl Geschäftsführer als auch IT-Leiter die Prinzipien der DSGVO aktiv verfolgen und sich regelmäßig dazu informieren. Was wohl als nächstes folgt? Die ePrivacy Verordnung steht in den Startlöchern. Die Corona Situation zeigt zudem: das Bewusstsein für den Umgang mit Daten ist stark gestiegen, der Wunsch nach Optimierung von bestehenden Regelungen allerdings auch.

Security-Insider: Herr Schulze: Was hat sich vom Start der DSGVO vor zwei Jahren bis heute getan?

Ralf Schulze: Zum Zeitpunkt des Inkrafttretens der DSGVO vor zwei Jahren haben sich, nicht zuletzt durch die zahlreichen Berichterstattungen, zahlreiche Unternehmen und Einrichtungen mit dem Thema auseinandergesetzt. Oftmals stand das Thema Datenschutz damals ziemlich weit oben auf der Prioritätenliste. Inzwischen haben aus unserer Beobachtung dann jedoch oftmals wieder andere Themen die oberen Plätze in der Prioritätenliste eingenommen. Im ersten Jahr der DSGVO gab es zudem eine Art „Schonfrist“ in Bezug auf das Verhängen von Bußgeldern. Das führte gerade in kleineren Unternehmen dann dazu, dass das Thema Datenschutz nicht mit dem nötigen Nachdruck im Unternehmen umgesetzt wurde. Wer allerdings seine Prozesse in den vergangenen zwei Jahren an die Vorgaben der DSGVO angepasst hatte, der dürfte auch bei der kurzfristigen Reaktion auf die veränderten Rahmenbedingungen durch die Corona-Thematik wenig Probleme gehabt haben.

Security-Insider: Hat die Corona Zeit die Auslegung von Rechtsvorgaben verändert?

R. Schulze: Die Corona-Zeit hat die Auslegung der Rechtsvorgaben in Deutschland nicht verändert. Lediglich Spezialgesetze werden verabschiedet. Hier ist teilweise fraglich, ob diese spezialgesetzlichen Regelungen mit dem Regelwerk der DSGVO und den Grundrechten der Bürger vereinbar sind. In der jüngeren Vergangenheit hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit einige Vorhaben der Bundesregierung entsprechend kommentiert bzw. entsprechende Kritik geübt.

Security-Insider: Wo sollte dringend nachjustiert werden?

R. Schulze: Aus meiner Sicht besteht dringender Handlungsbedarf im Bereich der E-Privacy-Verordnung. Diese sollte nach der ursprünglichen Planung zusammen mit der DSGVO in Kraft treten, ist bis heute jedoch nicht verabschiedet worden. Somit bestehen teilweise Rechtsunsicherheiten die sich mit einer gut gemachten E-Privacy-Verordnung vermeiden ließen.

Security-Insider: Wie ist die Tendenz im Verhältnis interne Ressourcen/externe Berater?

R. Schulze: Dort, wo Datenschutzbeauftragte tätig sind, hat sich die Situation auch unter der DSGVO kaum verändert. Interne Datenschutzbeauftragte haben nach wie vor teilweise zu geringe zeitliche Ressourcen für das Tätigkeitsfeld des Datenschutzes. Dieses Problemfeld stellt sich bei den externen Beratern nicht in dieser Form. Hier kann dann auch entsprechend flexibel dem Unternehmen bei der Lösung der Fragestellungen - sei es bei der Einführung neuer Geschäftsprozesse oder bei einer eventuell eingetretenen Meldepflicht aufgrund eines Datenschutzverstoßes - beratend zur Seite gestanden werden.

Security-Insider: Was war die erstaunlichste Begebenheit bei den verschiedenen Datenpannen?

R. Schulze: Aus meiner Sicht war es besonders interessant, dass auch große Firmen hiervon betroffen waren. Dies zeigt letztendlich dann aber auch, dass es keine hundertprozentige Sicherheit gibt. Darüber hinaus ist aus meiner Sicht ebenfalls sehr erstaunlich, dass Firmen nach wie vor, ob nun bewusst oder unbewusst, das Ziel der DSGVO ignorieren oder zu großzügig auslegen. Nach Art. 1 Abs. 2 schützt die Verordnung die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Security-Insider: Sind die Regelungen bezüglich der Strafen immer angemessen?

R. Schulze: Ich denke, unsere Aufsichtsbehörden machen hier einen guten Job. Natürlich wirken die verhängten Bußgelder zunächst einmal ziemlich hoch. In diesem Zusammenhang darf jedoch nicht vergessen werden, dass der Artikel 83 mit einem entsprechend hohen Bußgeldrahmen daher kommt. Zusätzlich hat die Datenschutzkonferenz im Oktober 2019 ein Konzept zur Bußgeldbemessung veröffentlicht. Somit ist es transparent dargelegt, welche Bußgeldhöhe bei bestimmten Verstößen zu erwarten ist.

Security-Insider: Wieviel Know-how konnte bei den klassischen KMUs aufgebaut werden?

R. Schulze: Gerade im vergangenen Jahr haben wir ein sehr starkes Interesse an den Regelungen der DSGVO erkennen können. Auch in zahlreichen Einzel-Veranstaltungen und bei den Verbänden wie beim BVMW haben wir das Thema den Unternehmern näher gebracht. Ich denke, dass sich zahlreiche Unternehmerslenker mittlerweile mit dem Thema intensiv auseinandergesetzt haben und mit Prioritäten die Datenschutzerklärungen aktualisiert haben.

Security-Insider: Ab wann lohnt es sich einen Leitfaden für die Mitarbeiter zu erstellen?

R. Schulze: Das lohnt sich immer. Die Schulung und Sensibilisierung der Mitarbeiter ist nicht ohne Grund in die Aufgaben des Datenschutzbeauftragten eingeflossen. Der Datenschutz im Unternehmen kann nur umgesetzt werden, wenn die Mitarbeiter informiert sind und diesen Prozess durch das eigene Verhalten aktiv unterstützen.

Security-Insider: Was ist die größte Herausforderung für den Mittelstand?

R. Schulze: Die größte Herausforderung sehe ich darin, den Datenschutz als Chance und nicht als Bürokratie zu sehen. Sicher gibt es Dokumentationspflichten, diese erscheinen auf den ersten Blick als lästig. Sie sind jedoch gleichzeitig eine Chance, die Prozesse im Unternehmen nochmals zu betrachten und kritisch zu hinterfragen. Eine wichtige Grundlage für Optimierung besteht darin die vorhandenen Daten kritisch zu hinterfragen. Benötige ich diese Daten überhaupt (noch). Gibt es hier keine spezialgesetzlichen Aufbewahrungsfristen und ich benötige die Daten für eigene Zwecke nicht mehr, dann weg damit. So habe ich mich von unnötigem Ballast befreit und erfülle gleichzeitig den Grundsatz der Speicherbegrenzung und der Datenminimierung. Die Herausforderung ist natürlich, sich das entsprechende Zeitfenster für diese Tätigkeit im Arbeitsalltag freizuschaufeln.

Security-Insider: Was mache ich eigentlich, wenn ich keinen internen Datenschutzbeauftragten aufstellen kann oder niemanden finde, der dafür geeignet ist. Muss ich dann als Unternehmer diese Funktion übernehmen?

R. Schulze: Ganz einfach, dann fragen Sie uns, wir stellen Ihnen gern den externen Datenschutzbeauftragten. Sofern eine Bestellpflicht für einen Datenschutzbeauftragten besteht, darf der Unternehmer diese Funktion nicht übernehmen. Bei kleinen Unternehmen, wo keine Bestellpflicht für einen Datenschutzbeauftragten besteht, muss dann in der Tat der Unternehmer für die Umsetzung der gesetzlichen Vorgaben im eigenen Unternehmen Sorge tragen. Eine freiwillige Bestellung eines Datenschutzbeauftragten ist natürlich immer möglich.

Security-Insider: Welchen Gesetzestext in Verbindung mit der DSGVO sollte ich auf Knopfdruck parat haben?

R. Schulze: Artikel 4 Begriffsdefinitionen, Artikel 5 Grundsätze, Artikel 6 Rechtmäßigkeit, Artikel 9 besondere Kategorien personenbezogener Daten usw.

Security-Insider: Zu guter Letzt: Wer hat den Hut auf: IT oder Geschäftsführung

R. Schulze: Ganz klar immer die Geschäftsführung oder der Inhaber, diese Personen sind Verantwortliche im Sinne des Gesetzes.

Die Kedua GmbH mit Sitz in Berlin wurde 1998 gegründet und ist ein Beratungsunternehmen für Datenschutz und Ausbildung für Datenschützer und Koordinatoren. Das Portfolio umfasst die Beauftragung und Stellung externer Datenschutzbeauftragter, die Aus- und Weiterbildung sowie die Beratung von Unternehmen und Organisationen. Kedua arbeitet zudem eng mit dem Kooperationspartner DEKRA zur Abnahme der unabhängigen Prüfung bei der Ausbildung der Datenschutzbeauftragten zusammen. Jährlich findet die Konferenz „Datenschutztag“ mit hochkarätigen Speakern und Best Practices statt. Der nächste Datenschutztag findet am 9. Juni 2020 in Berlin statt.

(ID:46617494)