Übergangsfrist läuft ab: Fit machen für „scharf geschaltete“ DSGVO

Thomas Brox Foto: A. Puck

Kronberg (pu) – Obwohl die neue europäische Datenschutzgrundverordnung (DSGVO) schon am 24. Mai 2016 in Kraft trat, hat es den Anschein, dass deren gewichtigen rechtliche Auswirkungen bisher weder bei Unternehmen noch in der Bevölkerung in Gänze bekannt sind. Einer der Gründe dürfte die nunmehr in 15 Tagen ablaufende zweijährige Umstellungsfrist sein, die in vermeintlicher Sicherheit wiegte.

Vor diesem Hintergrund und in Kooperation mit dem Kronberger IT-Dienstleister Allgeier One AG lud die städtische Wirtschaftsförderung kürzlich zu einem Informations- und Dialogabend rund um die neue DSGVO in die Stadthalle ein. Rund 60 interessierte Unternehmerinnen und Unternehmer folgten der Einladung und informierten sich bei Fachvorträgen der Referenten Thomas Brox (Vorstand Allgeier One), Dr. Wolfhard Steinmetz (Richter), Florian Franke (IT-Forensiker) und Marco Seliger (IT-Forensiker und Cyber Security Consultant).

Unmissverständlich kristallisierte sich dabei heraus, die Zeit drängt, eventuell vorhandene Wissenslücken zu schließen, denn ab dem 25. Mai werden die von der Europäischen Union beschlossenen neuen Regelungen zur Verarbeitung personenbezogener Daten durch Unternehmen, Behörden und Vereine (DSGVO) sowie das neue Bundesdatenschutzgesetz (BDSG) endgültig „scharf geschaltet“. Sofern nicht rechtzeitig entsprechende Vorsorge getroffen wird, müssen Unternehmen und Vereine mit empfindlich hohen Strafen rechnen.

Herausforderung für Mittelstand

Vor allem kleine und mittlere Unternehmen sowie Vereine trifft die DSGVO hart, die hohe organisatorische Anforderungen an die Abläufe in der Datenerfassung und -verarbeitung stellt. Ein Meilenstein und Umstellungsprozess, der erst einmal gestemmt werden muss, da Datenschutz nach Meinung von Experten größtenteils bisher allenfalls zweitrangig behandelt wurde.

Explizit geht es an erster Stelle um den künftig hohen Stellenwert des Rechts auf individuelle und informelle Selbstbestimmung im Umgang mit den eigenen Daten. Dem Rechnung tragend müssen Unternehmen künftig aktive Einwilligungen zur Datenverarbeitung einholen und einen konkreten Verwendungszweck angeben. Die weitreichende Verankerung von Auskunftsrechten über die Datenverwendung verpflichtet Unternehmen unter anderem, Löschkonzepte zu entwickeln für den Fall, dass die gemeinschaftliche Geschäftsbeziehung beendet wird. Alles Jammern über das Ende bisheriger Gepflogenheiten in der unternehmerischen Praxis und den künftig hohen Aufwand hilft dennoch nichts; die Missachtung der Verordnung ist alles andere als ein Kavaliersdelikt. Geschäftsleitungen müssen im schlimmsten Fall mit Bußgeldern bis 20 Millionen Euro oder 4 Prozent des gesamten weltweiten Jahresumsatzes rechnen.

Technisch und rechtlich absichern

Organisation ist dabei das eine, technische und rechtliche Absicherung das andere. „Die neue Verordnung trifft alle, die Daten speichern, IT-Sicherheit fängt ganz weit vorne an und hört ganz hinten auf“, hielt Thomas Brox (Vorstand Allgeier One) mahnend vor Augen.

Trotz der seit langem nicht abreißenden Schlagzeilen und Debatten um Datenschutz bei Facebook und Co machen sich seiner Erfahrung nach die wenigsten Unternehmen ernsthafte Sorgen um die zunehmende Bedrohung durch Datendiebstahl. Dabei passiert so etwas inzwischen schon direkt vor der Haustür, wie der im letzten Jahr publik gewordene Fall eines Hackerangriffs bei einem Kronberger Handwerksbetrieb in drastischer Weise belegte.

Brox zeigte anhand anschaulicher Beispiele auf, wie schnell das Thema Datenschutz etwa durch die nicht ausreichend gesicherte Verwendung von USB-Sticks ausgehebelt werden kann. „Ein USB-Stick kann ein komplettes System kippen und öffnet Tür und Tor, da hilft selbst eine Firewall nichts!“ Oder die Konsequenzen der Missachtung erster vermeintlich harmloser Anzeichen auf einen Hackerangriff wie sporadisch auftretende Störungen bei Telefon oder in der IT. Die katastrophale Auswirkungen von Computerviren schilderte er anhand eines Falls eines deutschen Süßwarenherstellers, „dessen Produktion zwei Wochen stillstand, weil das System komplett lahm gelegt war!“

Umso wichtiger sei es, Applikationen, Webseiten oder IT-Infrastruktur auf Sicherheitslücken überprüfen zu lassen, Mitarbeiter entsprechend zu sensibilisieren und zu schulen, Datenschutzbeauftragte sorgsam auszuwählen und insgesamt alles zu unternehmen, um nach Möglichkeit für den Ernstfall gewappnet zu sein, beziehungsweise, falls dieser dennoch eintritt, wenigstens durch die Sicherung gerichtsverwertbarer Daten bei der Offenlegung des Tathergangs unterstützen zu können. „Dem Staat ist es egal, wenn Sie Firmengeheimnisse verlieren, aber nicht, ob Sie reihenweise personenbezogene Daten verloren haben“, machte Thomas Brox unmissverständlich klar.

Handfeste Vorteile

Aus juristischer Sicht positiv ist aus Sicht des Richters Dr. Wolfhard Steinmetz, dass die Verordnung in allen EU-Mitgliedsstaaten gilt und daher für den Mittelstand sogar handfeste Vorteile bringe. In puncto Datenschutzbeauftragter sei im Ergebnis nun in Artikel 37 DSGVO geregelt worden, dass die Verpflichtung zur Benennung eines DSB nur besteht, wenn die Kerntätigkeit des Verantwortlichen (also des Unternehmens) in der Durchführung von Verarbeitungsvorgängen (von personenbezogenen Daten) besteht, welche [...] eine umfangreiche regelmäßige und systematische Überwachung der betroffenen Personen erforderlich machen oder die Kerntätigkeit des Verantwortlichen in der Verarbeitung besonderer Kategorien personenbezogener Daten besteht (rassische und ethnische Herkunft, politische Meinungen, religiöse Weltschanschauung und Ähnliches..).

„Diese Voraussetzungen liegen in aller Regel beim Handwerker ‚um die Ecke‘ natürlich nicht vor“, versuchte der Jurist einige der Sorgen zu nehmen. Allerdings gebe die DSGVO den Mitgliedstaaten das Recht, eine eigene Bestimmung zu fassen, was die Bundesrepublik Deutschland mit dem neuen Paragrafen 38 BDSG auch gemacht habe. Danach ist ein Datenschutzbeauftragter zu bestellen, wenn der Verantwortliche in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

„Diese Voraussetzung kann beim Mittelständler schon eher vorliegen, das ist im Einzelfall zu prüfen.“ Der Handwerksbetrieb in entsprechender Größe sei allerdings weiterhin nicht betroffen. Für die meisten Vereine kam erst in den letzten Wochen die Erkenntnis, dass auch sie nicht von der neuen europäischen Datenschutzgrundverordnung (DSGVO) ausgenommen sind.

Wesentliches schon vorher gültig

Nichtsdestotrotz versuchte Dr. Wolfhard Steinmetz auch, vorhandene Ängste zu nehmen: „Im Prinzip galt Wesentliches sinngemäß auch schon im bisherigen Bundesdatenschutzgesetz (BDSG), daher können alle kühlen Kopf bewahren, die bereits datenkonform aufgestellt sind.“



X