Daten sind Macht: EU Datenschutz – Schreckgespenst oder Chance für mehr Transparenz?

In der Öffentlichkeit wird immer wieder die europäische Harmonisierung des EU-Datenschutzes erwähnt, die augenscheinlich zunehmend an Wichtigkeit gewinnt. Momentan scheint kein Projekt der EU so viel Aufmerksamkeit zu bekommen, wie die Datenschutz-Grundverordnung (DSGVO). Alle Unternehmen müssen sich spätestens jetzt mit dem Datenschutz und den daraus resultierenden Risiken auseinandersetzen. Und betroffen sind viele: Prozessverantwortliche, Auftragsverarbeiter oder die Aufsichtsbehörde selbst.

Zum Thema sprach GUTcert Prokurist Andreas Lemke mit Rechtsanwalt Karsten U. Bartels von der HK2 Rechtsanwälte, Berlin.

  • Lemke ist studierter Physiker und seit 2000 bei der GUTcert. Er ist Prokurist, Leiter der Zertifizierungsstelle für Managementsysteme und verantwortlich für die Informations­technik. Er ist an der Erstellung eines Zertifizierungsprogramms für Datenschutz in Zusammenarbeit mit der deutschen Akkreditierungsstelle (DAkkS) beteiligt. Für die GUTcert auditiert er nach AZAVQualitäts-, Umwelt– und Informationssicherheits-Managementsysteme, auch i.V.m. IT-Sicherheitskatalog und Datenschutz.
  • Rechtsanwalt Bartels LL.M. ist spezialisiert auf das IT-, Datenschutz- und IT-Sicherheitsrecht. Er ist Partner bei HK2 Rechtsanwälte, Berlin und vermittelt Unternehmen, wie sie den konkreten Einsatz von Maßnahmen nach dem Stand der Technik abwägen und ein begrenztes Unterschreiten des Standes der Technik gesetzeskonform realisieren können. Bartels ist Vorstandsmitglied des Bundesverbandes IT-Sicherheit e. V. (TeleTrusT), stellvertretender Vorsitzender der Arbeitsgemeinschaft IT-Recht des Deutschen Anwaltsvereins e.V., Geschäftsführer der Datenschutzberatungsgesellschaft Comtection GmbH und Referent und Autor zahlreicher Beiträge zum Datenschutz- und IT-Sicherheitsrecht.

Lemke: Ein guter Zeitpunkt, um das Thema Datenschutz intensiver zu betrachten und auch Seiten zu beleuchten, die für viele Betroffene noch im Verborgenen sind.

Der Datenschutz wurde im Mai 2016 mit einer Übergangsfrist bis zum 25. Mai 2018 in der EU-Datenschutz-Grundverordnung (DSGVO) europäisch harmonisiert. Neben Neuerungen zur Umsetzung des Datenschutzes wird auch die Unternehmenshaftung ausgeweitet. Je nach Art des Verstoßes drohen zukünftig Bußgelder – bis zu 4% des Jahresumsatzes.

Wer ist von diesen Regelungen betroffen? Und wieso wird jetzt erst mit der DSGVO das Thema so präsent – es gab doch schon lange nationale Gesetze, z.B. in Deutschland das BDSG?

Bartels: Die DSGVO gilt für Unternehmen, öffentliche Stellen und Behörden in der EU, die personenbezogene Daten verarbeiten, unabhängig davon, wo die Daten verarbeitet werden. Ausnahmeregelungen für Klein- oder Kleinstunternehmen gibt es nicht. Für die Anwendbarkeit der DSGVO kommt es nicht darauf an, ob die Verarbeitung personenbezogener Daten zum Kern der der Tätigkeit des Verantwortlichen gehört oder nicht.

Der Fokus auf die DSGVO ist in den letzten Monaten in der Tat massiv gestiegen. Das begründet sich vor allem mit den signifikant gestiegenen Bußgeldern, die bei Verstößen drohen. Das alte BDSG, das bis zum 24.05.2018 galt, kannte zwar auch Bußgelder. Deren niedriger Rahmen hat viele Unternehmen bislang allerdings eher einschätzen lassen, die Non-Compliance sei günstiger als die Implementierung gesetzlicher Maßnahmen zu mehr Datenschutz. Diese Einschätzung war auch in der Regel richtig. Mit der DSGVO werden die Bußgelder nun bilanzrelevant. Übrigens gehören IT-Sicherheit und Datenschutz zum Risikomanagement, für das Geschäftsleiter auch persönlich haften können. Diese Ansprüche sind gesellschaftsrechtlicher Natur und nicht neu, werden aber nun vermehrt ernst genommen.

Lemke: Was für Unternehmen sind denn im besonderen Maße betroffen? Und gibt es Branchen/Dienstleister, die momentan noch im Unklaren sind? Gibt es gewisse Erfahrungswerte aus Ihrer datenschutzrechtlichen Arbeitspraxis?

Bartels: Aktuelle Erhebungen machen deutlich, dass tatsächlich noch die breite Mehrheit der Unternehmen im Unklaren ist. Auch große Konzerne und Unternehmen, die der sogenannten dualen Aufsicht unterliegen, wie zum Beispiel Betreiber Kritischer Infrastrukturen, haben – trotz des zum Teil sehr guten IT-Sicherheitsniveaus – noch keinen DSGVO-konformen Datenschutz. Unsere Arbeit besteht in solchen Fällen oft darin, eine koordinierende Hand zu sein, die alle zu treffenden Maßnahmen wertet, im Blick behält und die betreffenden Parteien entsprechend anweist. Die daraus entstehenden Aufgaben sind für die Verantwortlichen im Unternehmen dann klarer und leichter abzuarbeiten.

Unserer Erfahrung nach sehen sich auch insbesondere die kleinen und mittelständischen Unternehmen (KMU) überfordert bei der Umsetzung der DSGVO. Diesen Eindruck kann ich verstehen, jedoch kann ich gleichermaßen beruhigen: Wir haben bei unseren Kunden und Mandanten die Erfahrung gemacht, dass praktische und wirtschaftlich effiziente Lösungen in jedem Fall zu finden sind. Eine gute (Basis-)Möglichkeit sind kosteneffiziente DSGVO-Pakete, die alle wichtigen Dokumente und eine entsprechende Anleitung enthalten. In den letzten Monaten haben wir speziell für die Ingenieurs- und Personaldienstleisterbranche entsprechende Pakete entwickelt. Die positive Resonanz war enorm. Aufgrund der großen Nachfrage befinden wir uns deshalb derzeit in der Erstellung eines analogen, branchenübergreifenden Pakets für KMU.

Auch gilt es, folgendes im Blick zu behalten: Nur weil die DSGVO auch auf kleine Unternehmen anwendbar ist, bedeutet dies nicht, dass Unternehmen ohne Ansehung ihrer Größe, Tätigkeit und wirtschaftlichen Stärke dieselben Maßnahmen zu ergreifen hätten. Unternehmen dürfen und sollen angemessene technische, organisatorische und rechtliche Maßnahmen ergreifen.

Besondere Umstellungsanforderungen treffen Unternehmen, die datengetriebene Geschäftsmodelle betreiben, sensible Daten (z.B. Gesundheitsdaten) verarbeiten und die Datenverarbeitung auslagern. Die bisherige Auftragsdatenverarbeitung (ADV) beispielsweise wurde als Auftragsverarbeitung (AV) in der DSGVO signifikant anders geregelt. Hier sind sämtliche ADV-Vereinbarungen an das neue Recht anzupassen, unabhängig davon, ob man diese als Auftraggeber oder Auftragnehmer geschlossen hat.

Des Weiteren möchte ich den Blick dafür schärfen, dass die DSGVO-Umsetzung kein „Projekt“ ist, mit dem man nach dessen Ende nicht mehr befasst ist. Die DSGVO wird uns viele Jahre erhalten bleiben und dauerhaft beschäftigen. Das lässt sich aber ressourcenverträglich managen.

Die DSGVO bietet derzeit an vielen Stellen auch noch zahlreiche Auslegungsmöglichkeiten. Das wird von Unternehmen häufig als Unsicherheitsfaktor bewertet. Allerdings unterschätzen die Verantwortlichen noch deutlich die dadurch entstehenden, vielseitigen Möglichkeiten.

Welche konkreten Maßnahmen nötig sind und wie der Stand in Sachen Zertifizierung ist, erfahren Sie im vollständigen Interview auf der GUTcert-Website.

Bei inhaltlichen Rückfragen zum Thema wenden Sie sich gerne an die Gesprächspartner:

Andreas Lemke (GUTcert GmbH)
Email: andreas.lemke@gut-cert.de
Tel: +49 30 2332021 – 41

Karsten U. Bartels LL.M. (HK2 Rechtsanwälte)
Email: Bartels@hk2.eu
Tel: +49 030 27 89 00 – 0

Veranstaltungen zum Thema Datenschutz und ISMS:

Seminare der GUTcert Akademie (Übersicht):

Über die GUTcert GmbH

Die Zertifizierung von Integrierten Managementsystemen mit den Schwerpunkten Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit sowie Energiemanagement ist das Hauptgeschäft der GUTcert. Weitere Kernkompetenzen der GUTcert sind die Verifizierung von Treibhausgasemissionen nach anerkannten Standards sowie die Zertifizierung der Nachhaltigkeitsanforderungen für Biomasse.

Als Mitglied der AFNOR Gruppe bietet die GUTcert ihre Zertifizierungsdienstleistungen im internationalen Netzwerk an, welches weltweit 28 Niederlassungen umfasst und mit 1.500 Auditoren und 20.000 Experten Kunden in über 90 Ländern betreut.

Die GUTcert Akademie bündelt das Fachwissen von Auditoren und anderen Experten, um Teilnehmern direkt anwendbare Kompetenzen mit nachhaltigem Mehrwert zu vermitteln.

Firmenkontakt und Herausgeber der Meldung:

GUTcert GmbH
Eichenstraße 3b
12435 Berlin
Telefon: +49 (30) 2332021-0
Telefax: +49 (30) 2332021-39
http://www.gut-cert.de

Ansprechpartner:
Nico Behrendt
Energiemanagement
Telefon: +49 (30) 2332021-81
E-Mail: nico.behrendt@gut-cert.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.