TRIALOG: Am Wochenende feiert die Datenschutz-Grundverordnung ihr Einjähriges. Die Diskussion über die praktischen Auswirkungen der DS-GVO auf Unternehmen ist in den vergangenen zwölf Monaten abgeflaut, aber nicht verstummt. Und die Aufsichtsbehörden scheinen nach einer gewissen Schonfrist stärker bei Verstößen gegen die DS-GVO durchzugreifen. Müssen wir also mit neuem Ärger rechnen? Und vor allem: Brauchen auch kleinere Betriebe ein Datenschutz-Managementsystem, ein sogenanntes DSMS, um den Anforderungen der Datenschutz-Grundverordnung gerecht zu werden?
Frederick Richter: Was die Diskussion angeht: Die DS-GVO ist ein emotional aufgeladenes Thema und für viele Unternehmer mit einem gewissen Aufwand verbunden. Das erklärt die oft heftige Debatte. Tatsächlich ist aber niemand gezwungen, ein umfassendes Datenschutz-Managementsystem aufzubauen. Es gibt keine formale Vorgabe, wie die bis zu 60 Pflichten zu erfüllen sind, die sich aus der DS-GVO ergeben. Jeder Firmenchef sollte für seinen Betrieb prüfen, wer in welcher Form mit personenbezogenen Daten umgeht und welche konkreten Pflichten daraus folgen. Die können bei einem kleinen Unternehmen etwa in der Gesundheitsbranche mit vielen Kundendaten sehr umfassend sein. Und bei einem Großbetrieb, beispielsweise einem Rohstoffhersteller mit nur wenigen Geschäftskunden, dann sogar vergleichsweise geringer. Ob und in welchem Umfang ein formalisiertes Datenschutz-Managementsystem erforderlich ist, ergibt sich vor allem aus der Antwort auf diese Frage.
Individuelles Datenschutz-Managementsystem ist sinnvoll
TRIALOG: Auch für kleine Betrieb kann ein Datenschutz-Managementsystem sinnvoll sein?
Frederick Richter: Kommt darauf an, was Sie unter einem Datenschutz-Managementsystem verstehen. Das muss ja nicht automatisch eine als Komplettpaket gekaufte Lösung sein. Auch in kleineren Betrieben ist es stets sinnvoll, die zur Einhaltung der DS-GVO erforderlichen technischen und organisatorischen Maßnahmen strukturiert zusammenzuführen. So entsteht quasi von selbst eine Art individuelles Datenschutz-Managementsystem. Das muss gar nicht ausufernd sein, kann aber trotzdem die für das jeweilige Unternehmen wichtigen Punkte sauber abbilden. Insofern ist auch ein Datenschutz-Managementsystem der Marke Eigenbau sehr hilfreich. Es sorgt nicht nur dafür, dass alle relevanten Aspekte der DS-GVO dokumentiert und technisch oder organisatorisch berücksichtigt sind. Es erleichtert dem Firmenchef und seinen Mitarbeitern im Ernstfall auch die schnelle und richtige Reaktion.
DS-GVO gilt auch für Zulieferer oder Geschäftskunden
TRIALOG: Ganz alleine wird ein Schreiner, Orthopädietechniker oder Zahnarzt so ein selbst gestricktes Datenschutz-Managementsystem aber kaum hinbekommen. Gerade kleinere Unternehmen, die vor allem Privatkunden bedienen, stöhnen über den mit der DS-GVO verbundenen Aufwand.
Frederick Richter: Bei der Analyse sowie Suche nach einer passenden Lösung sollten Firmenchefs sich von Experten unterstützen lassen. Etwa einem im Datenschutz erfahrenen Anwalt oder externen Datenschutzbeauftragten. Anleitungen wie die vom Bayerischen Landesamt für Datenschutzaufsicht helfen beim Umsetzen konkreter Maßnahmen. Besonders wichtig ist das Verarbeitungsverzeichnis als Inventurliste der persönliche Daten betreffenden Prozesse und Lagerorte. Das ist gesetzlich erforderlich und wird bei einer Datenpanne als erstes von der Aufsichtsbehörde angesehen. Grundsätzlich sollte jeder Unternehmer wissen: Nichtstun ist keine Alternative. Viele kleine und mittelständische Betriebe mit Geschäftskunden meinen weiter, man habe kein datenbasiertes Geschäftsmodell. Und denken an Konzerne wie Google oder Facebook. Aber die DS-GVO gilt eben nicht nur für persönliche Daten von Privatkunden, sondern auch die von Mitarbeitern oder Zulieferern. Hier ist teils noch viel nachzuholen, oft bräuchte es sicher eine Art individuelles Datenschutz-Managementsystem.
Die DS-GVO gilt eben nicht nur für persönliche Daten von Privatkunden, sondern auch die von Mitarbeitern oder Zulieferern. Hier ist in kleinen und mittelständischen Unternehmen noch viel nachzuholen.
Frederick Richter, Vorstand der Stiftung Datenschutz
Datenschutz-Managementsystem kann Behörde besänftigen
TRIALOG: Was sind die größten Schwachstellen, die dann auch Bußgelder auslösen könnten?
Frederick Richter: In vielen Unternehmen sind die Prozesse nicht sauber analysiert und den neuen Anforderungen angepasst worden. Es fehlen Konzepte zur Datenlöschung, oder man hat Fristen nicht im Griff. Ein DS-GVO-relevanter Vorfall muss etwa binnen 72 Stunden gemeldet sein. Da hilft natürlich ein durchdachtes Datenschutz-Managementsystem.
TRIALOG: Werden die Datenschutzbehörden jetzt, ein Jahr nach Inkrafttreten der DS-GVO, die Zügel weiter anziehen?
Frederick Richter: Sie werden besonnen entscheiden, wie im Fall der Chat-Plattform knuddels.de. Aber sie werden verstärkt von sich aus in Betriebe gehen, um die Einhaltung der DS-GVO zu kontrollieren. Wer ein sauberes Verarbeitungsverzeichnis vorlegen und mit einem durchdachten Datenschutz-Managementsystem punkten kann, hat sicher bessere Karten als DS-GVO-„Ignorierer“. Spätestens bei einer Datenpanne dürfte sich das Bußgeld daran orientieren, ob Datenschutz aktiv und auf dem neuesten Stand der Technik betrieben wurde. Es gibt keine hundertprozentige Sicherheit. Aber es gibt jene, die sich bemühen sowie im Ernstfall mit den Behörden kooperieren – und jene, die dann wegen Untätigkeit tatsächlich mit schmerzhaften Sanktionszahlungen rechnen müssen.