BangeWasert
BangeWasert

Datenschutz – Vom Kellerkind zum Unternehmensschreck?

Seit Geltung der DSGVO ist der Datenschutz ins Zentrum des Unternehmensrechts gerückt. Die Androhung von hohen Bußgeldern und die unübersichtliche Rechtslage machen einen einfachen Umgang mit den Vorgaben schwer. Datenschutz wird als Hemmschuh für digitale Innovationen betrachtet. Oder als administratives Monstrum, das zu viele Ressourcen bindet und keine wirtschaftlichen Vorteile hat. Doch Datenschutz kann ein Mittel sein, digitale Prozesse im Unternehmen auf den Prüfstand zu stellen und zu verbessern sowie eine Erhöhung der IT-Sicherheit bringen.

Von Jörg Bange

Ich habe selten mehr aufgeregte Anfragen bekommen als im Frühjahr 2018, kurz bevor die DSGVO in Kraft treten sollte. Obwohl seit Jahren bekannt, hatten sich viele Unternehmen nicht vorbereitet. Angesichts der neuen Bußgelder, die bis zu 2% des Jahresumsatzes bei Verstößen gegen die Datenschutzbestimmungen betragen können, gerieten viele Unternehmer buchstäblich in Panik.

Die Aufregung hat sich gelegt. Manche machen weiter wie bisher. Viele denken, durch eine seitenlange Datenschutzbelehrung auf der Website, meistens erstellt mit bekannten Datenschutzgeneratoren, hätte man genug getan.

Nur eine Datenschutzbelehrung reicht nicht

Doch die DSGVO geht weiter und tiefer als sich das viele vorstellen. Die Erhebung und Nutzung von personenbezogenen Daten und den korrespondierenden Belehrungspflichten sind ein Teil. Die unternehmensinterne Verarbeitung und die Dokumentation, die Speicherung und Löschung erfordern Konzepte und fast immer unternehmensinterne Anpassungen und Umstrukturierungen.

Zur Unsicherheit trägt bei, dass in Deutschland 16 Landesdatenschutzbehörden und der Bundesdatenschutzbeauftragte Stellungnahmen und Bewertungen veröffentlichen, die wie eine vielstimmige Kakophonie anmuten.

Als dann noch der EuGH 2020 mit seiner Entscheidung „Schremps II“ das Privacy Shield-Abkommen mit der USA kippte und der Datentransfer in die Vereinigten Staaten praktisch verboten wurde, wurde es noch komplizierter. Denn viele nützliche Software-Tools stammen von amerikanischen Firmen und diese verarbeiten die Daten oft in den USA.

Datenschutzbehörden werden aktiver

Was sollte man also machen? Den Kopf in den Sand stecken geht ist keine kluge Strategie. Die Datenschutzbehörden werden immer aktiver und verhängen Ordnungsgelder. Doch auch hier muss man sagen, dass „bis zu 2% des Jahresumsatzes“ die maximale Grenze ist und auch hier die Art und Schwere des Datenschutzverstoßes bewertet wird. Auch zeigen sich Aufsichtsbehörden oft kooperativ und gesprächsbereit. Sehr unangenehm wird es aber, wenn man als Unternehmen gar nicht oder nur rudimentär die Compliance-Anforderungen der DSGVO umgesetzt hat.

Einwilligungen sind kein Allheilmittel

Datenschutz ist nach meiner Ansicht aber nicht das bürokratische Monster als dass es oft dargestellt wird. Und man muss nicht bei jeder Datenerhebung die persönliche Einwilligung einholen. Hier ist der Grundsatz „viele Einwilligungen helfen viel“ sogar kontraproduktiv. Denn jede Einwilligung kann jederzeit widerrufen werden. Es gibt genug gesetzliche Möglichkeiten, Daten zu erheben und zu verarbeiten, ohne jedes Mal eine Einwilligung einzuholen.

Eine Bestandsaufnahme als erster Schritt

Am Anfang steht die Bestandsaufnahme: Wo werden wie welche Daten erhoben, gespeichert und genutzt? Zu welchem Zweck? Welche Tools werden eingesetzt? Wie und wo sind die Daten gesichert. Wer hat Zugriff? An wen werden die Daten weitergegeben? Allein diese Dokumentation hilft, Schwachstellen und Problemfelder zu erkennen und dient zudem der Aufstellung des vorgeschriebenen Verfahrensverzeichnisses, korrekter: das Verzeichnis zur Verarbeitungstätigkeit.    

Kategorisierung, Risikobewertungen, Anpassungen

Die nächste Stufe ist die Kategorisierung, die Risikobewertung sowie die ggf. notwendige Anpassung der Datenverarbeitung.

Bei dieser Bestandsaufnahme werden oft schwere Mängel bei der Datenverarbeitung festgestellt, die auf Bequemlichkeit, aber auch auf Nachlässigkeit beruhen. Kundendaten auf privaten Handys, keine Zugriffskontrollen und Berechtigungskonzepte bis hin zu unverschlossenen Büros mit sensiblen Personalakten.

Positiver Nebeneffekt: Erhöhung der IT-Sicherheit

Wir haben die Erfahrung gemacht, dass nach einem Datenschutzaudit und der Umsetzung notwendiger Anpassungen und der Erstellung der Dokumentationen, Unternehmen eine bessere Übersicht über ihre Daten und Datenströme haben. Und vor allem die IT-Sicherheit deutlich verbessert wurde. Aus meiner Sicht wurde auch ein besserer Schutz von Betriebsgeheimnissen erreicht, weil oftmals den Unternehmen nicht bewusst war, wie schlecht ihre Daten eigentlich geschützt waren.

Wir arbeiten mit externen Datenschützern zusammen, mit denen wir die Aufgaben eines umfassenden Datenschutzaudits und der anschließenden Bewertung und den Anpassungen wahrnehmen.

Man kann nur sagen: Keine Angst vorm Datenschutz!