Last-Minute-Tipps für die DSGVO

Der Countdown läuft unerbittlich. In wenigen Wochen, am 25. Mai, tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Von diesem Tag an muss jedes Unternehmen beweisen können, dass es mit personenbezogenen Daten seiner Kunden und Mitarbeiter sorgsam umgeht. Es muss transparent sein, wo die Daten liegen, zu welchem Zweck sie verwendet werden und wer sie wann und wo mit welchen Rechten verarbeitet und nutzt.

So weit die Theorie. Die Praxis sieht anders aus. „Wir bei IDC rechnen damit, dass 30 Prozent der Unternehmen zum Stichtag nicht DSGVO-konform sein werden. Das ist in der Tat sehr bedenklich“, sagt Laura Hopp, Consultant bei IDC. „Organisationen müssen ihre Bemühungen verstärken, um es noch rechtzeitig zu schaffen. Noch bestehende Compliance-Lücken müssen unbedingt geschlossen werden.“ Sie empfiehlt Unternehmen, erneut alle bereits durchgeführten Maßnahmen zu überprüfen. Sie sollten Mitarbeiter noch einmal umfassend schulen und auf die Neuerungen vorbereiten. „Die Kommunikation der Änderungen durch die DSGVO ist enorm wichtig“, so Hopp.

Auch Daniela Gaub, Leiterin Recht beim Bundesverband Deutscher Inkasso-Unternehmen e. V. (BDIU), stellt in ihren Seminaren zur DSGVO fest, dass viele Firmen bislang nicht genügend vorbereitet sind. Sie berät nicht nur Inkasso-Unternehmen, sondern auch Stadtwerke und andere Firmen, die bei säumigen Zahlern Forderungs- oder Debitoren-Management betreiben. „Größere Firmen sind meist besser vorbereitet als die mittleren und kleinen Unternehmen. Sie haben mehr Manpower, müssen aber auch mehr Prozesse berücksichtigen und damit auch mehr Daten verarbeiten. Kleine Firmen haben oft keinen Datenschutzbeauftragten und wissen teilweise nicht, wo sie ansetzen sollen.“

Für ein Unternehmen – auch mit Niederlassungen in mehreren EU-Mitgliedstaaten – ist formell nur die Aufsichtsbehörde am Hauptsitz des Unternehmens zuständig („federführende Aufsichtsbehörde“). Für die Allianz AG mit Sitz in München ist das zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht.

„In Deutschland gibt es wegen des föderalen Prinzips 16 Behörden, welche die Einhaltung der DSGVO prüfen, zudem die Bundesdatenschutzbeauftragte. Daher ist, zumindest zunächst noch, weiterhin mit regionalen Unterschieden bei der Bewertung von Datenschutzverstößen und bei Sanktionen zu rechnen. Es gibt hierzulande aktuell noch keine übergeordnete behördliche Instanz, die vermittelt oder für Kohärenz sorgt“, erklärt Daniela Gaub vom BDIU. Das heißt: Unter den Behörden herrscht großer Abstimmungsbedarf. Auf europäischer Ebene sieht die DSGVO hingegen bereits ein Kohärenz­verfahren vor. Bei Differenzen zwischen EU-Ländern ist der Europäische Datenschutzausschuss zuständig.

Spannend wird sein, wie und wie oft die zuständigen Behörden die Unternehmen kontrollieren. IDC-Frau Laura Hopp ist skeptisch: „Bisher wurden die Kontrollen eher lasch gehandhabt. Das sehen wir beispielsweise daran, dass viele Unternehmen, die sogar nach dem bisherigen Bundesdatenschutzgesetz einen Datenschutzbeauftragten bestellen müssten, keinen haben. Eine eher laxe Haltung der Unternehmen und der Mangel an Kontrollmechanismen gingen sozusagen Hand in Hand.“ IDC wisse aus Gesprächen mit Anwenderunternehmen, dass diese teilweise gar nicht von künftigen Kontrollen ausgehen, so Hopp. Vorherrschende Einschätzung: Die Firmen rechnen damit, dass die Aufsichtsbehörden nicht die Ressourcen dafür haben.

Auch Rebekka Weiß, Referentin für Datenschutz beim Digitalverband Bitkom, sieht ein Pro­blem bei den Ressourcen: „Die Aufsichtsbehörden können natürlich nicht alle Unternehmen gleichzeitig prüfen. Eventuell werden anfangs bestimmte Branchen auch mehr, andere weniger im Fokus stehen. Wie genau die Arbeit der Aufsichtsbehörden nach dem 25. Mai aussehen wird, lässt sich bisher kaum abschätzen, da es hier auch aufgrund von Kapazitäten in den Behörden regionale Unterschiede geben kann.“ Es ist davon auszugehen, dass sich die Aufsichtsbehörden insbesondere auf die Kontrolle der Dokumentations- oder Rechenschaftspflicht konzentrieren werden. Firmen müssen nachweisen, welche Datenschutzmaßnahmen sie getroffen haben, und das auf Anfrage der Aufsichtsbehörde auch offenlegen.

Günter Junk, CEO beim Sicherheitsspezialisten Virtual Solution, erwartet, dass die Behörden sehr streng prüfen und klarmachen, dass sich die Firmen an die DSGVO halten müssen. „Möglicherweise sind sie bei kleinen Firmen am Anfang noch etwas milder, aber bei großen Unternehmen und vor allem Technologielieferanten wie Cloud-Anbietern aus den USA sollten sie streng prüfen.“ Letztere nutzen im Rahmen der Auftragsdatenverarbeitung personenbezogene Daten ihrer Kunden und müssen die DSGVO ebenfalls erfüllen, selbst wenn sie nicht aus Europa kommen. Doch noch weigern sich Firmen wie Salesforce, einen Vertrag zur Auftragsdatenverarbeitung zu unterzeichnen. Das weiß Günter Junk aus eigener Erfahrung.

Unabhängig davon, wie engmaschig die Prüfungen der Behörden ausfallen – Firmen sollten nicht fahrlässig Risiken eingehen. Kleine Firmen können in kurzer Zeit ein Grundgerüst für die Datenschutz-Grundverordnung schaffen. Im ersten Schritt geht es um eine Bestandsaufnahme der Daten und Prozesse im Unternehmen. Das heißt, zunächst ist zu klären, welche Kategorien von personenbezogenen Daten überhaupt vorhanden sind. Das können beispielsweise Kontaktdaten, Stammdaten, Vertragsdaten oder Forderungsdaten sein.

Die DSGVO fordert ein Verfahrensverzeichnis ein, mit dem Unternehmen ihre Datenverarbeitung dokumentieren. Für Unternehmen, die sich bisher kaum mit der DSGVO aus­einandergesetzt haben, ist die Erstellung eines solchen Verzeichnisses eine der wichtigsten Aufgaben. Sie müssen hier unter anderem folgende Fragen beantworten können: Wo in meinen Geschäftsprozessen verwende und verarbeite ich Daten von Kunden und Interessenten (zum Beispiel Angebotserstellung)? In welchen Systemen sind diese Daten gespeichert? Zu welchen Zwecken werden sie genutzt? Wer greift wie oft mit welchen Rechten auf diese Daten zu? 

„Dieses Verzeichnis von Verarbeitungstätigkeiten muss natürlich auch aufzeigen, wie Daten der eigenen Mitarbeiter im Unternehmen verarbeitet werden. Im Grunde ist das gesamte Verzeichnis – für alle Datenverarbeitungsprozesse – aber erst ab einer Unternehmensgröße von 250 Mitarbeitern verpflichtend. Es lohnt sich dennoch für alle Unternehmen, da sie dann ohne Probleme ihre Informationspflichten erfüllen, die neu mit der DSGVO eingeführt werden, und schnell auf Anfragen von Betroffenen reagieren können“, erläutert Daniela Gaub vom BDIU.

Und Virtual-Solution-CEO Günter Junk ergänzt: „Zu den Grundlagen gehört es, die eigene IT-Infrastruktur zu ermitteln, ebenso die jeweiligen Applikationen, und wie welche Daten vernetzt sind. Außerdem muss geklärt sein, wer Zugriff auf die Daten hat. Wenn Firmen diese drei Punkte wissen, haben sie schon viel erreicht.“

Das sind nur die Basics. Unverzichtbar sind auch Richtlinien für Mitarbeiter, die festlegen, wie diese mit Daten umgehen dürfen. Wer online tätig wird und eine Datenschutzerklärung benötigt, sollte vor dem Stichtag auch dringend die Datenschutzerklärung überarbeiten, da die neuen Regeln hier Änderungen vorschreiben. Kleine Firmen können zudem einen externen Datenschutzbeauftragten buchen (oder sich gemeinsam mit anderen Firmen teilen), der die wichtigsten Maßnahmen vorantreibt.

Der nächste Punkt auf der Prioritäten-Liste ist die Klassifizierung der personenbezogenen Daten mit Risikoanalyse. Wie sensibel sind die Daten, die wir haben? Wie hoch ist das Risiko eines Angriffs auf diese Daten? Sind diese Daten notwendig? Das Motto sollten lauten: „So viel wie nötig, so wenig wie möglich speichern.“

Eine besondere Herausforderung hinsichtlich der DSGVO sind mobile Geräte. Sie lassen sich schwer kontrollieren, da sich viele Nutzer nicht an Vorgaben und Richtlinien halten. Zudem setzen sie ihre Geräte oft sowohl privat als auch beruflich ein. Daher wissen die Firmen oft nicht komplett, wer Zugriff auf Daten hat und wie diese verarbeitet werden.

Abhilfe schaffen hier Container-Lösungen. Mit ihrer Hilfe lassen sich die Apps und Daten eines Unternehmens auf dem mobilen Gerät in einer geschützten, abgeschotteten Umgebung betreiben. Dadurch wird verhindert, dass Daten unkontrolliert ab- oder zufließen beziehungsweise manipuliert werden können.

Eines ist klar. Firmen, die bei einem Verstoß gegen die DSGVO ertappt werden, riskieren empfindliche Bußgelder. Mit einer Schonfrist ist nicht zu rechnen, da die DSGVO bereits 2016 verabschiedet wurde und die Firmen genügend Zeit für die Vorbereitung hatten.

„Für die kontrollierenden Datenschutzbehörden wird wichtig sein, dass ein Unternehmen sich ernsthaft um die Umsetzung bemüht hat. Dennoch wird nach dem 25. Mai nicht jedes Unternehmen automatisch unter die Lupe genommen. Bei all den Rechtsunsicherheiten, die die DSGVO immer noch enthält, ist es für Unternehmen aber noch immer schwierig, das genaue Risiko vorab einzuschätzen“, sagt Rebekka Weiß von Bitkom.

Neben den hohen Geldbußen ist natürlich noch mit anderen Folgen zu rechnen. Beispielsweise kann die Aufsichtsbehörde die Verarbeitung personenbezogener Daten einschränken und damit durchaus das Geschäftsmodell von Firmen gefährden.

In letzter Minute könnten Firmen auch auf die Idee kommen, Software-Lösungen einzusetzen, um noch schnell DSGVO-konform zu werden. Schließlich offerieren zahlreiche Software-Anbieter Produkte für DSGVO-Compliance. Dazu gehören die bekannten Anbieter von IT-Security-Lösungen sowie Hersteller von Dokumentenmanagement-Software oder ERP-Systemen, die beispielsweise versprechen, personenbezogenen Daten nach Ablauf der Speicherfrist automatisiert zu löschen. Auch Branchenriesen wie Microsoft, IBM oder SAP sind hier zu nennen.

Doch derartige Software hat ihre Grenzen. Rebekka Weiß bringt es auf den Punkt: „Allein mit einzelnen Software-Programmen ist eine Anpassung an die DSGVO nicht möglich, sie können im Umstellungsprozess jedoch praktische Hilfe leisten.“ Ihrer Meinung nach sollten Unternehmen hier genau schauen, welche Anpassungen sie benötigen. Wenn die Software die Kundendatenbank DSGVO-konform gestaltet, heißt das eben noch nicht, dass sämtliche Datenverarbeitungen im Unternehmen abgedeckt werden. Für Unternehmen ist daher in den meisten Fällen eine Vorabberatung sinnvoll, um überhaupt den Bedarf für eine entsprechende Software einschätzen zu können.

Auch Laura Hopp von IDC sieht es mit einer Software für DSGVO-Compliance nicht getan. Firmen müssten sich in den Bereichen Legal, Organisation, Prozesse und Technologien auf die DSGVO vorbereiten. „Sie müssen die Organisationsstrukturen ändern, einen Datenschutzbeauftragten bestellen, ihre Prozesse umstellen oder neue Prozesse einführen, um beispielsweise Löschanfragen der betroffenen Personen zu bearbeiten. Natürlich müssen sie auch Software-Lösungen einsetzen, die den Datenschutz von Anfang an berücksichtigen. Kurzum: Software-Lösungen können die Erreichung der Compliance lediglich unterstützen – nicht mehr und nicht weniger.“

Welche DSGVO-Kontrollen führen die zustän­digen Behörden durch? Welche Folgen drohen Unternehmen wirklich, die zum Stichtag noch nicht ganz umgestellt haben? Darüber spricht com! professional mit Thomas Kranig, dem Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht.

com! professional: Herr Kranig, am 25. Mai tritt die DSGVO in Kraft. Diverse Studien zeigen, dass viele Firmen nur unzureichend auf die neue Datenschutz-Grundverordnung vorbereitet sind. Wie schätzen Sie die aktuelle Situation ein?

Thomas Kranig: Große Firmen haben die DSGVO schon lange auf der Rechnung. Mittlere und kleine Firmen sind da noch nicht so weit. Viele wachen erst jetzt auf. Sie sollten unbedingt handeln. Wir haben hier ein gutes Bild, da wir mit vielen Unternehmen im Gespräch sind. Wir erhalten viele Anfragen und beraten sie dabei, wie sie die DSGVO korrekt umsetzen.

Kranig: Das A und O ist ein Verzeichnis von Verarbeitungstätig­keiten, mit dem Unternehmen ihre Datenverarbeitung dokumentieren. Das Verzeichnis umfasst auch Daten, die etwa an einen Cloud-Provider ausgelagert sind. Es gibt Auskunft, mit welchen personenbezogenen Daten man in seinen Geschäftsprozessen umgeht und wer wie oft mit welchen Rechten auf diese Daten
zugreift. 

com! professional: Für welche Unternehmen ist Ihre Behörde zuständig?

Kranig: Wir sind für alle nicht öffentlichen Stellen in Bayern zuständig. Grenzüberschreitend gilt nach der DSGVO das One-Stop-Shop-Prinzip, das heißt, für international tätige Unternehmen und deren Tochtergesellschaften in Europa ist eine Aufsichtsbehörde am Sitz der Hauptniederlassung zuständig. Unsere Behörde ist beispielsweise für BMW, Siemens oder die Allianz zuständig, unsere Kollegen in Baden-Württemberg etwa für Daimler. Innerhalb Deutschlands ist jede Landesbehörde unabhängig. Wir versuchen aber, uns untereinander abzustimmen, um möglichst einheitlich vorzugehen. In Einzelfällen sind aber andere Schwerpunkte durchaus möglich.

Kranig: Nein. Für Microsoft ist die Datenschutzbehörde in Irland zuständig, da sich dort die Europazentrale des Konzerns befindet, die den Umgang mit Daten regelt. Ein deutscher Microsoft-Kunde kann sich aber bei unserer Behörde über Microsoft beschweren. Wir leiten diesen Vorgang an die irische Behörde weiter und sind dann von der irischen Behörde in das Verfahren einzubeziehen.

Kranig: Es gibt einen europäischen Datenschutzausschuss mit den Chefs der Aufsichtsbehörden der Mitgliedstaaten. Für Deutschland sitzen dort die Bundesbeauftragte für Datenschutz und Informationsfreiheit, Andrea Voßhoff, und ein Vertreter aus den Ländern. Wenn die irischen Kollegen nicht „ordentlich“ arbeiten, müssen sie sich dort rechtfertigen und können in Einzelfällen von den anderen Aufsichtsbehörden auch zu einem Handeln gezwungen werden. Ähnliches gilt übrigens auch hierzulande, wenn wir nicht recht­mäßig arbeiten würden. Dann müssten wir unseren Kollegen aus den anderen Bundesländern Bericht erstatten.

Kranig: Es gibt zwei Arten von Kontrollen. Zum einen als Reaktion auf Beschwerden von Bürgern etwa über mangelnden Datenschutz in Unternehmen. Hier werden wir unmittelbar tätig und prüfen. Im Moment erhalten wir rund 1500 Beschwerden pro Jahr. Zum anderen gibt es die sogenannten anlasslosen Kontrollen, sprich aktive Kontrollen und Stichproben nach bestimmten Themen. Hier gehen wir nach einem bestimmten Schlüssel vor und kontrollieren ausgewogen kleine, mittlere und große Unternehmen.

com! professional: Das Bayerische Landesamt für Datenschutzaufsicht hat derzeit 20 Mitarbeiter für die DSGVO-Prüfung. Das ist doch viel zu wenig.

Kranig: Auf den ersten Blick ja. Bis Juni 2018 werden wir noch vier weitere Mitarbeiter einstellen. Wenn man sieht, dass wir in Bayern insgesamt etwa 700.000 Firmen haben, vom Einzelunternehmer bis zu Siemens, ist die Wahrscheinlichkeit, von den Stichproben getroffen zu werden, eher niedrig. 

Zudem setzen wir für die Kontrolle der Datenschutzkonformität von Online-Seiten automatisierte Prüf-Software für die schnellere Bearbeitung ein. Auch die IHKs und Datenschutzbeauftragte machen Druck und weisen auf das neue Recht hin. Das wirkt sich zunehmend auch auf die letzten Firmen aus.

com! professional: Welche Folgen drohen Unternehmen, die zum Stichtag die Datenschutzanforderungen noch nicht vollständig erfüllt haben?

Kranig: Das hängt natürlich immer vom Einzelfall ab. Zudem sind manche Punkte der DSGVO noch offen. So gibt es beispielsweise noch keine Liste für erforderliche  Datenschutz-Folgenabschätzungen (Artikel 35,4). Auch der Begriff „hohes Risiko“ ist noch nicht genau definiert und gibt Freiräume. Bei diesen Punkten könnte es anfangs eventuell eine Schonfrist geben.

Entscheidend ist für uns am Anfang der gute Wille. Wenn Firmen bereits auf dem Weg sind und Geld für Datenschutz in die Hand genommen haben, aber noch nicht komplett DSGVO-konform sind, erhalten sie eher beratende Unterstützung als eine Sanktion. Wer sich aber gar nicht um die DSGVO kümmert, beim Thema Datenschutz sehr nachlässig ist oder gar als Spieler auf Risiko geht, nicht erwischt zu werden, wird nachhaltig sanktioniert. Es wird im Schnitt höhere Bußgelder als jetzt geben. Die Maximalstrafe von 4 Prozent des Jahresumsatzes gibt es aber wohl nur dann, wenn ein vorsätzlicher Verstoß in großem Umfang vorliegt.