(openPR) (21. Mai 2019 / sko) Die Datenschutzgrundverordnung (DSGVO) wird ein Jahr alt. Datenschutzexperte Sebastian Koye von der datenschutzklinik in Freiburg zieht eine erste Bilanz.
Herr Koye, wie haben sie die Einführung der DSGVO im Mai 2018 erlebt?
Bei uns begann es ab März mit einer plötzlichen Flut von Anfragen nach einem Datenschutzbeauftragten. In den folgenden Gesprächen hat sich jedoch ergeben, dass viele gar keinen benennen müssen. Wir haben aber insbesondere diese Unternehmen darauf hingewiesen, dass sie, auch wenn weniger als zehn Personen mit personenbezogenen Daten zu tun haben, die gleichen Maßnahmen treffen müssen, wie große Firmen mit vielen Mitarbeitern und einem Datenschutzbeauftragten.
Wie haben diese kleineren Firmen darauf reagiert?
Zunächst waren sie erleichtert, dass sie keinen Datenschutzbeauftragten benötigten und dachten damit, dass alles viel einfacher für sie würde. Doch das genaue Gegenteil ist der Fall. Diesen Unternehmen fehlt jemand, der sie an die Hand nimmt und mit ihnen die notwendigen Schritte zur Erfüllung der DSGVO so durchläuft, dass es für sie passt. Die meisten haben es erst einmal im Alleingang versucht und sich Informationen aus dem Internet beschafft, um dann die DSGVO „umzusetzen“, wie viele sagen. Irgendwann war jedoch die Verwirrung groß, da sich viele Meinungen und Darstellung zur richtigen Vorgehensweise im Netz auch heute noch widersprechen.
Woher kommen diese Widersprüche?
Zum einen haben sich einige Dinge in der DSGVO gegenüber dem „alten“ Bundesdatenschutzgesetz (BDSG) geändert oder sind neu hinzugekommen. Bei der Umsetzung dann den richtigen Nerv zu treffen, ist eine Herausforderung. Da lohnt sich ein Blick in die Erwägungsgrundsätze, denn dort kann man vielfach herauslesen, was der Gesetzgeber eigentlich erreichen möchte.
Auf der anderen Seite haben im vergangenen Jahr viele das Thema DSGVO als neues Geschäftsmodell für sich entdeckt, einen Ein- oder Zweitageskurs belegt und halten sich nun für Datenschutzberater. Das ist leider gefährlich, denn Datenschutz erfordert viel Wissen und viele Jahre Erfahrung auf verschiedenen Gebieten.
Was zeichnet einen guten Datenschutzberater aus?
Er verfügt über Kenntnisse und Erfahrung in den Bereichen Rechtsverständnis, IT-Systeme und Unternehmensprozesse. Die Herausforderung ist, dass ein guter Datenschutzberater die bestehenden Prozesse eines Unternehmens erkennt, die gesetzlichen Erfordernisse in diese integriert und nicht die DSGVO über das gesamte Unternehmen stülpt. Damit ist niemandem geholfen. Das wollen auch die Datenschutzbehörden so nicht. Ein guter Berater sucht im Vorfeld das Gespräch und verschafft sich einen Überblick, bevor er mit der Beratung beginnt.
Was raten Sie den Unternehmen?
Holen Sie sich professionelle Beratung ins Haus. Lassen Sie sich Zertifikate von anerkannten Prüfinstitutionen zeigen. Fragen Sie nach Referenzen bei anderen Kunden, Mitgliedschaften in Verbänden, Fortbildungen etc. Ein guter Berater mit Erfahrung wird Ihnen im Vorfeld gern Rede und Antwort stehen, denn sie vertrauen ihm eine Menge an.
Gibt es denn aktuell immer noch so viele Anfragen?
Dieser Hype ist im Lauf des vergangenen Jahres abgeebbt. Das war aber auch zu erwarten, da solche Entwicklungen auch in anderen Bereichen immer wieder zu beobachten sind. Die befürchtete Abmahnwelle ist ausgeblieben und die Aufsichtsbehörden verhängen zwar Bußgelder, aber eher an große sehr auffällige Firmen. Viele Unternehmen wiegen sich daher in Sicherheit und vernachlässigen das Thema wieder.
Glauben Sie, dass sich das wieder ändert?
Ganz sicher, denn zum einen rüsten sich die Aufsichtsbehörden für Kontrollen, zum anderen nehmen immer mehr Betroffene ihre Rechte wahr und melden Datenschutzverstöße. Wenn die Bußgelder dann in ein für ein Unternehmen emotionale und greifbarere Nähe rücken, wird die Notwendigkeit für den Datenschutz bei vielen wieder mehr in den Fokus rücken. Denn letztlich will keiner hohe Strafen bezahlen müssen und damit vielleicht noch an Reputation verlieren.
Werden nur Bußgelder die weitere Umsetzung der Maßnahmen regeln?
Für diejenigen, die Datenschutz als reine Pflicht ansehen, wird das im Moment so sein. Wenn man aber einmal über den Tellerrand hinausblickt, gibt es Entwicklungen, die eine Umsetzung viel dringlicher machen.
Die Cyberkriminalität nimmt weiterhin drastisch zu und ist kein Phänomen, dass nur große Unternehmen betrifft.
Innerhalb unseres Mandantenstamms ist die Zahl der von Cyberangriffen betroffenen Unternehmen in 2018 um 30% gestiegen. Glücklicherweise hatten diese bis auf zwei Ausnahmen keine Auswirkungen. Die Zahl der Cyberopfer Neukunden ist um das Vierfache gestiegen. Hier konnten zwar alle Daten wiederbeschafft und gestohlene Identitäten gesichert werden. Jedoch verbunden mit hohen Kosten für die Betroffenen.
In einer Analyse haben wir im Nachgang zu den Vorfällen die aus rein datenschutzrechtlichen Aspekten bisher umgesetzten technischen und organisatorischen Maßnahmen mit dem nach DSGVO geforderten Stand verglichen. Im betroffenen Mandantenstamm war ein Level von 80 – 90% erreicht worden. Bei den Neukunden waren es teilweise unter 30%.
Allein dieser Vergleich zeigt, dass die DSGVO kein reiner Selbstzweck ist, sondern eine durchaus nutzbringende Richtlinie. Sie hält Unternehmen an, nicht nur die Daten von anderen, sondern auch sich zu schützen. Denn eines der wichtigsten Güter eines Unternehmens sind nun mal Daten.
Abschließend: Bringt die DSGVO eine wirkliche Veränderung?
Mit der wachsenden Digitalisierung steigt auch das Maß an Verantwortung für diejenigen, denen wir unsere Daten anvertrauen. Jeder sollte sich unbedingt darauf verlassen können, dass mit seinen Informationen ordentlich und in seinem Sinne umgegangen wird. Man erkennt in dieser Hinsicht durchaus eine Trendwende bei den großen Internetkonzernen in den USA. Unternehmen wie Google merken plötzlich, dass aus Europa ein scharfer Wind in Form von hohen Bußgeldern weht (zuletzt 50 Mio. € durch die französische Aufsichtsbehörde CNIL). Facebook laufen Millionen europäische Kunden weg, trotz steigender Nutzerzahlen. Microsoft baut Rechenzentren in Deutschland auf. Das alles kommt nicht von ungefähr. Für die Internetkonzerne ist Europa der wichtigste außeramerikanische Markt. Man kann es sich schlichtweg nicht leisten, über die DSGVO hinweg zu sehen. Die Reaktionen sind vielleicht noch etwas zögerlich, aber wenn wir uns in dieser Sache nicht beirren lassen, werden wir in der Lage sein, den Datenkraken die Stirn zu bieten.
