SER Blog  Compliance

EU-DSGVO: So vermeiden Sie Sanktionen

Die EU-DSGVO ist nach wie vor eine große Herausforderung für viele Unternehmen. Das zeigt ein Blick in die Presse und auf die verhängten Sanktionen. Wo sollten sie ansetzen, um die EU-DSGVO-Compliance einzuhalten und Strafen zu vermeiden? Das diskutierte Stephan Kizina mit dem Unternehmensberater Holger Klindtworth von Ebner Stolz.

EU-DSGVO einhalten

Kizina: Das Jahr 2019 scheint das Jahr der EU-DSGVO-Kontrollen zu sein. Behörden sind nicht länger nachsichtig. In Irland, wo viele große US-Konzerne ihre europäischen Zentralen haben, wurden 51 Untersuchungen angestoßen. 1&1 wird in Deutschland mit rund 10 Millionen Euro zur Kasse gebeten. In Frankreich soll Google 50 Millionen Euro Strafe zahlen. Hat das große Schlachten jetzt begonnen?

Klindtworth: Ich denke, ja. Allerdings nicht in dem Sinne, dass jetzt systematische Kontrollen durchgeführt werden wie bei einem Blitzmarathon. Dafür reichen die personellen Ressourcen definitiv nicht aus. Aber je mehr sich Unternehmen im öffentlichen Interesse befinden, desto größer ist sicherlich die Gefahr, dass sie im Fokus landen. Das betrifft nicht nur große Konzerne.

EU-DSGVO mit ECM nachweisbar einhalten

Personenbezogene Daten nachweisbar schützen, aufbewahren und löschen: Erfahren Sie hier, wie Ihnen die EU-DSGVO-zertifizierte Software Doxis den Datenschutz erleichtert.

Jetzt lesen

„Datenschutz bringt kein Geld!“

Kizina: Die spannende Frage ist, warum eigentlich noch immer so viele Unternehmen beim Datenschutz hinterherhinken.

Klindtworth: Die Antwort ist ganz einfach: Es bringt kein Geld. Datenschutz ist eine zusätzliche regulatorische Anforderung, mit der man keinen Umsatz macht. Ein weiterer Punkt ist schlichtweg Unwissenheit. Es fehlen Kenntnisse in der Rechtsauslegung. Und schließlich kommt die Komplexität vieler IT-Landschaften hinzu, die den Datenschutz erschwert, und der zunehmende Trend des Themas Auslagerung. Die Verantwortung für den Datenschutz lässt sich nur sehr bedingt teilen. Sie verbleibt am Ende bei mir, nicht bei meinem Dienstleister. Aus dieser ganzen Gemengelage resultiert dann die mangelnde Compliance.

Kizina: Das ließe sich doch durch einen Datenschutzbeauftragten lösen. Den haben aber noch immer nicht alle Firmen. Wahrscheinlich finden sie kaum noch Leute. Muss ich meine Kriterien für die Bestellung eines Datenschutzbeauftragten reduzieren?

Klindtworth: Bitte nicht! Lieber noch etwas länger suchen, als die Ansprüche an den Datenschutzbeauftragten zu reduzieren. Die fachliche Kompetenz sollte schon im Vordergrund stehen und eine entsprechende Qualifikation nachweisbar sein. Das halte ich für zwingend erforderlich. Wie sonst wollen Sie sensible Daten schützen?

Kizina: Sensible Daten sind eine besondere Kategorie personenbezogener Daten?

Klindtworth: Es gibt risikoreichere Daten als andere, die z.B. Kinder oder die Gesundheit, politische oder religiöse Themen betreffen. Es ist unglaublich wichtig, sich immer wieder klarzumachen, dass ich als Unternehmen auch diese Daten zu bestimmten Zwecken weiter verarbeiten darf! Aber ich muss mir immer vor Augen halten, welche Risiken für Einzelpersonen mit diesen Daten verknüpft sind: Was würde ihre Offenlegung, ihr Verlust für einen Mensch bedeuten? Manchmal macht es ganz viel Sinn, auf Daten zu verzichten, weil der Nutzen aufgrund der zu treffenden Compliance-Maßnahmen nicht mehr im Verhältnis zum Gewinn daraus steht.

„Wo hört die private Datenverarbeitung auf, wo beginnt die geschäftsmäßige?“

Kizina: Eigentlich heißt es ja, die EU-DSGVO gilt für Unternehmen in Bezug auf Daten von natürlichen Personen. Es gab aber eine Meldung zu einem Bußgeld gegen den früheren Juso-Landeschef, der die Delegierten-Liste eines Parteitages intern weitergegeben hat. Wo hört denn die rein private Datenverarbeitung auf, wo beginnt die öffentliche oder geschäftsmäßige?

Klindtworth: Es gibt immer eine multi-dimensionale Sicht auf einen Menschen: Ich bin auf der einen Seite eine Privatperson mit meinem privaten Umfeld. Hier kann ich natürlich E-Mails an meine Freunde verschicken. Aber sobald ich mich in einem öffentlichen Umfeld befinde und Informationen an viele unterschiedliche, sogar fremde Menschen schicke, komme ich in eine Grauzone. In diesem Fall dann eben auch mit Bußgeld.

Kizina: Bleiben wir beim Thema Grauzone: Angenommen, ich lege als deutsches Unternehmen Daten in eine Cloud, die in Indien betrieben wird. Dann bin ich definitiv in einem Bereich, den die EU-DSGVO ausklammert. Daten hier auszulagern, kann ich im Prinzip vergessen.

Klindtworth: In der Tat ist es extrem schwer nachzuweisen, dass das Rechenzentrum in Bangalore keinen Zugriff auf die Daten hat und diese richtig verschlüsselt sind. Im Zweifel ist das auch eine Beweislast, die man sehr schwer oder gar nicht führen kann. Also nehmen Sie besser eine Cloud in Europa. Viele Software-Hersteller bauen ihre Infrastrukturen entsprechend auf.

„Elektronische Lösungen haben massive Vorteile“

Kizina: Abgesehen von Cloud-Anbietern gibt es ja noch mehr Dienstleister oder Geschäftspartner, die meine personenbezogenen Daten weiter nutzen. Eigentlich müsste man das strukturiert überprüfen und regelmäßig dokumentieren.

Klindtworth: Ja, das ist der erste Schritt, den Unternehmen gegangen sind, die diese Thematik ernst nehmen. Sie haben damit angefangen, z.B. die Verhältnisse bei ihren Lieferanten zu kartographieren und dann entsprechend vertraglich zu fixieren. Das kann ich nach wie vor unterstützen. Das betrifft auch Dinge, an die man erstmal nicht denkt, wie den Druck von Weihnachtskarten, bei denen die Druckerei ja Adressdaten erhält.

Solche vertraglichen Regelungen betreffen natürlich auch die eigenen Mitarbeiter. Was ich als Prüfer immer wieder feststelle ist, dass gerade elektronische Lösungen beim Nachweis der EU-DSGVO-Compliance massive Vorteile haben. Wenn Ihre Mitarbeiter unterschriebene Verpflichtungserklärungen zum Datenschutz in Papierform ablegen, wird es für einen externen Prüfer extrem schwierig, irgendetwas nachzuvollziehen. Wenn Sie Ihre Nachweispflicht einhalten wollen, dann legen Sie solche Dokumente elektronisch ab! Dann können Sie auch direkt nachweisen, dass der Mitarbeiter sie unterschrieben hat. Man kann Datenschutz, aber auch alle anderen regulatorischen Regelungen, die man umsetzen muss, manuell und auf Papier nur mit sehr hohem Dokumentations- und hohem prozessualen Aufwand umsetzen. Elektronisch geht das weitaus effizienter. Denn am Ende müssen Sie den pragmatischen Weg gehen, der sowohl den regulatorischen Anforderungen genügt, aber eben auch wirtschaftlich machbar ist.

Sicherer Datenschutz für Personaldaten

Die EU-DSGVO gilt auch für Daten von Mitarbeitern. Sehen Sie hier, wie Sie mit Doxis den Datenschutz für Personal­informationen einhalten und nachweisen.

Jetzt ansehen

Kizina: Alles digital einfach dokumentieren und nachweisen. Das klingt vernünftig. In der Praxis ist es bei vielen Unternehmen dann aber doch nicht so leicht, weil die IT-Landschaften in den meisten Unternehmen historisch gewachsen sind. Da haben Sie Informationen in wer weiß wie vielen Anwendungen. Diese Heterogenität macht es beinahe unmöglich, die EU-DSGVO einzuhalten. Was können Unternehmen dagegen tun?

„Vergessen Sie nicht, alles sauber zu dokumentieren!“

Klindtworth: Dafür muss ich zunächst den Überblick haben, welche personenbezogenen Daten in meinem Unternehmen existieren. Der erste Schritt ist also die Identifizierung und Klassifizierung EU-DSGVO-relevanter Daten. Erst dann kann ich technische und organisatorische Maßnahmen dafür umsetzen. So ein Schutz-Konzept ist ja nicht nur für den Datenschutz relevant. Denken Sie z.B. an das Gesetz zum Schutz von Geschäftsgeheimnissen und andere regulatorische Vorgaben. Und vergessen Sie nicht, alles sauber zu dokumentieren! Sie müssen ja im Zweifel nachweisen, dass Sie bestimmte Kontrollen eingerichtet und durchgeführt haben: Schutzmaßnahmen vor Datenverlust, vor Manipulationen, vor Weitergabe usw. Wenn Prüfer kommen, müssen Sie die Dokumentation mit der entsprechenden Versionierung dahinter liefern. Das ist bei vielen Unternehmen noch ein großes Handicap. Aber ich sehe gerade an dieser Stelle aus wirtschaftlichen Gründen viel Potenzial.

Kizina: Software und digitale Prozesse können da viel Aufwand sparen und beim Vermeiden von Strafen helfen. Auf was sollten Unternehmen bei der Software besonders achten?

Klindtworth: Alte Archive oder DMS-Systeme sind nicht für die EU-DSGVO konzipiert. Der Fokus lag hier auf der Aufbewahrung. Löschen ist nicht in der Architektur vorgesehen. Das geht jetzt natürlich nicht mehr. Ihre Systeme und Prozesse müssen in der Lage sein, Daten zu vernichten, wenn die Zweckbindung wegfällt. Die Zeiten von WORM-Speichern sind jetzt gezählt. Aber Achtung: Wenn Sie auf ein neues System migrieren, müssen Sie die Zweckbindungs- und Ablauf-Fristen natürlich erst entsprechend einstellen, sonst haben Sie nichts gewonnen.

Kizina: Was mache ich denn, wenn ich aus Datenschutzgründen löschen muss, aber noch gesetzliche Aufbewahrungsfristen gelten?

Klindtworth: Sie verarbeiten Daten immer mit einem bestimmten Zweck. Wenn Sie eine Online-Apotheke sind und steuerliche Leistungsnachweise in Rechnungen dokumentieren, dann verarbeiten und archivieren Sie Daten für genau diesen steuerrechtlichen Zweck. Diese Rechnungen müssen Sie also weiter aufbewahren. Etwas anderes ist es bei Ergebnissen einer Laboruntersuchung: Das sind besonders kritische Daten, die Sie schützen und gegebenenfalls löschen müssen. Sie müssen aber nur Daten löschen, die nicht steuerrechtlich relevant oder wegen anderer regulatorischer Anforderungen nötig sind.

Kizina: Vielen Dank! Das bringt doch Licht ins Datenschutz-Dunkel. Zum Abschluss noch eine etwas heikle Frage: Was mache ich als Unternehmen, wenn doch ein Bußgeldbescheid über 10 Millionen ins Haus flattert? Gleich Insolvenz anmelden?

Klindtworth: Insbesondere wenn Sie ein geeignetes ECM-System, Kontrollen und Dokumentationen haben, müssen Sie sich nicht so schnell auf den Rücken legen und sagen „Ich bin schuld, alles ist vorbei“. Sie sollten sich natürlich juristischen Rat einholen. Und ich empfehle auch schon im Vorhinein einen Plan zu machen, wie Sie in so einem Fall in der Unternehmenskommunikation mit dem Thema umgehen. Aber am Ende werden viele Dinge erst höchstrichterlich entschieden. Es gibt ja viel Interpretationsspielraum. Damit Sie auch im Fall eines Rechtsstreits auf der sicheren Seite sind, ist eins wichtig: Sie müssen nachweisen können, dass Sie alles Machbare für den Datenschutz getan haben.

Das könnte Sie auch interessieren

Jetzt zum Newsletter anmelden

Die neusten Digitalisierungstrends, Gesetze und Richtlinien sowie hilfreiche Tipps direkt in Ihrem Postfach.

Wie können wir helfen?

+49 (0) 228 90896-789
Bitte rechnen Sie 8 plus 3.

Ihre Nachricht hat uns erreicht!

Wir freuen uns über Ihr Interesse und melden uns in Kürze bei Ihnen.

Kontaktieren Sie uns