Verstöße oder Verweigerung gegen die DSGVO können teuer werden
Anja Wittenberg: Herr Sudhaus, am 25. Mai 2018 „wird es ernst“, sagen Sie. Was müssen Unternehmer denn befürchten, wenn sie sich nicht auf die neuen gesetzlichen Vorgaben einstellen?
Hans-Jörg Sudhaus: Im schlimmsten Fall kann es durchaus sehr unangenehm und auch teuer werden. Aktuell regelt das noch die Bußgeldvorschrift nach dem Bundesdatenschutzgesetz. Das kann mit einer Rüge beginnen, das kann aber auch hohe Bußgelder bedeuten. Die Bußgeldvorschrift nach der neuen EU-DSGVO sieht eine maximale Geldbuße von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes vor. Grundsätzlich regeln das im Detail die Mitgliedsstaaten selbst. Und die Bemessung der Sanktion hängt natürlich auch immer von bestimmten Kriterien ab, etwa die Art und Schwere der Verfehlung, die Frage, ob es sich um einen vorsätzlichen oder fahrlässigen Verstoß handelt und so weiter.
"Schonfrist" läuft bald ab
Wittenberg: Die offizielle deutsche Fassung der „EU-DSGVO“ gibt es ja schon seit Frühjahr 2016. Was ist an dem Datum 25. Mai 2018 so brisant?
Sudhaus: In den vergangenen anderthalb Jahren wurden die gesetzlichen Regelungen in Deutschland laufend an die EU-DSGVO angepasst, die im Mai 2016 in Kraft getreten ist. Den EU-Mitgliedsstaaten wurde zwei Jahre Zeit gegeben, die Verordnung auf ihre Gesetzgebung anzupassen, und ab dem 25. Mai 2018 gilt die EU-DSGVO dann unmittelbar und direkt in allen EU-Ländern – ohne weitere Schonfrist. Das heißt: Ab diesem Datum können die EU-Datenschutzbehörden die oben genannten Sanktionen verhängen, wenn die Vorgaben in einem Unternehmen nicht erfüllt werden. Aber vielleicht sollte man das auch mal positiv sehen: Mit dieser Verpflichtung geht ja auch die Entwicklung der Digitalisierung unserer Unternehmen einher. Hier haben wir ja nach wie vor erheblichen Aufholbedarf, und viele Unternehmen werden von der Digitalisierung erheblich profitieren – auch wenn es Mühe macht.
Datenschutzgrundverordnung: nicht neu, aber deutlich strenger zugunsten der (IT-) Sicherheit
Wittenberg: Ist das denn wirklich alles neu?
Sudhaus: Natürlich ist nicht alles neu, aber es gibt einige neue Anforderungen für Unternehmen, die es in sich haben. Das wird in unserem Leitfaden auch deutlich. Das ist für die Gesamtheit an vielen Stellen ja auch sinnvoll und gut, zum Beispiel die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen bei elektronischen Geräten. Aber vieles bringt auch erheblichen Mehraufwand für die Unternehmen mit sich. Was Unternehmen vor allem bedenken sollten: Betrieblicher Datenschutz ist ohne IT-Sicherheit nicht möglich. Beim Datenschutz gibt es das Risiko, das Persönlichkeitsrechte verletzt werden, bei der IT-Sicherheit das Risiko, dass Daten und Informationen verloren gehen, zerstört oder missbräuchlich genutzt werden. Daraus ergibt sich schon von allein eine Verflechtung, da ja beide Risikobereiche Schnittmengen aufweisen. Daher meine Empfehlung: Regeln Sie sowohl Ihren Datenschutz als auch die IT-Sicherheit in einem Zug!
Geeignete Software für den Prozess und die Dokumentations- und Nachweispflichten
Wittenberg: Wie sollten Unternehmer das in der Praxis angehen?
Sudhaus: Das Arbeitsumfeld mit allen Sozialgewohnheiten und die unternehmerischen Vertraulichkeitsanforderungen müssen aktiv gemanagt werden. Dazu muss über ein funktionierendes Informationssicherheits-Managementsystem – kurz ISMS – das Bewusstsein der Mitarbeiter geschärft werden. Fachleute sprechen von „Awareness”, und gemeint ist die höhere Sensibilität für Datenschutz und IT-Sicherheit, aber auch für die Bearbeitung besonders sensibler Daten im Allgemeinen. Die Frage, die sich nun in vielen Firmen stellt, lautet: Wie gestalte ich denn nun den betrieblichen Datenschutz und die IT-Sicherheit in meinem Unternehmen möglichst einfach, zuverlässig und effizient? Die Sachlage ist durchaus komplex und man wird das im betrieblichen Ablauf auch nicht mal so nebenbei erledigen können. Zur Vereinfachung bei der Bearbeitung dieser Aufgabe haben wir daher einen digitalen Leitfaden entwickelt. Mit dem Projektmanagement-Tool factro® – übrigens im September 2017 Testsieger bei netzsieger.de in der Kategorie Projektmanagementsoftware – können Unternehmen den betrieblichen Datenschutz und die IT-Sicherheit rechtssicher managen. Factro® steuert alle Aufgabenpakete und Aufgaben, koordiniert Verantwortlichkeiten sowie Termine und hinterlegt die notwendigen Dokumente. Jedes Unternehmen kann die digitalen Vorlagen des Leitfadens übernehmen und an die eigenen Unternehmensbelange anpassen. Wir von CMS beraten Sie gerne dabei.
Quelle: Wirtschaft aktuell PR-Sonderpublikation: Die Berater, Seite 15-16
Bildnachweis: Fotolia.de/peshkova
INFO
Hans-Jörg Sudhaus ist Autor des Leitfadens „Betrieblicher Datenschutz“, der ein nachvollziehbares und komplett durchstrukturiertes Instrument ist, das Unternehmen in die Lage versetzt, den gesetzlich geforderten betrieblichen Datenschutz in Form eines konkreten Projektes abzuarbeiten. Der Leitfaden beinhaltet Handlungsempfehlungen und Mustervorlagen, und mittels des Projektmanagement-Tools factro lässt sich die komplette Umsetzung des betrieblichen Datenschutzes „rechtssicher und stressfrei regeln“, so der Autor. Die Methode des Leitfadens orientiert sich an der Vorgehensweise des BSI (Bundesamt für Sicherheit in der Informationstechnik). Einen ähnlich aufgebauten und strukturierten Leitfaden hat Sudhaus zum Thema „GoBD“ entwickelt.