Neue EU-Datenschutzgrundverordnung setzt Unternehmen unter Zugzwang

Nachrichten aus der Region

17.05.2017

Bis zum Mai 2018 muss die neue EU-Datenschutzgrundverordnung umgesetzt werden, die bereits im Jahr 2016 verabschiedet wurde. Für Unternehmen bringt dies einige Änderungen mit sich – so kommen Firmen künftig bei der Dokumentation in die Beweispflicht und auch bei den Strafen geht es deutlich nach oben. Andreas Stammhammer und Axel Vogelsang von Kämmer Consulting verraten, was nun dringend unternommen werden sollte.

Vogelsang erklärt, dass viele der „neuen“ Paragrafen an deutsches Recht angelehnt seien, dennoch würden sich Änderungen ergeben, auf die eine Vorbereitung und Anpassung dringend erforderlich sei. Mit dem Bundesdatenschutzgesetz habe man in Deutschland bereits einen hohen Standard, dennoch müsse an einigen Stellen nachgebessert werden. Besonders bei der Dokumentation würde es oftmals noch keine klaren Prozesse und Vorgaben in den Unternehmen geben.

Mehr Dokumentation gefordert

„Dieser Punkt ist allerdings enorm wichtig, da es in Zukunft zu einer Beweislast-Umkehr kommt. Wenn sich künftig ein Datenschutz-Vorfall ereignet, dann müssen die Unternehmen beweisen, dass sie alles korrekt eingehalten haben. Momentan muss die Aufsichtsbehörde ein Fehlverhalten nachweisen. Das wird der größte Knackpunkt für die Unternehmen, da optimal aufgestellt zu sein“, so Vogelsang. E würde keinesfalls ausreichen, wenn ein Unternehmen einen eigenen Datenschutz-Beauftragte benannt hätte, der die Aufgaben bisher so nebenbei erledigt hätte. Mit den neuen Bestimmungen sei dies so keinesfalls weiterhin aufrecht zu erhalten. Zudem würden durch die neue Verordnung auch die Betroffenen-Rechte gestärkt. Das Recht auf Vergessen werden wird gestärkt, und der freie Datenverkehr soll vereinfacht werden, so dass ein Betroffener seine Daten auch auf einen anderen Anbietern übertragen kann.

 

Wie ist die aktuelle Situation?

„Einige Unternehmen gehen leider wirklich fahrlässig mit dem Datenschutz um, dass müssen wir auch immer wieder bei Begehungen feststellen. Da werden im Serverraum Getränke gelagert und die Tür steht offen, in der Personalabteilung liegen Akten auf dem Tisch und niemand ist da. Durch die Umkehr bei der Beweislast, kann es für die Unternehmen dann vor Gericht schnell schwierig werden zu beweisen, dass sie sich korrekt verhalten haben. Zukünftig drohen durch die neue Verordnung dann auch drakonische Strafen. Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, können Bußgelder von bis zu zehn beziehungsweise 20 Millionen Euro oder zwei beziehungsweise vier Prozent des weltweiten Jahresumsatzes des Unternehmens veranschlagt werden“, erklärt Stammhammer. Die Aufsichtsbehörden seien bisher relativ inaktiv gewesen, wenn es um Kontrollen ginge, das werde sich aber in Zukunft auch ändern. „So ist es sicherlich auch eine große Aufgabe in den Unternehmen erst einmal festzustellen, welche Daten haben wir überhaupt, wo sind diese abgespeichert und wie können wir bestimmte Prozesse etablieren? Um denn den neuen Anforderungen gerecht zu werden“, so Vogelsang. Ausgeweitet werden solle außerdem die Datenschutzfolgeabschätzung – das bedeute, es muss im Vorfeld geschaut werden, welche Folgen können durch eine Veränderungen eintreten, welche Risiken bestehen.

 

Viele Faktoren sprechen für mehr Aufmerksamkeit

Viele Unternehmer würden sich zwar nach und nach für die neuen Techniken öffnen. Dennoch herrsche große Unsicherheit wenn es um Cloud-Lösungen und Cybersicherheit gehe. „Viele Unternehmer wollen eben immer noch am liebsten alles selbst machen und nichts auslagern, die Daten sind aber im Rechenzentrum und bei Experten deutlich sicherer. Es muss im Kopf aber erst einmal ankommen, dass dies auch so ist“, erklärt Stammhammer.Auch aus betriebswirtschaftlicher Sicht sei das Thema von enormer Wichtigkeit. Bei Geschäftsabschlüssen werde bereits jetzt sehr genau auf die IT-Sicherheit geschaut, diesen Punkt sollten Firmen nicht unterschätzen, sind sich die Experten sicher.

 

Positive Entwicklung?

Natürlich würden sich durch die Neuregelung Vor- Nachteile ergeben, je nach persönlicher Betroffenheit und Sichtweise, findet Vogelsang. Festzuhalten sei aber, dass es ab 2018 endlich einheitlich Regeln in der EU gebe. So könnten sich einige Mitgliedstaaten nicht mit laschen Lösungen durchwurschteln. Dazu gelte, dass die EU-Richtlinie auch bei Unternehmen greife, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten.

 

Was ist zu tun?

Vieles sei zum momentanen Zeitpunkt beschlossen aber noch nicht genau definiert, es sei ein laufender Prozess. „Es wird noch ein paar Gerichtsurteile und Jahre dauern, bis alles genau festgezurrt ist. Es gibt da immer Auslegungsunterschiede, im Jahr 2020 ist wahrscheinlich das Meiste endgültig geregelt“ vermutet Stammhammer. Es empfehle sich aber bereits jetzt Expertenrat mit dazu zu nehmen – entweder durch Schulungen des eigenen Datenschutzbeauftragen oder eben durch eine externe Lösung. Ein Audit, eine Feststellung des Ist-Zustandes (Kosten zwischen 3.000 und 5.000 Euro), und eine anschließende Begleitung sei schon für rund 3.000 Euro zu haben. Dann lagere man die Sicherheit aus und habe zudem auch die Möglichkeit einer rechtlichen Begleitung. Meist wäre dies die weitaus kostengünstigste Variante. Einfach abwarten und nichts tun, werde in jedem Fall nicht zu einer Lösung des Problems führen, so die Experten. Es sei dringend angeraten jetzt zu handeln.