Nachgefragt : DSGVO: Was Unternehmen jetzt tun sollten
Mit der DSGVO verbindet sich die Hoffnung, den Datenschutz für die Unternehmen zu harmonisieren und personenbezogene Daten besser zu schützen. Herr Raffling, greift die neue DSGVO nicht zu kurz?
Gerhard Raffling: Überhaupt nicht. Der entscheidende Punkt bei der DSGVO ist, dass endlich ein einheitlicher Standard gefunden wurde, der in unserem Binnenmarkt für alle Teilnehmer die gleichen Anforderungen stellt. Dadurch erhalten die EU-Länder einen höheren Schutzgrad und gleichzeitig entsteht deutlich mehr Transparenz. Meiner Einschätzung nach ist der EU-Kommission mit der DSGVO ein großer Schritt gelungen. Das bedeutet, viele Fragen, die in den einzelnen Datenschutzgesetzen der Mitgliedstaaten bisher ausgeklammert wurden, konnten nun mit dieser Verordnung berücksichtigt werden.
Welche Änderungen sind besonders wichtig?
Da die Regelungen quasi uneingeschränkt für alle EU-Länder gelten, wird es für alle Beteiligten insgesamt einfacher und damit deutlich leichter. Das bedeutet, die Unternehmen müssen sich nicht mehr mit den verschiedensten Regelungen der einzelnen EU-Länder auseinandersetzen. Dies gilt natürlich auch für Unternehmen, die ihrerseits mit den Unternehmen der EU in Kontakt treten. Eine weiter wichtige Änderung ist die Meldepflicht von Datenschutzverletzungen. Entdeckt ein Unternehmen einen Datenbruch bzw. einen Angriff durch Hacker, so besteht mit der neuen Verordnung eine Meldepflicht innerhalb von 72 Stunden sowie ein Procedere, wie in diesem Fall verfahren werden muss.
Der 25. Mai 2018 ist eine echte Deadline. An was liegt es, dass sich zum Beispiel laut Umfragen fast die Hälfte der deutschen Unternehmen noch nicht mit der neuen EU-Verordnung beschäftigt hat?
Dazu muss man wissen, dass es einerseits Unternehmen gibt, die auf Grund ihrer Geschäftstätigkeit viele personenbezogenen Daten verarbeiten und solche, die das nicht tun. Aus meinem Erfahrungsbereich weiß ich, dass erstere diese Deadline absolut verinnerlicht haben. Das heißt, es wurden Budgets für die notwendigen Maßnahmen definiert und die Umsetzungen haben zum großen Teil längst begonnen. Zur Veranschaulichung: Es gibt rund 300.000 Unternehmen in Österreich, davon sind etwa 90 Prozent KMU. Ich glaube, dass diese Gruppe, vor allem wenn sie nichts mit personenbezogenen Daten zu tun haben, sich auch nicht mit der DSGVO auseinander gesetzt hat. Denn das ist für sie auch nicht relevant.
Ist die Deadline überhaupt realistisch?
Sie ist mit den zwei Jahren Vorlaufzeit auf jeden Fall realistisch. Das entspricht durchaus einem Zeitrahmen, der für die Unternehmen ausreicht, um sich dafür zu rüsten.
Werden die geforderten Maßnahmen nicht rechtzeitig oder unvollständig umgesetzt, drohen massive Sanktionen. Welche sind das? Sind diese bei den Unternehmen hinreichend bekannt?
Bei Missachtung der Verordnungen kann das Geldbußen von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs nach sich ziehen. Das ist den großen Firmen definitiv bekannt und stellt auch für sie eine große Motivation dar. Dazu zählen aber nicht nur hohe Geldbußen, sondern auch empfindliche Schadenersatzansprüche der betroffenen Personen und nicht zuletzt die nachhaltigen Imageschäden für die Unternehmen. Letztere sind aus meiner Sicht ein ganz wichtiger Grund. In erster Linie betrifft dies Unternehmen, die mit Endkunden kommunizieren. Früher war das Thema Datenschutz bzw. Datensicherheit für viele Unternehmen eine Art Kostenblock. Controller verglichen den maximal denkbaren Verlust mit den Kosten für die Umsetzung der Auflagen. Großunternehmen, die Imageschäden etc. befürchteten, setzten die Vorgaben um, wogegen die Mittelständler quasi eine Kosten-Nutzenanalyse aufmachten. Viele dieser betroffenen Unternehmen sind heute durch die großen Pönale der DSGVO deutlich abgeschreckt. Das wird ernst genommen. Denn so wirken sich Datenschutzverletzungen noch kritischer oder gar existenzbedrohend für das verantwortliche Unternehmen aus. Hier sind wir mit der neuen Datenschutzverordnung einen wesentlichen Schritt weitergekommen.
Welche Herausforderungen sehen Sie bei der Umsetzung des „Rechts auf Vergessenwerden“?
Ein ganz schwieriges Thema. Das liegt im Wesentlichen daran, dass es so viele Möglichkeiten gibt, wo Daten generiert und abgelegt werden können. Das heißt, die Komplexität der IT, die hier reinspielt, ist gleichsam die große Herausforderung dazu. In der Vergangenheit hatten wir 95 Prozent der Daten in einem Rechenzentrum. Heute bzw. in naher Zukunft liegen vielleicht nur noch rund 40 Prozent der Daten im eigenen Rechenzentrum, 20 Prozent in der Cloud, 25 Prozent kommen von Applikationen, 5 Prozent in Endgeräten wie Laptops und 10 Prozent in Mobiltelefonen. Das bedeutet, man muss genau wissen, wo sich welche Daten befinden, damit sie überhaupt löschbar sind. Eine klare Datenklassifizierung liefert die Grundlage für praktikable Lösungen. Diese stehen natürlich bereit.
Die Verordnung selbst empfiehlt den Datenschutz durch Technik bzw. datenschutzfreundliche Voreinstellungen sicherzustellen. Was kann man sich darunter vorstellen?
Eine datenschutzfreundliche Voreinstellung („data protection by default“) bedeutet, dass der User aktive Schritte unternehmen und bspw. Häkchen setzen muss und so sein Einverständnis gibt, dass seine Daten verarbeitet werden dürfen. Datenschutz durch Technik („Data protection by design“) heißt, alle nachfolgenden Prozesse müssen so gestaltet werden, dass die Daten sicher sind, so kurz wie möglich im Unternehmen verbleiben und möglichst wenig Personen zugänglich gemacht werden können. Diese Überlegungen sind zum Beispiel bei der unternehmensweiten Einführung einer neuen Software anzustellen. Die DSGVO übernimmt hierfür eine Appellfunktion. Wobei die Grundeinstellungen im Vorfeld zu leisten sind.
Welche konkreten Schritte müssen Unternehmen nun umsetzen?
Die einzelnen Schritte sind: Projektteams aus allen relevanten Abteilungen bilden, einen Ressourcen- und Budgetplan aufstellen, Risikoanalysen (Gap-Analysen) und Zielformulierungen erstellen, interne Stakeholder informieren, Planung einzelner Prozesse (Herstellung der Compliance), Vertragsmanagement mit Partnern und Lieferanten erarbeiten (Absicherung auch auf der externen Seite) sowie umfassende Projektdokumentationen verfassen. Dies ist aus heutiger Sicht, beim Blick auf den Kalender, ein großes Projekt mit einem herausfordernden Zeitrahmen.
Sind First-Mover-Effekte durch eine schnelle Umsetzung der Datenschutz-Grundverordnung denkbar?
Nach einer erfolgreichen Implementierung kann die DSGVO bestimmt auch als Marketingargument dienen. Nach dem Motto: Bei uns ist jetzt schon alles sicher, wir sind compliant!
Vielen Dank für das Gespräch! Das Gespräch führte Otto Geißler