E&E:
Einer Umfrage des Verbands der deutschen Telekommunikationsbranche Bitkom zufolge hat sich ein Drittel der deutschen Unternehmen noch überhaupt nicht mit der europäischen Datenschutzgrundverordnung (EU-DSGVO) befasst. Wieso hat das offensichtlich für viele Unternehmen keine hohe Priorität?
Nader Henein:
Das ist vollkommen verständlich. Von der EU-DSGVO sind vor allem Firmen betroffen, deren Geschäft stark auf persönlichen Daten beruht. Die meisten Unternehmen verarbeiten aber nur eine sehr begrenzte Menge solcher Daten. Sie müssen nur mit den persönliche Daten ihrer Angestellten, einiger Partnerunternehmen und von Kunden umgehen. Deshalb ist auch der Aufwand für die Umsetzung der EU-DSGVO nicht besonders groß und sie benötigen dafür nicht soviel Zeit. Anders sieht das natürlich bei großen multinationalen Banken aus, die eine immense Menge an Kundendaten und Transaktionen verwalten, oder wenn das Geschäft der Firmen vor allem auf Daten beruht, etwa bei sozialen Netzwerken. Diese Unternehmen beschäftigen sich sicherlich bereits seit sechs Monaten oder länger mit der EU-DSGVO.
Unternehmen, die noch nicht mit der Umsetzung begonnen haben, können also trotzdem noch rechtzeitig damit fertig werden? Der Stichtag ist immerhin schon der 25. Mai 2018.
Auf jeden Fall. Wichtig ist es dafür zu definieren was ‚fertig werden’ bedeutet. Gänzlich umsetzen lässt sich die Verordnung eh nicht. Ein Restrisiko bleibt immer, egal wie klein oder groß ein Unternehmen ist und mit was es sein Geld verdient. Firmen sollten sich schlicht Gedanken machen, welche und worin konkret die Risiken für sie bestehen und die Mehrheit von diesen abstellen. Entscheidend ist überhaupt erst einmal zu erfassen, welche persönlichen Daten man überhaupt verarbeitet und stärker darauf zu achten, wie mit diesen intern und in der Zusammenarbeit mit anderen Firmen umgegangen wird.
Unternehmen müssen die Umsetzung am 25. Mai also noch gar nicht beendet haben?
Nein, so meine ich das natürlich nicht. Natürlich müssen sich die Unternehmen mit der EU-DSGVO beschäftigen und sie sollten sie zumindest zu 80 oder 90 Prozent umgesetzt haben. Sie dürfen sie nicht komplett ignorieren. Von allen zu erwarten, dass sie am 25. Mai komplett fertig sind, ist aber einfach unrealistisch. Selbst Firmen die sich sehr intensiv mit der Verordnung befasst haben, müssen gewissen Risiken in Kauf nehmen.
80 bis 90 Prozent reichen somit am Stichtag?
Pauschal ist das schwierig zu beantworten. Lassen Sie es mich so ausdrücken: Wichtig ist es, den Hauptteil bis zum 25. abzuschließen und sich gleichzeitig bewusst zu sein, was noch fehlt. Für den fehlenden Teil sollten Firmen eine Risikobewertung und ein Risikomanagement einrichten. Das reduziert den Schaden, der eventuell auftritt. Ich glaube einfach nicht, dass eine vollständige Umsetzung für viele Firmen realistisch ist. Sie sollten natürlich versuchen dem möglichst nahe zu kommen.
In diesem Fall müssen Firmen allerdings mit Strafen rechnen.
Natürlich. Die EU-DSGVO trat vor fast zwei Jahren in Kraft. Die EU-Kommission hat den Unternehmen eine lange Übergangsfrist eingeräumt. Ich gehe davon aus, dass sie deshalb sofort nach dem 25. Mai anfangen Verstöße zu ahnden. Mit diesem Risiko müssen Unternehmen, die mit der Umsetzung noch nicht soweit sind, rechnen.
Was sind die wichtigsten Maßnahmen, die Unternehmen einführen sollten?
Als erstes müssen sie überprüfen, welche Daten sie überhaupt besitzen. Oft ist unklar, was überhaupt alles in den Archiven liegt. Bei diesen Daten muss geklärt werden, ob sie für die EU-DSGVO eine Rolle spielen oder nicht. Der nächste Schritt besteht darin, die persönlichen Daten zu minimieren. Viele Firmen haben zum Beispiel noch Daten von Mitarbeitern von vor 10 Jahren gespeichert, die gar nicht mehr im Unternehmen sind. Solche Daten, die nicht mehr gebraucht und verwendet werden, sollten die Firmen reduzieren. Sie müssen sie nicht löschen, sondern nur offline nehmen, also verhindern, dass jemand unbefugt darauf zugreift. Das Ziel dieser Maßnahmen ist es, die Berührungspunkte mit der EU-DSGVO möglichst zu reduzieren. Je weniger persönliche Daten Unternehmen besitzen, desto weniger können sie gegen die Verordnung verstoßen.
Das leuchtet ein. Welche Schritte sind noch nötig?
Entscheidend ist auch zu überprüfen, ob die Dienstleister mit denen man zusammenarbeitet, ebenfalls die Verordnung einhalten. Speichert man persönliche Daten zum Beispiel in der Cloud, dann muss sichergestellt sein, dass der Cloud-Hoster sich an die Regularien der EU-DSGVO hält. Dieser muss zum Beispiel verhindern, dass Dritte Zugang zu den gespeicherten persönlichen Daten erhalten.
Firmen benötigen außerdem einen Datenschutzbeauftragten. Welche Aufgabe hat er?
Der Datenschutzbeauftragte ist verantwortlich für die Einhaltung der EU-DSGVO. Er überprüft und kontrolliert die firmeneigene Datenschutzstruktur. Unternehmen müssen deshalb jemand einstellen, der sich damit auskennt, oder einen Mitarbeiter dementsprechend schulen.
