Die Unternehmen sind nur unzureichend auf das Inkrafttreten der DSGVO vorbereitet. Wie bewerten Sie das?
Natürlich hätte ich mir gewünscht, dass alle Unternehmen bereits grünes Licht in Sachen DSGVO-Compliance geben könnten. Ohne die Deadline am 25.05.2018 wären jedoch deutlich weniger Unternehmen auf die DSGVO vorbereitet.
Dann hätten alle drängenden Fragen deutlich im Vorfeld gestellt und geklärt werden müssen. Optimal wäre gewesen, wenn Best-Practices für typische Datenverarbeitungen frühzeitig von den Kammern und Branchenverbänden zur Verfügung gestellt worden wären und Entwickler von Hard- und Software dementsprechend die Anforderungen der DSGVO umgesetzt hätten, also: Datenschutz by Design, datenschutzfreundliche Voreinstellungen, Sicherheitsfunktionalität und begleitende Dokumentation für den Nachweis der Compliance. Hersteller und teilweise auch Dienstleister sahen bislang nur wenig Veranlassung, ihre Entwicklungen zu ändern; erst jetzt entsteht die Nachfrage nach Lösungen, die mehr Datenschutz- und Sicherheitsfunktionalität mitbringen, aber bisher auf dem Markt allenfalls ein Nischendasein gefristet hatten.
Wer jetzt noch nicht völlig bereit für die DSGVO ist, soll nicht aufgeben, sondern die Ärmel hochkrempeln und die eigenen Prozesse im Unternehmen überprüfen, verbessern und dies dokumentieren.
Vor allem kleine und mittelständische Unternehmer beklagen sich über hohe Kosten und Unklarheiten – so bewerten nach Medienberichten die Behörden in den Ländern manche Details verschieden. Was sollte die Politik aus Ihrer Sicht tun, um Rechtssicherheit herzustellen?
Es gibt nach meiner Beobachtung zwischen den Datenschutzbehörden in den verschiedenen Bundesländern kaum Abweichungen. Insbesondere ist man sich einig in der Bewertung von guten Lösungen. Genau hinschauen muss man im Graubereich, der ohnehin ständig einem Wandel unterliegt: Wie groß ist das Risiko, welche Maßnahmen reichen aus und welche nicht, um das Risiko einzudämmen? Beispielsweise gab es vor einigen Jahren noch viele Fälle, in denen die Anbieter für personenbezogene Eingaben im Webformular auf eine TLS-Verschlüsselung verzichtet haben. Jetzt ist dies eine weitgehend akzeptierte Standardanforderung, die umzusetzen ist.
Größere Abweichungen gibt es möglicherweise zwischen den Datenschutzbehörden einiger Mitgliedstaaten. Hier muss erst der Kohärenzmechanismus aus der DSGVO seine Wirkung entfalten, um Einigungen herbeizuführen.
Von allen Akteuren wünsche ich mir Best-Practices, vom öffentlichen Dienst und von Projekten mit staatlicher Förderung erwarte ich eine Vorbildfunktion für deren Datenverarbeitung. Natürlich soll nicht jeder das Rad neu erfinden. Stattdessen brauchen wir dokumentierte und überprüfte IT-Systeme - im Sinne des Datenschutzes und auch der Informationssicherheit. Dies alles sind keine neuen Forderungen, aber mit Geltung der DSGVO kann ein Unternehmen dies viel leichter von den Herstellern und Dienstleistern einfordern.
Viele kleine und mittelständische Unternehmer befürchten eine Welle von Abmahnungen – eine berechtigte Sorge?
Mittlerweile sind die ersten Abmahnungen von sogenannten Abmahnanwälten bekannt geworden. Ob diese Abmahnungen allerdings rechtlich Bestand haben werden, wird nun geklärt werden müssen: In der DSGVO ist nämlich eine Regelung zu Abmahnungen enthalten, die in Vertretung einer betroffenen Person und ohne Gewinnerzielungsabsicht beispielsweise durch Verbraucherverbände getätigt werden können. Hier besteht ein juristischer Streit, inwieweit daneben überhaupt andere Arten von Abmahnungen - wie von den sog. Abmahnanwälten - zulässig sind.
Zwei Empfehlungen:
Wer sichtbar offene Flanken in der Datenschutz-Compliance hat, z.B. weil auf der Webseite die Datenschutzerklärung fehlt, läuft Gefahr, dass sich Nutzer beschweren oder Abmahnungen eintreffen. Dies ist ein wichtiger Punkt beim Umsetzen der DSGVO. Hinweise, wie man diesen Informationspflichten nachkommt, gibt es beispielsweise auf unserer Webseite.
Falls ein Abmahnschreiben eintrifft, sollte man seinen Rechtsbeistand einschalten, um zu prüfen, ob die Forderungen überhaupt eine Grundlage haben und welche weiteren Optionen bestehen.
Viele Netz-Nutzer indes legen indes großen Wert auf Datenschutz. Inwieweit kann die DSGVO für die Unternehmen auch eine Chance darstellen?
Die erste Chance liegt in der internen Organisationen: Die Selbstüberprüfung der eigenen Prozesse auf DSGVO-Konformität führt in den allermeisten Fällen zu mehr Klarheit über Zuständigkeiten und zu Verbesserungen in den Abläufen. Als Beispiel: Oft braucht man die Daten gar nicht so lange, sondern kann sie früher (automatisiert) löschen oder nur noch statistische Werte aufbewahren. Auch bei den Dienstleistern muss man schauen, inwieweit ein hoher Datenschutzstandard angeboten wird oder ob Alternativen besser wären.
Die DSGVO bietet also einen Anlass für ein Aufräumen und Sortieren, für mehr Transparenz für die Verantwortlichen. Das ist auch die Bedingung dafür, dass jedes Unternehmen das Risiko für seine Daten im Griff hat.
Mit der Beherrschbarkeit des Risikos ist auch verbunden, dass die Gefahr für Datenpannen sinkt, denn damit könnte man leicht das Vertrauen der Kundschaft verspielen. Gut für die Vertrauenswürdigkeit ist auch ein professioneller Auftritt gegenüber den Kunden und ein verbindlicher Umgang mit etwaigen Beschwerden. Mit Geltung der DSGVO erwarten die Nutzer mehr Informationen und mehr Datenschutzbewusstsein. Wer als Unternehmen hier punkten kann, kann sich damit auch Marktvorteile gegenüber Konkurrenten im In- und Ausland verschaffen, die sich um Datenschutz wenig kümmern.
Schließlich besteht auch noch die Chance, die eigenen guten - möglicherweise später sogar zertifizierten - Lösungen zu exportieren, denn erstmalig sehen wir eine große Nachfrage nach eingebautem Datenschutz.