11.12.2017 (Michael Hüllskötter) Drucken
(4.1 von 5, 8 Bewertungen)

»Das Thema Datenschutz wird mit der DSGVO nicht neu erfunden«

Wenn die zweijährige Übergangsfrist der DSGVO endet, zeigt sich welche Unternehmen dafür bereit sind – und welche nicht. Im folgenden Interview sprachen wir mit einem externen Datenschutzexperten über mögliche Folgen. Olaf Tenti von GDI zeigt, warum die DSGVO nicht rein technisch zu bewerten ist und welcher Aufwand hinter dem Ganzen steckt.

  Herr Tenti, was kommt auf Unternehmen am 25. Mai 2018 in Sachen DSGVO alles zu?

Olaf Tenti, GDIOlaf Tenti, GDITenti: Grundsätzlich müssen sich Unternehmen darauf einstellen, bis zum 25. Mai 2018 eine genaue Rechenschaft über die Verarbeitung ihrer Daten ablegen zu können – am besten schon davor. Dabei sollte man sich bereits heute vor Augen führen, dass künftig Bußgelder fällig werden, wenn Firmen keine genauen Auskünfte darüber erteilen können. Allerdings muss in diesem Zusammenhang die Frage erlaubt sein, inwieweit diese enormen Strafen, die im Raum stehen, auch wirklich verhängt werden. Darüber hinaus werden sich bei der Einwilligung zur personenbezogenen Datenverarbeitung einige Dinge ändern. Das betrifft vor allem die Erhebung von Daten Minderjähriger, also von Kindern und Jugendlichen unter 16 Jahren. Zudem müssen geeignete Prozesse in Unternehmen eingeführt werden, die sicherstellen, dass sie Datenauskünfte erteilen können und diese bereits in der Vergangenheit erteilen konnten. Ansonsten muss man festhalten, dass mit der DSGVO der Datenschutz nicht neu erfunden wird und Regeln und Vorschriften dazu auch schon 1990 existierten – auch wenn ich manchmal den Eindruck gewinne, dass mit der Neufassung des Datenschutzes das Thema ganz neu bewertet wird. Wird es aber nicht.

  Worauf sollten sich die Unternehmen einstellen, was müssen sie also bis zum 25. Mai 2018 auf jeden Fall erledigt haben?

Tenti: Dazu gehört auf jeden Fall ein Verzeichnis darüber, wie Unternehmen personenbezogene Daten verarbeiten und bestimmte Prozesse zur Meldung von Datenverlusten und zur Auskunft einzelner Datensätze definieren und einführen. Darüber hinaus muss jedes Unternehmen eine Risikofolgeabschätzung abgeben können, was das Verarbeiten besonders sensibler Daten betrifft. Dazu gehören beispielsweise Aspekte wie die sexuelle Orientierung, die Zugehörigkeit zu einer Partei oder Gewerkschaft und ähnliche Informationen, die einer gesonderten Behandlung bedürfen.

  Auf welchen vorbereitenden Aufwand sollten sich Unternehmen in Sachen DSGVO einstellen?

Tenti: Das hängt natürlich maßgeblich von der Größe und der Struktur eines Unternehmens ab. Angenommen, ein mittelständisches Unternehmen weist zwei Standorte auf und beschäftigt etwa 300 Mitarbeiter. Will das Unternehmen in solch einem Fall die vorbereitenden DSGVO-Arbeiten alleine bewältigen (also ohne die Hilfe eines Datenschutzexperten), sollte es rund sechs Monate Arbeitsaufwand in Betracht ziehen. Dieser Zeitaufwand lässt sich mithilfe einer externen Beratung auf ein bis zwei Monate reduzieren. Diese Zahlen beziehen sich allerdings auf Firmen, die in Sachen Datenschutz noch gar nichts unternommen haben. Leider trifft das nach wie vor auf einen Großteil der Unternehmen zu, speziell im mittelständischen Umfeld.

  Welche Behauptungen kann man denn unter der Bezeichnung »DSGVO-Mythen« einordnen?

Tenti: Da gibt es einige zu nennen. So wird gebetsmühlenartig behauptet, dass der Datenschutz, so wie ihn die DSGVO festlegt, durch Technik neugestaltet wird, was aber ganz und gar nicht den Tatsachen entspricht. So musste schon immer nachgewiesen werden, dass man mithilfe geeigneter technischer Maßnahmen die Sicherheit personenbezogener Daten gewährleisten kann. Das betrifft auch das explizite Löschen von Daten, was ebenfalls seit 1990 möglich sein muss.

  Welche technischen Maßnahmen sollte man in Sachen Datenspeicherung treffen?

Tenti: Das ist leider ein so komplexes Thema, dass ich dazu keine genaue Antwort geben kann. Einen guten Ratschlag hätte ich in diesem Zusammenhang aber parat: Unternehmen sollten nicht glauben, dass man sämtliche Arbeiten und Aufgaben im Bezug auf die DSGVO mithilfe geeigneter Werkzeuge erledigen kann. Die DSGVO gibt nicht explizit vor, wie Daten von Datenspeichern entfernt werden müssen. Außerdem, wenn man personenbezogene Daten ordnungsgemäß speichert und davon beispielsweise Backups anlegt, kann man gar nicht genau sagen, wo sich diese Daten im einzelnen befinden. Natürlich müssen Unternehmen auf Anforderung eines Betroffenen aus der jeweiligen Anwendung seine Daten löschen können.