Zwei Jahre ist es jetzt her, dass die DSGVO viele Unternehmer zum Verzweifeln gebracht hat. Inzwischen ist zwar Ruhe eingekehrt, doch in den vergangenen 24 Monaten wurden erhebliche Bußgelder wegen Verstößen verhängt. Grund genug, den Scheinwerfer einmal wieder auf das Thema Datenschutz zu richten. Im Interview Wolf-Werner Alebrand, Spezialist für Compliance- und Datenschutz-Management.
Herr Alebrand, Ende Mai vor zwei Jahren trat die Datenschutzgrundverordnung (DSGVO) in Kraft. Wo stehen wir heute?
Wolf-Werner Alebrand: Obwohl die DSGVO bereits zwei Jahre vor ihrem Inkrafttreten im Jahr 2018 angekündigt wurde, schienen viele Unternehmen doch von ihr überrascht worden zu sein. Erst wenige Wochen, oft erst wenige Tage vorher, häuften sich auch bei mir die Anfragen, wie nun die Bestimmungen umzusetzen sind. Und bis heute haben viele Unternehmen noch nicht gänzlich ihre Hausaufgaben erledigt. Insgesamt mangelt es noch an Klarheit in der Anwendung, der Beratungsbedarf ist also hoch geblieben. Aber die zunächst befürchteten großen Abmahnwellen sind ausgeblieben.
Kann man schon eine Zwischenbilanz ziehen?
Wolf-Werner Alebrand: Die EU-Kommission zieht in ihrem Bericht aus dem Juni eine weitestgehend positive Bilanz der ersten zwei Jahre. [Anm. der Redaktion: nachzulesen hier]. Danach genießt die DSGVO national eine hohe Akzeptanz und wurde, mit Ausnahme von Slowenien, von den europäischen Mitgliedsstaaten in eigenes nationales Recht umgesetzt. Und auch international hat die DSGVO Schule gemacht. Beispielsweise haben Länder wie Japan oder Brasilien oder Staaten wie Kalifornien mit ihrem California Consumer Privacy Act die Regelungen adaptiert. Das macht die wirtschaftliche Zusammenarbeit einfacher.
Die drohenden Bußgelder aufgrund von Verstößen gegen die DSGVO können mit bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens ja erheblich sein. Wurden diese auch durchgesetzt?
Wolf-Werner Alebrand: Die Zahl der wirksamen Verfahren sind gestiegen. Aufsehen erregt haben beispielsweise die hohen Strafen für Unternehmen wie die Hotelkette Marriott in Höhe von 110 Millionen Euro oder Google in Höhe von 50 Millionen Euro. Auch in Deutschland gab es hohe Bußgelder. Die Deutsche Wohnen musste beispielsweise 14,5 Millionen Euro dafür zahlen, dass sie Mieterdaten nicht rechtzeitig gelöscht haben. Gute Gründe also, sich als Unternehmen intensiv mit der DSGVO auseinanderzusetzen.
Was hat sich Ihrer Ansicht nach seit Inkrafttreten der DSGVO zum Positiven hin verändert?
Wolf-Werner Alebrand: Mit Einführung der DSGVO hat sich auch das Bewusstsein über die Sensibilität von Daten verändert, das kann man auch leicht bei sich selbst feststellen. Datenschutz ist nicht nur „nice to have“, sondern ein Grundrecht. Und das kann jetzt besser durchgesetzt werden. Die Anforderungen an den Umgang mit personenbezogenen Daten wurden erheblich verschärft. Zudem ist der Datenschutz als Verkaufsargument angekommen, auch in Hinsicht auf Compliance sowie erste Zertifizierungen.
Es ist vielfach zu lesen, dass die EU-Verordnung speziell bei europäischen Unternehmen wie ein Katalysator für mehr und vor allem wirksamere IT-Sicherheit gesorgt hat. Inwiefern ist das so? Und: teilen Sie diese Ansicht?
Wolf-Werner Alebrand: Ich nenne es gerne den „heilsamen Druck der Gesetze“. Die angedrohten Bußgelder erzeugen den notwendigen Handlungsdruck, damit die Regeln auch umgesetzt werden. Ansonsten fragen sich viele Unternehmen: Warum kümmere ich mich überhaupt um den Datenschutz? Aus diesem Zwang heraus werden Projekte aufgesetzt und Prozesse unter die Lupe genommen, für die vorher oft nicht die Ressourcen bereitgestellt wurden. Insofern hat so ein Gesetz auch positive Nebeneffekte, das gilt auch für einzelne Bereiche wie die IT.
Mit der Corona-Pandemie wurden viele Arbeitsplätze quasi über Nacht an den heimischen Schreibtisch oder gar Küchentisch verlagert. Wie geht es dem Datenschützer damit?
Wolf-Werner Alebrand: Corona war zunächst einmal ein Gegenspieler zum Datenschutz. Viele Unternehmen mussten möglichst schnell ihre herkömmlichen Arbeitsprozesse umstellen. Nur wenige hatten aufgrund des finanziellen und zeitlichen Drucks die Zeit, auch noch passende Schulungen für ihre Mitarbeiter zu organisieren. Ad hoc wurden Videokonferenzlösungen eingesetzt und Messenger-Gruppen gegründet, private Hardware genutzt, häufig mangels ausreichender dienstlicher Laptops. Und Firmendokumente lagen am heimischen Küchentisch, zwischen den Schulaufgaben der Kinder. Alles Themen, bei denen sich dem Datenschützer die Nackenhaare sträuben. Unternehmen tun gut daran, im Sinne einer gezielten Prävention von Datenschutzverstößen auch für die Remote-Arbeit einige Vorgaben einzuführen. Angefangen von Arbeitsanweisungen zu dem Umgang mit Papierdokumenten im häuslichen Umfeld über Vorgaben zur IT-Sicherheit, beispielsweise dem Einsatz von Passwörtern, bis hin zu dem sicheren Zugriff auf den Unternehmensserver. Einen guten Überblick über notwendige Maßnahmen im Homeoffice bietet ein Dokument des Bayerischen Landesamtes für Datenschutz.
Lesen Sie im zweiten Teil unseres Interviews mit Wolf-Werner Alebrand mehr zur Frage, wie detailliert ein Informationssicherheitskonzept sein sollte und welche Maßnahmen Firmen zum Schutz vor Cyberattacken treffen müssen.
Über Wolf-Werner Alebrand
Wolf-Werner Alebrand ist Spezialist für Compliance- und Datenschutz-Management und berät und unterstützt Unternehmen zu Themen des betrieblichen Risikomanagements und als Interimsmanager.