Interview
"DSGVO heißt erst einmal: Ran an die Prozesse"
funkschau sprach mit Robert Jung, General Manager bei Westcon Security in Deutschland, René Klose, Director Services Delivery bei Westcon Services, und Dr. Justus Gaden, Rechtsanwalt für Datenschutz- und IT-Recht bei Büsing, Müffelmann & Theye, darüber, was die EU-DSGVO für die Unternehmen bedeutet.
funkschau: Warum brauchen wir die Datenschutzgrundverordnung (EU-DSGVO)?
Justus Gaden: Ziel der EU-DSGVO ist es, personenbezogene Daten der EU-Bürger noch besser zu schützen und den Schutz EU-weit einheitlich zu regeln. Zu diesem Zweck wurde die Verordnung im Mai 2016 verabschiedet und wird am 25. Mai 2018 in allen Ländern der EU die bestehenden Datenschutzgesetze größtenteils ablösen. Nun ist es oft problematisch, über die Sinnhaftigkeit neuer Gesetze zu diskutieren. Im konkreten Fall kann man aber festhalten, dass eine Aktualisierung der Regularien überfällig war. Immerhin stammt die bislang geltende EU-Datenschutzrichtlinie aus dem Jahr 1995 – das war noch eine Welt ohne Smartphones, ohne Cloud und lange vor den Snowden-Enthüllungen.
Robert Jung: Spannend ist aus unserer Sicht, dass die EU offenbar keine Angst vor dem großen Wurf hat. Die DSGVO basiert auf einer vollständig restriktiven Prämisse, die die Verarbeitung personenbezogener Daten zunächst einmal komplett verbietet. Erst im Nachsatz werden konkrete Ausnahmefälle definiert, in denen der Zugriff erlaubt ist, etwa wenn dies zur Erfüllung bestehender Verträge erforderlich ist oder die Einwilligung der Betroffenen vorliegt. Das ist ein Ansatz, den wir aus der IT-Security kennen und der sich in kritischen Umgebungen sehr bewährt hat.
funkschau: Welche Daten fallen unter den Schutz der EU-DSGVO?
Gaden: Alle Daten, die eine Person identifizierbar machen. Dazu gehören Namen, Adressen, E-Mails und Telefonnummern, aber auch IP-Adressen oder die Informationen, die Ihr Smart Car an den Hersteller übermittelt. Allerdings sind vor dem Gesetz nicht alle diese Daten gleich schützenswert. Manche Informationen – etwa Daten von Kindern, Gesundheitsdaten oder Angaben zu religiösen Überzeugungen – genießen besonderen Schutz.
funkschau: Im Vergleich zu vielen Gesetzen, die stillschweigend verabschiedet und umgesetzt werden, erhält die DSGVO in der Fachöffentlichkeit hohe mediale Aufmerksamkeit. Woran liegt das?
René Klose: Zum einen sicher daran, dass das neue Gesetz jeden von uns betrifft. Wir alle werden als EU-Bürger ab Mai neue, weitreichendere Rechte an unseren Daten haben. Folglich hat das Thema einen hohen Nachrichtenwert. Hinzu kommt, dass das Gesetz Unternehmen weltweit in die Pflicht nimmt – und Verstöße gegen die Bestimmungen an drastische Strafen koppelt. Im Extremfall können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängt werden. Das ist ein deutliches Signal, das Thema nicht auf die leichte Schulter zu nehmen.
funkschau: Ist es denn realistisch, dass der Gesetzgeber die hohen Strafen durchsetzen wird?
Jung: Das wird von Land zu Land, von Gericht zu Gericht und von Fall zu Fall unterschiedlich sein. Einige EU-Mitgliedstaaten – etwa Irland – haben aber klargemacht, dass sie den Strafrahmen ausreizen wollen. Man sollte also nicht glauben, dass nichts so heiß gegessen wird, wie man es kocht. Wenn existenzbedrohende Bußgelder im Raum stehen, ist das ein riskantes Vabanquespiel.
funkschau: Als VAD agieren Sie ja an der Schnittstelle zwischen Systemhäusern und Herstellern. Ist das Signal draußen im Markt angekommen?
Klose: Ja und Nein. Viele große Systemhäuser – vor allem solche, die selbst als Cloud Provider tätig sind – haben schon vor Monaten die Weichen für eine erfolgreiche Umsetzung gestellt. Und auch bei den Herstellern merkt man, dass sie im Hintergrund die Weichen neu justieren und beispielsweise bei Bestellungen weitaus weniger personenbezogene Daten abfragen. All dem stehen aber unzählige kleine Systemhäuser gegenüber, die das Thema noch nicht adressiert haben. Als Distributor arbeiten wir daran, diese Nachzügler zu mobilisieren – zum Bespiel mit Events wie unserem GDPR-Kongress am 21. März in Frankfurt am Main.
funkschau: Was raten Sie Systemhäusern, die das Thema DSGVO neu angehen?
Jung: Zunächst sollten sie ein breit aufgestelltes Projektteam am grünen Tisch versammeln. Beim Thema Datenschutz reicht es nicht, wenn die IT im stillen Kämmerchen konzipiert – da muss die Geschäftsführung ebenso mit am Tisch sitzen wie die Fachabteilungen, die Personaler, die Rechtsabteilung und natürlich auch die Betriebsräte und Datenschutzbeauftragten. Wer ganz sicher gehen will, kann auch externe Partner hinzuziehen, etwa Fachjuristen oder uns aus der Distribution. So ist gewährleistet, dass alle Perspektiven Berücksichtigung finden. Wenn das Team steht, wird der weitere Projektfahrplan definiert.
Gaden: Vielleicht noch ein Tipp für kleine Unternehmen: Es ist sehr schwer, aus einem viele Hundert Seiten starken Verordnungstext zu extrahieren, was für den eigenen Alltag relevant ist. Man muss das Rad aber nicht neu erfinden. Die deutschen Landesdatenschutzbeauftragten haben sehr gute Leitfäden und Anwendungshinweise für die DSGVO-Compliance bereitgestellt. Da steht Schritt für Schritt, auf welche Anforderungen der Gesetzgeber besonders achtet. Für KMU ist das eine hervorragende Ausgangsbasis.
- "DSGVO heißt erst einmal: Ran an die Prozesse"
- Roadmap für die EU-DSGVO
Lesen Sie mehr zum Thema
