100 Tage DSGVO

Überforderung – zertifizierte Fachkräfte sind gefragt

Können Sie sich noch an die Jahrtausend- bzw. Jahrhundertwende erinnern? Als niemand wusste, ob um Mitternacht alle Computer stehen bleiben oder die Welt nach Silvester 1999 überhaupt noch existieren würde? Der 25. Mai 2018, Stichtag der DSGVO und dem BDSG-neu, war für viele Kunden und Behörden ungefähr genauso aufregend und ungewiss wie der Jahreswechsel 1999/ 2000. Vor allem aber war klar: durch fehlende, zertifizierte DSGVO-Fachkräfte sind viele Kunden mit der komplexen Aufgabe absolut überfordert.

Schleppende Information

Schon seit Mai 2016 existierte der EU-Beschluss, den Datenschutz europaweit einheitlich zu regeln. So richtig auf dem Schirm hatten ihn nur wenige Kunden, meistens jedoch Banken, Versicherungen und der öffentliche Dienst. Das Gros der Industrie erkannte die Dringlichkeit erst, als die kritische Deadline immer näher rückte. Seitdem gab es kaum Veranstaltungen, Konferenzen oder Netzwerktreffen, auf denen nicht der DSGVO-Zeigefinger mahnend gehoben wurde und die Unruhe vieler Unternehmer von Tag zu Tag spürbarer wurde.

Dringlichkeit und Aufwand unterschätzt

Je näher der Stichtag rückte, desto klarer wurde vielen, dass dringend etwas getan werden musste. Angesichts drohender EU-weiter Bußgelder im Einzelfall bis zu 20 Millionen Euro, die für ein mittelständisches Unternehmen das Aus bedeuten würden, war nun guter Rat teuer und die Zeit wurde knapp.

Aufsichtsbehörden und Beratungsfirmen versinken in Anfragen

Manche Kunden betrachten die ganze Angelegenheit auch heute noch als ein Phänomen, das sich im Laufe der Zeit ganz von allein regulieren wird. Das ist jedoch nicht der Fall. Allein in den Folgemonaten des Mai 2018 hat sich die Anzahl der Anfragen von der Privatindustrie an uns und an die Aufsichtsbehörden vervielfacht.

Abmahnungen vorbeugen

Mittlerweile haben auch die ersten Abmahnungen wegen Verstößen gegen die neuen EU-weiten Regeln ihre Empfänger erreicht – teilweise mit absurden Inhalten, etwa wegen fehlender SSL/ TSL-Verschlüsselung, die auf jeden Fall verwendet werden sollte.
SSL/ TLS ist eindeutig Stand der Technik und sollte auf jeden Fall verwendet werden. Für den Transport von schützenswerten Daten, wie zum Beispiel Webformulare mit personenbezogenen Daten, ist die Nutzung aus technischer Sicht unverzichtbar.

Geheimnisschutz

Seit dem 9. Juni 2018 gelten die neuen europäischen Vorgaben für den Geheimnisschutz. Dies ist das Ablaufdatum der im Rahmen der EU-Know-how-Richtlinie vorgegebenen Frist für die Umsetzung in nationales Recht. Seit diesem Stichtag sind deutsche Gerichte gehalten, das veraltete deutsche Recht zum Geheimnisschutz „europarechtskonform“ auszulegen. Daneben hat das Bundesministerium der Justiz einen Referentenentwurf zur Umsetzung der Knowhow Richtlinie in ein deutsches „Gesetz zum Schutz von Geschäftsgeheimnissen“ (GeschGehG) vorgelegt. Zugegeben: zunächst (noch?) eine EU-Richtlinie…

Intern oder extern? Ist teuer gleich besser?

Ein interner Datenschutzbeauftragter kommt für viele Betriebe schon aus Kostengründen nicht in Frage. Es gibt zwar Mitarbeiter, die sich zumindest im weitesten Sinne mit Datenschutz irgendwie beschäftigen, aber die Verordnung verbietet es, Mitglieder der Geschäftsleitung oder Beschäftigte (IT, HR) mit Interessenskonflikten zu DSGVO-Verantwortlichen zu ernennen. Wie entscheidet der Kunde nun, wem man vertrauen kann und ob ein Beauftragter für kleines Geld genauso pflichtbewusst und sorgfältig arbeitet wie sein teurer Kollege? Im Zweifel geht es schließlich um die Existenz der Firma, da müssen Sie als Kunde sich auf uns verlassen können.

Aus dem anfänglichen Bürokratie-Monster hat sich die DSGVO damit für viele Firmen sich zu einem sehr hilfreichen Anlass entwickelt, um interne Abläufe und Prozesse endlich mal kritisch zu hinterfragen. Was schon immer so war, muss schließlich nicht immer so bleiben, doch die eigene Bequemlichkeit verleitet einen leider zu oft, den Status Quo („das war schon immer so“; „das war schon so, als ich hier anfing“) beizubehalten.

Natürlich hat nicht jeder Unternehmer die Zeit, sich selbst um dieses wichtige Thema zu kümmern. Deswegen ist die DIY-Variante sicherlich nicht für jede Firma optimal. Allen Beteiligten rate ich: tauschen Sie sich aus, reden Sie mit anderen über Ihre Erfahrungen und holen Sie sich Tipps von Firmen, die gute Lösungen gefunden haben. Wenn es zum Schluss auf einen externen Datenschutzbeauftragen hinausläuft: sehr gut! Aber vergeuden Sie nicht die Chance, das Thema zu Ihrem eigenen zu machen und Ihre Geschäftsprozesse zum eigenen Schutz einmal grundlegend zu hinterfragen.

Ein erster Blick über den Teich in die USA:

Aus Europa können Internetnutzer auf mehr als 1.000 Angebote von US-Medien nicht zugreifen – wegen der DSGVO, so die Betreiber. Viele US-Medien-Anbieter wollen das auch nicht ändern. Es ist nur eine Frage der Zeit, bis sich die US-Medien-Anbieter eines Besseren besinnen werden.

Ein zweiter Blick über den Teich in die USA:

Der California Consumer Privacy Act of 2018 (CCPA) ist der jüngste Neuzugang (Juni 2018) in Sachen Datenschutz und stellt die über die Grenzen Kaliforniens (isoliert von den USA immerhin die fünftgrößte Volkswirtschaft der Welt; Deutschland liegt auf Platz vier, Japan auf Platz drei) hinausgehenden Herausforderungen für die dortigen über 500.000 Unternehmen dar, die dem neuen Gesetz unterliegen werden.

Wie die DSGVO (im angloamerikanischen Raum als GDPR bezeichnet) besteht eines der Hauptziele des CCPA darin, die Verbraucher vor Datenmissbrauch zu schützen und ihnen gleichzeitig bestimmte Rechte einzuräumen, die von den Unternehmen Transparenz erfordern und eine gewisse Kontrolle über die Verwendung dieser personenbezogenen Daten ermöglichen.

Der CCPA, der am 1. Januar 2020 in Kraft tritt,

wird bestimmte Unternehmen, die im US-Bundesstaat Kalifornien tätig sind, zwingen, strukturelle Änderungen an ihren Datenschutzprogrammen vorzunehmen. Zu den neuen Rechten, die den Einwohnern Kaliforniens gewährt werden, gehören insbesondere das Recht, Informationen anzufordern, das Recht auf Löschung und das Recht, den Verkauf der persönlichen Daten abzulehnen. Diese Rechte, auch wenn sie nicht so umfassend sind wie das, was die DSGVO bietet, führen zu einigen nützlichen Überschneidungen. Wir stellen fest: im demokratisch geprägten Kalifornien ist die Idee vom Datenschutz angekommen. Dazu später in einem weiteren Blogbeitrag mehr.

Fazit

Die DSGVO ist ein Gesetz wie kein anderes in der Europäischen Union und hat weltweite Wirkung.
Im jüngsten gegenseitigen Handelsabkommen „JEFTA“ der EU und Japan, wurden die DSGVO-Regeln vollumfänglich akzeptiert. Die Datenschutzsysteme der jeweils anderen Seite wollen die Handelspartner als gleichwertig im Sinne der Ende Mai in Kraft getretenen Datenschutzgrundverordnung anerkennen. Somit ist eine Voraussetzung geschaffen, durch die auch personenbezogene Informationen und Daten sicher zwischen der EU und Japan fließen können. Dann sollen importierte Produkte für etwa 600 Millionen (!) Konsumenten beider Seiten durch das Abkommen günstiger werden. Damit öffnet JEFTA den größten Datenschutzraum weltweit und setzt Maßstäbe für künftige Freihandelsabkommen.

Gerade die deutschen Unternehmen, die sich bisher mit den DSGVO-Regelungen nicht befasst haben, müssen so früh wie möglich damit beginnen, sich darauf vorzubereiten.

Sie haben Fragen, Wünsche, Anregungen? Sprechen Sie mich an!

Und mit der Bitte an Sie, den DSGVO-Compliance-Prozess intern voranzutreiben, schließe ich mit den Worten des verstorbenen Apple-Gründers und US-Demokraten Steve Jobs für heute meinen Blogbeitrag:

„Innovation macht den Unterschied zwischen einem Anführer und einem Anhänger aus.”