1. News
  2. Wirtschaft
  3. Überregional

Neue Datenschutzregeln für Unternehmen: Datenschutz wird zur Chefsache

Neue Datenschutzregeln für Unternehmen : Datenschutz wird zur Chefsache

Unternehmen müssen ab Mai 2018 verschärfte Regeln für die Verarbeitung personenbezogener Daten befolgen. Doch das Gesetz hat seine Tücken.

Große Veränderungen kommen im nächsten Jahr auf Unternehmen zu, die personenbezogene Daten verarbeiten. Da jede Firma in Kontakt mit Kunden und Lieferanten steht, von denen sie mindestens E-Mail-Adressen und Telefonnummern speichert, kann man sagen: Kein privater Betrieb, aber auch keine Behörde kann sich um das sperrige Thema Datenschutz drücken. „Unternehmen müssen sich jetzt einen Schlachtplan anlegen“, erklärt Stephan Wirtz, Geschäftsführer von Any-key. Seine Firma aus Sankt Augustin berät Betriebe in Sachen IT-Sicherheit.

Handeln müssen Unternehmen jetzt, weil ab 25. Mai die neue Datenschutzgrundverordnung (DSGVO) anzuwenden ist. Diese Verordnung gilt in der Europäischen Union bereits seit Mai 2016 und ist inzwischen in deutsches Recht umgesetzt. Sie dürfte viele Fragen aufwerfen.

Ein Top-Management-Thema

Der Datenschutz ist künftig ein „Top-Management-Thema“, wie es Wirtz nennt, da die Geschäftsführer nach dem Gesetz für die Sicherheit der personenbezogenen Daten verantwortlich sein werden. „Diese Verantwortung ist nicht delegierbar“, betont Wirtz. Neu ist auch, dass Unternehmen ab zehn Beschäftigten – je nach Art der Datenverarbeitung erhöht sich die Schwelle auf 20 – einen Datenschutzbeauftragten benennen müssen. Dieser hat die Mitarbeiter über die Datenschutzpflichten aufzuklären und muss etwa dokumentieren, wie der Datenschutz sichergestellt wird.

„Am Anfang sollte eine Analyse erfolgen: Wo stehe ich und wo sollte ich stehen? Wie groß ist mein Bedarf? Sehr schnell wird man sich der Tiefe des Themas bewusst“, sagt Wirtz. Nach seiner Erfahrung erklärt die Firmenleitung oft den technischen Administrator zuständig für die Analyse. „Da sieht man aber schnell: Dieser ist für diese Aufgabe weder qualifiziert, noch hat er hinreichend Zeit dafür.“

Firmen können auch externe Datenschutzbeauftragte benennen

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) in Bonn weist darauf hin, dass der Datenschutz auch einem externen Beauftragten übergeben werden könne, was kleinen und mittleren Unternehmen entgegenkommen dürfte.

Wie ernst die Sache ist, zeigt sich bereits an den saftigen Strafen, die bei Verstößen drohen. Und zwar können bis zu vier Prozent des weltweit erzielten Umsatzes oder 20 Millionen Euro verhängt werden, je nachdem, welcher Wert höher ist. Bisher belief sich die Strafe auf maximal 300 000 Euro, und verhängt worden sei sie auch nur „moderat“, heißt es beim Branchenverband Bitkom.

Anykey-Geschäftsführer Wirtz schätzt, dass ein mittelständisches Unternehmen für eine Bestandsanalyse etwa zwei Tage benötigt. „Ein solches Assessment kostet 2000 bis 3000 Euro.“ Die anschließende Dokumentation der Prozesse im Unternehmen, die den Schutz der personenbezogenen Daten sicherstellen soll, dürfte im fünfstelligen Euro-Bereich liegen. „Man muss sich als Unternehmen auch schützen vor Dingen, die man gar nicht kennt.“Mit Virenscanner und Firewall, wie sie kleine Unternehmen meistens nur haben, wird es künftig nicht getan sein.

Saftige Strafen und Pflicht zur schnellen Meldung

Strafbar macht sich eine Firma auch, wenn sie einen Datendiebstahl nicht sofort – das heißt innerhalb von 72 Stunden – den Aufsichtsbehörden sowie den betroffenen Personen meldet.

„80 Prozent der Türen, die Datendieben offenstehen, lassen sich schnell mit relativ einfachen Maßnahmen schließen. Aber das reicht nicht, um wirklich sicher zu sein“, sagt Wirtz. So müssten etwa USB-Sticks vor jeder Nutzung analysiert werden, um zu verhindern, dass Trojaner in ein Netzwerk eindringen.

Jedenfalls löst die Anwendung der Datenschutzgrundverordnung große Verunsicherung aus. Das beginnt schon bei der Frage, was alles personenbezogene Daten sind. Denn nach dem Gesetz fallen auch Cookiedaten darunter, die darüber informieren, welche Websites ein Nutzer besucht, und der Werbewirtschaft helfen, Profile von ihm zu erstellen. Aus diesem Grund kritisiert der Bundesverband Digitale Wirtschaft: Es sei „nicht gelungen, tatsächlich moderne und zukunftssichere Regeln für den Umgang mit Daten im 21. Jahrhundert zu schaffen. Vieles geht an den Realitäten und Anforderungen der Informationsgesellschaft vorbei“.

"Gesetz kann Kommunikation lähmen"

Auch Anykey-Geschäftsführer Wirtz sagt: „Das Gesetz schützt, aber es wird auch Kommunikation lähmen.“ Während der Verbraucher umfangreiche Auskunftsrechte über die Nutzung seiner Daten sowie einen Anspruch auf deren Löschung erhält, schrillen bei den Unternehmen die Alarmglocken. „Es besteht die Gefahr einer Abmahnwelle, sobald die DSGVO zur Anwendung kommt.“ Zumal künftig Verbandsklagen zugelassen sind: „Damit können auch staatlich nicht legitimierte Stellen klagen und in den Markt eingreifen“, befürchtet Wirtz.