Zum Thema sprach GUTcert Prokurist Andreas Lemke mit Rechtsanwalt Karsten U. Bartels von der HK2 Rechtsanwälte, Berlin.
- Lemke ist studierter Physiker und seit 2000 bei der GUTcert. Er ist Prokurist, Leiter der Zertifizierungsstelle für Managementsysteme und verantwortlich für die Informationstechnik. Er ist an der Erstellung eines Zertifizierungsprogramms für Datenschutz in Zusammenarbeit mit der deutschen Akkreditierungsstelle (DAkkS) beteiligt. Für die GUTcert auditiert er nach AZAV, Qualitäts-, Umwelt- und Informationssicherheits-Managementsysteme, auch i.V.m. IT-Sicherheitskatalog und Datenschutz.
- Rechtsanwalt Bartels LL.M. ist spezialisiert auf das IT-, Datenschutz- und IT-Sicherheitsrecht. Er ist Partner bei HK2 Rechtsanwälte, Berlin und vermittelt Unternehmen, wie sie den konkreten Einsatz von Maßnahmen nach dem Stand der Technik abwägen und ein begrenztes Unterschreiten des Standes der Technik gesetzeskonform realisieren können. Bartels ist Vorstandsmitglied des Bundesverbandes IT-Sicherheit e. V. (TeleTrusT), stellvertretender Vorsitzender der Arbeitsgemeinschaft IT-Recht des Deutschen Anwaltsvereins e.V., Geschäftsführer der Datenschutzberatungsgesellschaft Comtection GmbH und Referent und Autor zahlreicher Beiträge zum Datenschutz- und IT-Sicherheitsrecht.
Der Datenschutz wurde im Mai 2016 mit einer Übergangsfrist bis zum 25. Mai 2018 in der EU-Datenschutz-Grundverordnung (DSGVO) europäisch harmonisiert. Neben Neuerungen zur Umsetzung des Datenschutzes wird auch die Unternehmenshaftung ausgeweitet. Je nach Art des Verstoßes drohen zukünftig Bußgelder – bis zu 4% des Jahresumsatzes.
Wer ist von diesen Regelungen betroffen? Und wieso wird jetzt erst mit der DSGVO das Thema so präsent – es gab doch schon lange nationale Gesetze, z.B. in Deutschland das BDSG?
Bartels: Die DSGVO gilt für Unternehmen, öffentliche Stellen und Behörden in der EU, die personenbezogene Daten verarbeiten, unabhängig davon, wo die Daten verarbeitet werden. Ausnahmeregelungen für Klein- oder Kleinstunternehmen gibt es nicht. Für die Anwendbarkeit der DSGVO kommt es nicht darauf an, ob die Verarbeitung personenbezogener Daten zum Kern der der Tätigkeit des Verantwortlichen gehört oder nicht.
Der Fokus auf die DSGVO ist in den letzten Monaten in der Tat massiv gestiegen. Das begründet sich vor allem mit den signifikant gestiegenen Bußgeldern, die bei Verstößen drohen. Das alte BDSG, das bis zum 24.05.2018 galt, kannte zwar auch Bußgelder. Deren niedriger Rahmen hat viele Unternehmen bislang allerdings eher einschätzen lassen, die Non-Compliance sei günstiger als die Implementierung gesetzlicher Maßnahmen zu mehr Datenschutz. Diese Einschätzung war auch in der Regel richtig. Mit der DSGVO werden die Bußgelder nun bilanzrelevant. Übrigens gehören IT-Sicherheit und Datenschutz zum Risikomanagement, für das Geschäftsleiter auch persönlich haften können. Diese Ansprüche sind gesellschaftsrechtlicher Natur und nicht neu, werden aber nun vermehrt ernst genommen.
Lemke: Was für Unternehmen sind denn im besonderen Maße betroffen? Und gibt es Branchen/Dienstleister, die momentan noch im Unklaren sind? Gibt es gewisse Erfahrungswerte aus Ihrer datenschutzrechtlichen Arbeitspraxis?
Bartels: Aktuelle Erhebungen machen deutlich, dass tatsächlich noch die breite Mehrheit der Unternehmen im Unklaren ist. Auch große Konzerne und Unternehmen, die der sogenannten dualen Aufsicht unterliegen, wie zum Beispiel Betreiber Kritischer Infrastrukturen, haben – trotz des zum Teil sehr guten IT-Sicherheitsniveaus – noch keinen DSGVO-konformen Datenschutz. Unsere Arbeit besteht in solchen Fällen oft darin, eine koordinierende Hand zu sein, die alle zu treffenden Maßnahmen wertet, im Blick behält und die betreffenden Parteien entsprechend anweist. Die daraus entstehenden Aufgaben sind für die Verantwortlichen im Unternehmen dann klarer und leichter abzuarbeiten.
Unserer Erfahrung nach sehen sich auch insbesondere die kleinen und mittelständischen Unternehmen (KMU) überfordert bei der Umsetzung der DSGVO. Diesen Eindruck kann ich verstehen, jedoch kann ich gleichermaßen beruhigen: Wir haben bei unseren Kunden und Mandanten die Erfahrung gemacht, dass praktische und wirtschaftlich effiziente Lösungen in jedem Fall zu finden sind. Eine gute (Basis-)Möglichkeit sind kosteneffiziente DSGVO-Pakete, die alle wichtigen Dokumente und eine entsprechende Anleitung enthalten. In den letzten Monaten haben wir speziell für die Ingenieurs- und Personaldienstleisterbranche entsprechende Pakete entwickelt. Die positive Resonanz war enorm. Aufgrund der großen Nachfrage befinden wir uns deshalb derzeit in der Erstellung eines analogen, branchenübergreifenden Pakets für KMU.
Auch gilt es, folgendes im Blick zu behalten: Nur weil die DSGVO auch auf kleine Unternehmen anwendbar ist, bedeutet dies nicht, dass Unternehmen ohne Ansehung ihrer Größe, Tätigkeit und wirtschaftlichen Stärke dieselben Maßnahmen zu ergreifen hätten. Unternehmen dürfen und sollen angemessene technische, organisatorische und rechtliche Maßnahmen ergreifen.
Besondere Umstellungsanforderungen treffen Unternehmen, die datengetriebene Geschäftsmodelle betreiben, sensible Daten (z.B. Gesundheitsdaten) verarbeiten und die Datenverarbeitung auslagern. Die bisherige Auftragsdatenverarbeitung (ADV) beispielsweise wurde als Auftragsverarbeitung (AV) in der DSGVO signifikant anders geregelt. Hier sind sämtliche ADV-Vereinbarungen an das neue Recht anzupassen, unabhängig davon, ob man diese als Auftraggeber oder Auftragnehmer geschlossen hat.
Des Weiteren möchte ich den Blick dafür schärfen, dass die DSGVO-Umsetzung kein „Projekt“ ist, mit dem man nach dessen Ende nicht mehr befasst ist. Die DSGVO wird uns viele Jahre erhalten bleiben und dauerhaft beschäftigen. Das lässt sich aber ressourcenverträglich managen.
Die DSGVO bietet derzeit an vielen Stellen auch noch zahlreiche Auslegungsmöglichkeiten. Das wird von Unternehmen häufig als Unsicherheitsfaktor bewertet. Allerdings unterschätzen die Verantwortlichen noch deutlich die dadurch entstehenden, vielseitigen Möglichkeiten.
Welche konkreten Maßnahmen nötig sind und wie der Stand in Sachen Zertifizierung ist, erfahren Sie im vollständigen Interview auf der GUTcert-Website.
Bei inhaltlichen Rückfragen zum Thema wenden Sie sich gerne an die Gesprächspartner:
Andreas Lemke (GUTcert GmbH)
Email: andreas.lemke@gut-cert.de
Tel: +49 30 2332021 – 41
Karsten U. Bartels LL.M. (HK2 Rechtsanwälte)
Email: Bartels@hk2.eu
Tel: +49 030 27 89 00 - 0
Veranstaltungen zum Thema Datenschutz und ISMS:
- GUTcert - Neujahrstagung am 18. Januar 2019 in Berlin
- TeleTrusT - IT-Sicherheitsrechtstag am 25.10.2018 in Berlin