Am 25. Mai treten die europäische Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft. Beide drohen mit harten Strafen, werden sie missachtet. JAX-Speaker Falk W. Müller erklärt uns im Interview, wo der Unterschied zwischen den Gesetzen liegt.

JAXenter: Die Uhr tickt, Ende Mai tritt die DSGVO in Kraft. Das aktuell noch geltende BDSG ist eine solide Basis, allerdings geht die EU-Verordnung in vielen Punkten darüber hinaus. Andere Aspekte regelt die DSGVO lockerer. Wo liegen die größten Unterschiede zwischen BDSG und DSGVO?

Falk W. Müller: Das eigentliche Ziel der DSGVO war eine Vereinheitlichung des ohnehin schon vergleichsweise guten Datenschutzes in der ganzen EU wie auch die Einführung schärferer Mittel zu dessen Sicherstellung. Sicherlich unterscheiden sich das BDSG-alt und die DSGVO in zahlreichen kleineren und größeren Dingen – und sind trotzdem erstaunlich nah beieinander, weil jetzt kodifizierte Regelungen in der Praxis ankommen, die ohnehin schon so gelebt wurden, oder zumindest so gelebt werden sollten.

Tatsächlich entscheidend sind die umfangreichen Dokumentations-, Prozessimplementierungs- und Nachweispflichten. Hierin liegen zugleich auch die Aufwandstreiber bei der Umsetzung der DSGVO im Unternehmen. Während im Rahmen des BDSG-alt dem Verarbeiter ein Verstoß nachgewiesen werden musste, muss er ab 25.05. umgekehrt nachweisen, die Datenschutzbestimmungen eingehalten zu haben. Andernfalls drohen hohe Bußgelder von bis zu 20.000.000 € oder vier Prozent des Jahresumsatzes. Bislang lag die Höchstgrenze für ein Bußgeld bei 300.000 €. Konsequenterweise ergibt sich somit für die Verarbeiter nun eine deutlich höhere Priorität, Datenschutz ernstzunehmen und einzuhalten.

Lesen Sie auch: Spring Boot 2 – eine Einführung: Spring Data und Spring Security 5

JAXenter: Wie vorbereitet sind Ihrer Meinung nach deutsche Unternehmen und wo besteht der dringendste Handlungsbedarf?

Falk W. Müller: Glaubt man den zahlreichen, hierzu veröffentlichten Statistiken, scheinbar allenfalls geringfügig. Im Mandantenkontakt sehe ich zumindest eine hohe Sensibilität für das Thema, zugleich aber auch in der Praxis eine teilweise erschreckend laxe Umgangsweise damit. Zu tun gibt es meiner Einschätzung nach insofern mutmaßlich in jedem Haus viel.

Das Wichtigste ist, ab dem 25.05. jedenfalls nach außen hin datenschutzkonform aufzutreten, um Abmahnungen zu entgehen bzw. Datenschutzbehörden nicht unnötig auf sich zu ziehen. Die wichtigsten beiden Punkte sind somit die Aktualisierung der Datenschutzerklärungen und die aktive Benennung eines Datenschutzbeauftragten gegenüber der zuständigen Datenschutzbehörde, insofern man verpflichtet ist, einen zu stellen. Meine persönliche Einschätzung ist auch, dass ab dem 25.05. einige Auskunftsanfragen von Bürgern bei den Unternehmen eingehen werden, auf die „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“ in gesetzeskonformer Weise zu reagieren ist. Darauf sollten Verarbeiter vorbereitet sein.

So schnell wie möglich sollten Unternehmen dann Auftragsverarbeitungsverträge, die Erstellung von Verarbeitungsverzeichnissen, Prozessimplementierungen (speziell auch für Datenlöschungen und das Einwilligungsmangement), technisch-organisatorische Maßnahmen und deren Dokumentation sowie ein Vorgehen bei Datenschutzpannen aufsetzen. Damit ist zumindest ein Grundstock gelegt, der schon ausreichend Arbeit mit sich bringt.

JAXenter: Stichtag 25. Mai – wie viel Zeit bleibt Unternehmen wirklich, um compliant zu werden?

Falk W. Müller: In der Außendarstellung – Datenschutzerklärungen, Datenschutzbeauftragter – ist es tatsächlich exakt der 25.05., da sonst Abmahnungen oder Interventionen durch die Datenaufsichtsbehörden drohen. Für die internen Prozesse werden Unternehmen so schnell wie möglich nachziehen müssen. Realistisch betrachtet müssen sich die chronisch unterbesetzten Datenaufsichtsbehörden zwar selbst erst sortieren. Dennoch darf Datenschutz in Anbetracht der nun deutlich schärferen Konsequenzen nicht auf die leichte Schulter genommen werden.

Die chronisch unterbesetzten Datenaufsichts-

behörden müssen sich selbst erst sortieren.

JAXenter: Wie können die einzelnen Parteien, Unternehmen insgesamt, der einzelne Entwickler oder ein Consultant Compliance erreichen?

Falk W. Müller: Als Unternehmen, indem die Einführung der DSGVO als ein Projekt betrachtet wird. Schließlich sind zahlreiche Geschäftsbereiche eines Unternehmens betroffen, die in enger Abstimmung transparent zusammenarbeiten müssen, um innerhalb der kurzen verbleibenden Zeit eine entsprechende Implementierung umsetzen zu können. Erster entscheidender Schritt ist somit das Aufsetzen eines Projektteams, in dem sich operativ tätige Unternehmensbereiche, IT, Personal, Recht, Revision und Compliance vertreten finden sollten. Sodann sind die Projektziele klar zu definieren und mit dem Management abzustimmen. Die Umsetzung der DSGVO im Unternehmen erfordert eine durchdachte und professionelle Ressourcenplanung. Sie dürfte für viele Unternehmen auch von erheblichem finanziellen Ausmaß sein. Im nächsten Schritt ist eine umfassende Risikoanalyse nötig, in der bestehende Risiken identifiziert und nach ihrer Eintrittswahrscheinlichkeit und dem Ausmaß nachteiliger Folgen sowie Möglichkeiten zur Risikovermeidung oder -verringerung bewertet werden. Bei der Umsetzung sollte das Projektteam gründlich prüfen, auf welche bereits vorhandenen Strukturen zurückgegriffen werden kann, also eine Bestandsaufnahme durchführen. Die Implementierung der DSGVO setzt auch eine klare, unmissverständliche Kommunikation von Datenschutzrichtlinien innerhalb des Unternehmens voraus. Diese kann und soll durch Datenschutztrainings vertieft werden, in denen die Mitarbeiter über die komplexen Anforderungen der DSGVO gründlich geschult werden.

Entwickler wird als operatives Organ vor allem die Pflicht der Privacy by Design / Default treffen, also die Pflicht, Datenschutz bereits bei der Entwicklung zu berücksichtigen. Sie werden sicherlich außerdem Rede und Antwort für Verarbeitungsverzeichnisse stehen müssen, möglicherweise auch selbst zur Erstellung solcher herangezogen werden und mutmaßlich auch neue Prozesse für die Datenauskunft und -löschung implementieren müssen. Consultants kommt in den meisten Fällen eine beratende Funktion zu. Sie sollten sich insofern über die DSGVO über eine der zahlreichen Quellen im Internet – ich selbst habe auch ein umfangreiches Whitepaper veröffentlicht – informieren und die neuen Anforderungen entsprechend auf ihre Produkte anwenden und deren Nutzern zuarbeiten.

JAXenter: Stichwort Bürgerrechte: Aktuell ist in Deutschland die Möglichkeit einer Sammelklage nach amerikanischen Vorbild im Gespräch. Was bedeutet das im Zusammenhang mit der DSGVO? Wie hoch ist die Chance, dass auf Unternehmen eine Welle an Klagen zurollen wird?

Falk W. Müller: Die Möglichkeit einer Sammelklage als solche bewerte ich für Deutschland insbesondere gemessen an den Ereignissen der jüngeren Vergangenheit als überfällig und positiv in Hinblick auf effektiven Verbraucherschutz. Inwiefern und wann eine solche kommen wird, vermag ich nicht vorhersehen, auch wenn es aus meiner Sicht wahrscheinlich sein dürfte, dass auch Deutschland dieses Rechtsinstitut erhalten wird. Eine Klagewelle als solche halte ich für unwahrscheinlich, außer in den ohnehin naheliegenden Fällen von datengetriebenen Unternehmen wie Facebook und Google. Davon abgesehen wird der Verbraucher durch die Datenaufsichtsbehörden meiner Einschätzung nach jedenfalls verhältnismäßig gut vertreten.

JAXenter: Herzlichen Dank für das Gespräch!