Security

EU-DSGVO: Wann Rache wirklich süß schmeckt

Datenschutzexperte und Geschäftsführer von Yourit, Thomas Ströbele, wird in letzter Zeit vermehrt auf die EU-DSGVO angesprochen. Die meisten Firmen im Mittelstand meinen, sie müssten wegen des am 25.Mai 2018 in Kraft tretenden Datenschutzgesetzes nichts unternehmen. Ein Irrtum, der empfindlich teuer werden kann.

15.11.2017 Quelle: CRN Martin Fryba
Thomas-Stroebele
Thomas Ströbele (Quelle: CRN)

CRN: Herr Ströbele, als Datenschutzexperte müssen Sie wissen, wo der Denkfehler sitzt?

Thomas Ströbele: Er resultiert daraus, dass das Bundesdatenschutzgesetz heute schon einen Datenschutzbeauftragten in Unternehmen verlangt, wenn personenbezogene Daten verarbeitet werden, bei Firmen unter zehn Mitarbeitern aber Ausnahmen kennt. Die EU-DSGVO kennt eine solche Ausnahme nicht mehr. Sobald eine Firma Auftragsverarbeiter ist, muss sie unabhängig von der Mitarbeiterzahl einen Datenschutzbeauftragten benennen. Das wären alle, noch so kleine Systemhäuser, die zum Beispiel Fernwartung erbringen.

CRN: Was raten Sie angesichts der knappen Zeit bis zum Stichtag im Mai?

Ströbele: Unternehmen sollten sich jetzt einen externen Datenschutzbeauftragten suchen und bei dieser Gelegenheit ein Informationssicherheits-Managementsystem etablieren, um sich nach ISO 27001-zertifizieren zu lassen. Das wird heute schon bei vielen Ausschreibungen verlangt und künftig noch stärker eingefordert werden.

CRN: Von maximal 300.000 Euro laut Bundesdatenschutzgesetz steigt der Strafrahmen für Datenschutzverstöße auf bis zu 20 Millionen Euro und mehr – theoretisch jedenfalls. Bleibt es bei der Praxis, dass hiesige Unternehmen die verhängten Bußen aus der Portokasse bezahlen können?

Ströbele: Richter werden künftig laut EU-DSGVO eine neue Komponente in diesem Gesetz berücksichtigen müssen: Die Abschreckung nämlich. Ich rechne damit, dass Richter künftig hohe Bußgelder bei Verstößen aussprechen werden, alles andere wäre ja Rechtsbeugung.

CRN: Wo kein Kläger, da kein Richter?

Ströbele: Das mag im Einzelfall stimmen. Ich kenne allerdings Fälle, wo gekündigte oder frustrierte Mitarbeiter ihren Arbeitgeber bei Datenschutzbehörden wegen Mängel im Datenschutz angezeigt haben. Bei künftig empfindlich hohen Bußgeldern würde dann die Rache wirklich süß schmecken.

CRN: Also noch vor dem kommenden Mai schnell handeln?

Ströbele: Ja. Und jetzt schon mit dem Dokumentieren anfangen, wann, wer und wie in der Firma zum Thema Datenschutz informiert wurde. Wer schreibt, bleibt – und kann wohl auch Bußgelder bei Verstößen reduzieren. Die denkbar schlechteste Reaktion auf die Frage eines Auditors nach der Datenschutz-Dokumentation wäre ein Achselzucken.

Security RSS Feed abonnieren