Datenschutz: Firmen drohen hohe Bußgelder

EU-Datenschutz-Grundverordnung (DSGVO) - ein Wort, an dem sich wohl nur Juristen erfreuen können. Und noch nicht mal die. Denn Gabriele Hohenner ist Juristin, und selbst die IHK-Hauptgeschäftsführerin sprach bei der Begrüßung zu einer entsprechenden Informationsveranstaltung von einem "trockenen Thema" - und das gleich mehrmals. Umso erstaunter war sie über die Resonanz. Gut 180 Firmenvertreter waren gekommen. "Mehr ist hier sonst nur beim IHK-Neujahrsempfang los", sagte Hohenner.

Fast alle Firmen betroffen

Dabei ist das alles andere als erstaunlich. Denn nahezu jedes Unternehmen ist von der strengeren Neuregelung betroffen. Erstaunlich ist da schon eher, dass sich laut einer Studie des IT-Branchenverbands Bitkom 20 Prozent der Firmen noch gar nicht mit dem Thema beschäftigt haben, obwohl die Regelung eigentlich schon seit 2016 in Kraft ist und die EU lediglich eine zweijährige Übergangsfrist gewährt. "Äußerst fahrlässig" nennt das Norbert Rauch, Datenschützer und Inhaber der entsprechenden Agentur Atarax. Dabei helfe es nichts, den Kopf in den Sand zu stecken und zu hoffen, "dass ich schon nicht betroffen bin". Wer erst jetzt damit beginne, an der Umsetzung der DSGVO zu arbeiten, habe ein ehrgeiziges Programm vor sich: "Eigentlich sollte man jetzt im Endspurt sein."

80 Prozent aller Daten haben Personenbezug

Denn 80 Prozent aller in einem Unternehmen anfallenden Daten haben Personenbezug und fallen deshalb unter die neuen Vorschriften, sagt Expertin und Rechtsanwältin Susanna Bess. Dass es dabei neben Offensichtlichem wie etwa Stammdaten von Mitarbeitern, Bewerbern oder Kunden auch um Dinge gehen kann, an die auf den ersten Blick kaum jemand denkt, erläuterte Bess an einem Beispiel. Selbst wenn an einem Maschinenprüfstand eigentlich nur statistische Daten über ein Produkt erhoben werden, werde es schon dann problematisch, wenn dieser Prüfstand immer vom selben Mitarbeiter bedient wird. Etwa in Kombination mit dessen Arbeitszeiten entstünden personenbezogene Daten.

Umfassende Auskunfts- und Rechenschaftspflichten

Je sensibler die Daten sind, desto besser müssen sie gesichert werden. Hinzu kommen für die Unternehmen umfassende Auskunfts- und Rechenschaftspflichten unter anderem gegenüber denen, die die Daten betreffen. Vereinfacht gesagt, müssen Unternehmen wissen, wo bei ihnen personenbezogene Daten anfallen, wo sie hingehen, wie sie gesichert werden und wann sie wieder gelöscht werden - und das auch jederzeit darstellen können. Denn das sogenannte Recht auf Vergessen ist ein zentraler Baustein der neuen Regelungen. Und das gilt nicht nur für die Unternehmen, in denen diese Daten anfallen, sondern auch für die, die sie weiterverarbeiten, etwa IT-Dienstleister. "Alle, mit denen man zusammenarbeitet und mit denen es zu Datenaustausch kommt, müssen vertraglich verpflichtet werden, mit den Daten sensibel umzugehen", betont Datenschützer Rauch.

Bis zu 20 Millionen Euro Bußgeld

Nicht leichter wird die Sache dadurch, dass in Zeiten zunehmender Digitalisierung immer mehr Daten anfallen und sich die Unternehmen in diesem Zusammenhang gerade erst selber finden und neu aufstellen müssen. Ein Argument, das im Fall der Fälle wohl kaum Gehör bei Gerichten und Aufsichtsbehörden finden dürfte, glaubt Rechtsanwältin Bess. Es drohen hohe Schadenersatzforderungen und Geldbußen. Letztere können bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes betragen. Dabei gilt eine Beweislastumkehr, sagt Bess. Das Unternehmen muss beweisen, dass es alle Pflichten aus der DSGVO erfüllt hat.

Im Notfall muss investiert werden

Dafür geradestehen muss die Geschäftsleitung. Umso wichtiger sei es, den Ernstfall gar nicht erst eintreten zu lassen. Der Aufsichtsbehörde, also dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach, gehe es bei entsprechenden Prüfungen darum, möglichst konkret zu erfahren, wie im Unternehmen mit den Daten umgegangen wird. Kein Ausweg sei es, Betroffene auf ihre Datenschutzrechte verzichten zu lassen, etwa im Arbeitsvertrag. Oder darauf zu verweisen, dass man bei Technik und IT nicht auf dem neuesten Stand sei und deshalb zum Beispiel Löschungspflichten nicht nachkommen könne, sagt Rauch. Dann müsse eben investiert werden.

Beratender Ansatz

Dass am 25. Mai der Hammer fällt und die Aufsichtsbehörden rigoros gegen jede kleine Verfehlung vorgehen wird, glaubt Rauch übrigens nicht - aber: "Sie werden sich ganz genau anschauen, ob sich ein Unternehmen eingehend mit dem Thema beschäftigt hat oder nicht." Bei kleineren Versäumnissen werde das BayLDA wohl eher einen beratenden Ansatz verfolgen. Wer sich aber nicht um das Thema kümmere, werde mit hohen Bußgeldern rechnen müssen.

Info

 

  • Umfassende Informationen zum Thema gibt es auf der Internetseite des Bayerischen Landesamts für Datenschutzaufsicht unter der Adresse www.lda.bayern.de. Dort kann unter anderem ein Fragebogen abgerufen werden. Ist dieser durchgearbeitet, kennt man die wichtigsten Punkte der DSGVO und weiß, was die Behörde bei einer Prüfung hören und sehen will.

 

 

  • Ansprechpartner bei der IHK Oberfranken (Bayreuth) sind Stefan Cordes (Telefon: 0921/886217; E-Mail: cordes@bayreuth.ihk.de) und Susanne Göller (0921/886218; goeller@bayreuth.ihk.de).

 

 

  • Mitglieder der HWK können sich an Hans-Karl Bauer wenden (09561/51718; hans-karl.bauer@hwk-oberfrranken.de). Außerdem veranstaltet die HWK noch zwei Informationsveranstaltungen: am 7. März im Kongresshaus Coburg und am 8.März im Porzellanikon in Selb, jeweils um 18 Uhr.

 

Nicht bewertet

Anzeige

Kommentare

Klassische EU-Überregulierung, um die Interessen der IT-Industrie zu bedienen.
Ab1.1.19 sollen alle Arztpraxen online gehen, um die Stammdaten der Versicherten abzugleichen. Wir wissen alle: das Internet ist nicht sicher.
Dennoch: Jede Praxis, die sich verweigert, muß 1% ihres Umsatzes an den Staat als Strafe zahlen.
Aber wie soll man seine Daten beim Arzt sicher wähnen, wenn die EU ihn presst und der Staat auch?
Die deutsche Regierung "hat fertig" und weiß es nicht.