3 häufige Fallstricke im Datenschutz und Datensicherheit

Seit Mai 2016 ist die DSGVO in Kraft, und doch tun sich viele Unternehmen schwer. Datenschutz rückt weiter in den öffentlichen Fokus. Wie vertraulich Unternehmen mit Daten umgehen, wird immer mehr zu einem Wettbewerbsvorteil. Doch auf dem Weg zur Datenschutz-Compliance lauern viele Fallstricke – teils aus Unwissenheit, teils aus Unklarheit und teils aus unternehmerischen Desinteresse.

1. Fallstrick: Einstellung zum Datenschutz

Leider ist häufig die Einstellung zum Datenschutz und zur Datensicherheit ein großes Problem: Interessenverbände, Falschmeldungen in der Presse und auch Panikmache seitens unseriöser Datenschutzberater haben dem Datenschutz ein Kommunikationsproblem eingebrockt. „Das ist doch nur für die Großen wie Facebook, mich kleiner Handwerksbetrieb überfordert das. Also lasse ich’s gleich!“ ist ein häufig hervorgebrachtes Scheinargument, wenn man bei KMU den Stand der Datenschutz-Compliance (Compliance, engl., Wirtschaftsjargon: regelgerechtes, vorschriftsgemäßes, ethisch korrektes Verhalten) abfragt.

Es zeigt sich: Datenschutz muss vorgelebt werden – und zwar von oben nach unten. Der Unternehmer, das Management in Unternehmen, gleich welcher Größe, müssen verbindliche Datenschutz-Leitlinien vorgeben und leben. Denn sonst überträgt sich die Gleichgültigkeit der Führung gegenüber Datenschutz und Daten-/Informationssicherheit auf die Mitarbeiter. Mit einer solchen Einstellung wird sich niemals eine verbindliche und individuelle Datenschutz-Regelung im Betrieb etablieren lassen.

2. Fallstrick: Interessenkonflikt IT vs. Datenschutz

Viele Unternehmen haben einen durch die DSGVO einen externen Datenschutzbeauftragten bestellt – das ist auch gut so! Doch hier ist besondere Vorsicht bei der Auswahl des externen Datenschutzbeauftragten geboten. Wer diese als Unternehmer (= Verantwortlicher) nicht walten lässt, dem drohen schlimmstenfalls bei einer Prüfung durch die Datenschutz-Aufsicht ein Bußgeld von bis zu zehn Mio. Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (siehe Art. 83 Abs. 4 lit. a DS-GVO).

Aus Kostengründen haben viele Unternehmen häufig die IT-Abteilung outgesourced. Viele dieser IT-Dienstleister haben zusätzlich die Datenschutz-Beratung in ihr Leistungsportfolio aufgenommen. So wurde diese, neben ihrer Beauftragung in Sachen IT auch als externer Datenschutzbeauftragter bestellt. Im Markt finden sich zwei Ausprägungen:

1. Der IT-Dienstleister hat die Datenschutz-Leistung in eine zweites, ihm gehörendes, Unternehmen ausgelagert. Um den Datenschutz kümmert sich „der Chef“ selbst oder extra angestellte Mitarbeiter.
2. Die Leistungen im Datenschutz und der IT werden unter „einem Dach, aus einer Hand“ angeboten und extra angestellte Mitarbeiter, die nichts mit der IT zu tun haben, kümmern sich beim Verantwortlichen um den Datenschutz.

Dem aufgeklärten verantwortlichen Unternehmer fällt sofort der mögliche Interessenkonflikt auf und es muss, insbesondere im Fall a), eine dokumentierte Prüfung statt finden, ob eine tatsächliche Unabhängigkeit gegeben ist. Im Fall b) ist der abhängig beschäftigte Mitarbeiter in einer dauerhaften Zwickmühle: als externer Datenschutzbeauftragter muss er dem Verantwortlichen mögliche Schwachstellen in der IT melden (= möglicher Konflikt mit dem Arbeitgeber) – oder eben nicht melden (= möglicher Konflikt mit dem verantwortlichen Auftraggeber).

Es liegt im Verantwortungsbereich des Verantwortlichen oder des Auftragsverarbeiters (hier: z.B. ein IT-Dienstleister), dass zusätzliche Aufgaben und Pflichten nach Art. 39 DS-GVO, die auch ein externer Datenschutzbeauftragter ausführen darf, nicht zu einem Interessenkonflikt nach Art. 38 Abs. 6 S. 2 DS-GVO führen.

Bei einem IT-Dienstleister, der sich mit ihm verbundenen externen Datenschutzbeauftragten selbst berät und kontrolliert, sollte jedem verantwortungsbewusstem Unternehmer die Alarmglocken schrillen, oder frei nach Wilhelm Busch: „Drum prüfe, wer sich ewig bindet, /
Ob sich nicht was Bess’res findet.“

3. Fallstrick: Stand der Technik

Während sich die Fallstricke Nr. 1 und Nr. 2 viel mit den internen Umgang der verantwortlichen Unternehmen mit dem Datenschutz beschäftigen, hat im letzten und 3. Fallstrick der Gesetzgeber eine Unsicherheit in die Umsetzung hinein gebracht: der Stand der Technik.

Nach Art. 32 DS-GVO sind „unter Berücksichtigung des Stands der Technik“ geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung zu treffen. Nur ist keinem wirklich klar, was der Stand der Technik ist und wie man den Stand der Technik definiert.

Doch warum hat der Gesetzgeber nun diese Unschärfe festgeschrieben? In den ersten IT-Gesetzen wurden noch konkrete Begrifflichkeiten wie „Anti-Virus“ verwendet und es wurde vorgeschrieben, dass ein solches Programm auf allen Endpunkten installiert sein muss. Eine klare und einfache Vorgabe, die Unternehmen leicht einhalten können. Die Kehrseite der Medaille: durch die technische Entwicklung wird das Gesetz obsolet und müsste turnusmäßig angepasst werden.

Jedes Unternehmen braucht ein individuelles Konzept für Datenschutz und Datensicherheit: während für das eine Unternehmen eine gesetzlich vorgeschriebene Technologie nicht ausreicht, ist sie zugleich für ein anderes Unternehmen viel zu komplex. Eine unscharfe Formulierung wie „Stand der Technik“ macht also durchaus Sinn.

Datenschutz und IT-Sicherheit, beides Seiten ein und derselben Medaille, sind Prozesse, die stetig überprüft und verbessert werden müssen. Sie sind ein Prozess, technische Verbesserungen müssen berücksichtigt und, wenn nötig, eingeführt werden. Es braucht in beidem eine sinnvolle Strategie, um wirksam zu sein.

Ein Punkt einer solchen Strategie ist, den Schutz von Daten ernst nehmen (siehe Fallstrick Nr. 1). IT-Sicherheit und der Verlust von personenbezogenen Daten waren für betroffene Unternehmen nur ein geringes Problem, welches eher als Kostenfaktor angesehen wurde. Die Datenschutz-Grundverordnung verleiht den Daten nun einen hohen Wert und Strafen bei Datenpannen sind empfindlich, wie sich in aktuellen Presseberichten nachlesen lässt. Dies soll Unternehmen zwingen, in puncto Datenschutz und Datensicherheit umzudenken und ihrer Verantwortung (endlich) gerecht zu werden.

Um der individuellen Strategie dem „Stand der Technik“ anzupassen, gibt es verschiedene Methoden und Handreichungen. Der IT-Grundschutz ist eine solche Methode. Ebenso methodisch, aber praktikabler für Unternehmen: VdS 10000 in Verbindung mit VdS 10010. Auch der Bundesverband der IT-Sicherheit e.V. hat eine 2019 veröffentlichte Handreichung zum „Stand der Technik“ basierend auf dem IT-Sicherheitsgesetzt und der DSGVO herausgeben, die als Planungsleitfaden einer IT-Sicherheitsstrategie dienen kann.

Fazit: Mehr Datenschutz wagen

Fallstricke und Unschärfen begegnen Unternehmer täglich. Auch die Datenschutz-Grundverordnung ist da keine Ausnahme. Mit qualifizierten Partnern lassen sich diese Fallstricke aber umgehen und eine Datenschutz-Compliance und eine IT-Sicherheitsstrategie belastbar dokumentieren. Datenschutz wird mit zunehmender Digitalisierung und mit Industrie 4.0 ein wichtiger Wettbewerbsvorteil für Unternehmen sein.

Wer sich heute gut aufstellt, sieht der Zukunft gelassen entgegen.

Christopher Schroer

Christopher Schroer (*1977) ist Inhaber der firstbyte digital consulting e.K. und berät KMU in Fragen zur Digitalisierung, Datenschutz und Datensicherheit. Da bei verbindet er Wissen aus Design, IT-Sicherheit, Datenschutz, Ethik und Marketing. Und zwar seit fast 20 Jahren immer zuverlässig, konsequent und pragmatisch. Vielen Klienten arbeiten über zehn Jahre mit ihm sehr erfolgreich zusammen.