Viereinhalb Jahre im Zeichen der EU-DSGVO haben dafür gesorgt, dass das Thema Datenschutz bei den meisten Unternehmen in Deutschland in den Fokus gerückt ist. Allerdings sind viele Firmen über anfängliche Bemühungen nicht hinausgekommen. Das macht kompetente Beratung dringend erforderlich.
Unklare Regelungen und uneinheitliche Auslegung der DSGVO machen der Wirtschaft zu schaffen, konstatiert eine kürzlich veröffentlichte Bitkom-Studie. Demnach haben zwar 93 Prozent der Unternehmen die Investitionen in Datenschutz hochgefahren. Dass sie mit der Umsetzung aber dennoch nicht weiter sind, dafür geben die Firmen Gründen die Schuld, die sie nicht selbst zu verantworten haben. Sie sehen sich vor allem mit Rechtsunsicherheit und einer widersprüchlichen Auslegung der Datenschutzvorgaben innerhalb Europas und zwischen den Bundesländern konfrontiert. Von den Datenschutz-Aufsichtsbehörden in den Ländern und im Bund fühlen sich längst nicht alle gut betreut. „Dem Datenschutz in Deutschland wäre gedient, wenn die Aufsicht bei der praktischen Umsetzung der Datenschutzvor-gaben viel stärker unterstützen würde“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäfts-leitung. „Dazu gehören praxis-nahe Empfehlungen ebenso wie konkrete Auskünfte. Es muss gemeinsam darum gehen, Datenschutzvorgaben in gelebte Prozesse und Geschäftsmodelle zu übersetzen.“
„Datenschutz ist in einigen Unternehmen tatsächlich nur eine Software, die man 2018 angeschafft hat. Eine Betreuung beim Aufbau eines Datenschutz-Managements durch externe Berater findet nicht statt“, so die Beobachtung von Thomas Ströbele, Geschäftsführer von YourIT. Mangels Datenschutz-Erfahrung im Unternehmen passiere seit viereinhalb Jahren einfach nichts.
Zumindest die Basis scheint geschaffen zu sein: „Erfahrungsgemäß haben viele Unternehmen die Vorgaben der DSGVO insoweit umgesetzt, als ein aktuelles Verzeichnis der Verarbeitungstätigkeit geführt wird. Im Regelfall haben die Unternehmen Vorkehrungen geschaffen, dass Auskunftsanfragen von Kunden über deren gespeicherte Daten innerhalb der von der DSGVO vorgegebenen Frist umfassend beantwortet werden“, sagt Rechtsanwalt Florian Hitzler, er betreut bei der Dr. Stoll & Sauer Rechtsanwaltsgesellschaft das Thema Datenschutz.
Datenschutz präsent halten
Das wird allerdings nicht ausreichen. Und gerade die aktuelle Situation rund um Ukraine-Krieg und Inflation führt dazu, dass das Thema Datenschutz bei einigen Firmen noch stärker in den Hintergrund zu rücken droht. „In den vergangenen Jahren haben wir ein großes Interesse und Engagement der Unternehmen in Bezug auf den Datenschutz beobachtet. Wir fürchten allerdings, dass sich das angesichts der aktuell angespannten Lage bei kleineren Firmen ändern könnte“, sagt Thorsten Urbanski, Sprecher bei Eset Deutschland. Das sei fatal, da Verstöße im Bereich Datenschutz und die dafür anfallenden Strafgelder gerade diese Unternehmen besonders hart treffen könnten.
Rechtsanwalt Hitzler sieht zudem Nachholbedarf bei vielen Firmen hinsichtlich der IT-Sicherheit: „In letzter Zeit sind viele Datenpannen bekannt geworden. Gerade wenn Kunden- oder Mitarbeiterdaten aufgrund einer Datenpanne oder durch kriminelle Aktivitäten in falsche Hände kommen, droht zum einen durch die Aufsichtsbehörde ein Bußgeld in erheblichem Umfang, zum anderen können sämtliche Betroffenen Schadensersatzansprüche gegen das Unternehmen geltend machen.“
Aktuelle Herausforderungen
Auch abseits der DSGVO tut sich einiges in Sachen Datenschutz. So hat beispielsweise der Europäische Gerichtshof die deutschen Vorschriften zur Vorratsdatenspeicherung für rechtswidrig erklärt. „Das Urteil des EuGH zur Vorratsdatenspeicherung bestätigt unsere seit vielen Jahren vertretene Auffassung, dass eine Vorratsdatenspeicherung unverhältnismäßig ist“, sagt Patrick Häuser, Hauptstadtbüroleiter Bundesverband IT-Mittelstand e.V. (BITMi). Zudem wirke es sich auf den IT-Mittelstand innovationshemmend aus, wenn nicht nur große Telekommunikationsgesellschaften, sondern auch kleine und mittelständische IT-Unternehmen die harten Auflagen der Vorratsdatenspeicherung erfüllen müssten.
Aber auch darüber hinaus gibt es einige wichtige Entwicklungen beim Datenschutz, die Unternehmen unbedingt im Auge behalten sollten. Hendrik Flierman, Vice President Global Sales & Marketing bei G Data CyberDefense, macht hier beispielsweise auf den Abschluss neuer Standardvertragsklauseln aufmerksam. „Bestehende Altverträge müssen bis zum 27. Dezember 2022 zwingend darauf umgestellt werden. Betroffen sind davon Anwendungen und Online-Dienste, die entsprechende Informationen in Staaten außerhalb der EU verschicken. Viele Reseller und Unternehmen nutzen diese. Beispiele dafür sind bekannte Trackingtools oder Videoplattformen.“ Flierman rät Verantwortlichen in Unternehmen außerdem dazu, die Entwicklung des Data Acts im Auge zu behalten, weil es sie unmittelbar betrifft, wenn sich die Regelungen rund um den Austausch von Informationen zwischen Unternehmen oder die Nutzung von Kundendaten ändern. „Verstöße könnten teure Bußgelder verursachen.“