Fast zwei Jahre nach Inkrafttreten der Europäischen Datenschutz-Grundverordnung haben viele kleine und mittlere Unternehmen (KMU) nicht einmal die grundlegenden Hausaufgaben der DSGVO gemacht. Nun drohen Bußgelder. Dr. Sebastian Kraska von der IITR Datenschutz GmbH erklärt im Interview, warum gerade kleinere Unternehmen jetzt schleunigst ihre Lücken in der IT-Sicherheit schließen sollten.
Datenschutzrecht gab es auch schon vor der DSGVO. Ist ja alles nicht so neu, oder? „Ja, aber im Detail ist die DSGVO doch an vielen Stellen anders. Und: Sie ist mit Bußgeldrisiken versehen, die ein Abwarten oder Nichtstun nicht mehr opportun erscheinen lassen. Die Haftungsrisiken sind ganz exorbitant gestiegen“, erklärt Dr. Sebastian Kraska, Rechtsanwalt und Gründer der IITR Datenschutz GmbH. So haben die deutschen Datenschutzaufsichtsbehörden im vergangenen Jahr mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) beispielsweise ein neues Bußgeldmodell verabschiedet. Dieses Konzept der Bußgeldzumessung in Verfahren gegen Unternehmen, das im Oktober 2019 veröffentlicht wurde, zeigt ebenso deutlich wie das Verfahren gegen die Telekommunikationsfirma 1&1, dass DSGVO-Bußgelder auch in unangenehm hohe Regionen steigen können.
„Es gibt ein kleines Datenschutz-Einmaleins, das muss einfach sitzen.“
Natürlich lassen sich kleine und mittlere Unternehmen nicht mit Konzernen wie 1&1 vergleichen. Und selbstverständlich sind die schmerzhaften Bußgelder auch umsatzabhängig. „Mein Eindruck ist, dass die aufsichtsrechtliche Praxis durchaus versucht, ein wenig glättend zu wirken und mit Außenmaß zu agieren. Es gibt aber ein kleines Datenschutz-Einmaleins, das muss einfach sitzen“, weiß Dr. Kraska. Bei grundlegenden DSGVO-Verstößen müssen die Aufsichtsbehörden aber einfach aktiv werden und dann greift die sogenannte Rechenschaftspflicht. War früher die Aufsichtsbehörde in der Pflicht, ein datenschutzwidriges Verhalten nachzuweisen, so sind nun die Unternehmen verpflichtet, ihr datenschutzkonformes Verhalten zu dokumentieren.
Aus dem systematischen Wechsel hin zur Rechenschaftspflicht lassen sich auch Schlussfolgerungen ziehen, wie eine veränderte Compliance unter der Datenschutz-Grundverordnung auszusehen hat. Unternehmen sollten zunächst in einem Handbuch oder einer Policy dokumentieren, wie sich ihr Haus zu den verschiedenen Themen des Datenschutzes aufstellt. Großunternehmen machen das vielleicht auf ISO-Standards aufbauend, doch bei kleineren Firmen reichen meist zwei oder drei Seiten, auf denen die wichtigsten Fragen geklärt werden. Dieses Datenschutz-Handbuch steht dabei auf drei zentralen Säulen: IT-Sicherheit, Dokumentation der Verarbeitungstätigkeiten und Einbindung von Drittdienstleistern. „Egal, ob ich das vor Großunternehmen in Amerika vortrage, vor deutschen Mittelständlern oder kleinen Unternehmen: dieses Datenschutz-Einmaleins ist immer das gleiche“, so Dr. Kraska.
Und worin unterscheiden sich kleine und mittleren Unternehmen von den Großen? „Mein Eindruck ist, dass viele KMU die grundlegenden Hausaufgaben noch nicht gemacht haben. Da kann es schnell unangenehm werden, wenn die Aufsichtsbehörde aufschlägt.“ Neben dem Erfüllen formaler Voraussetzungen sollten KMU vor allem die IT-Sicherheit nicht unterschätzen. Insbesondere weil hier Bußgelder leichter vermittelbar sind, so Dr. Kraska: „Wenn ich ein mittelständisches Unternehmen wegen formaler Fehler hänge, dann sagt vielleicht der ein oder andere: ‚Was soll das?‘ Wenn ich aber sage: ‚Die haben IT-Sicherheitsstandards absolut unterschritten‘, dann sind das schon Themen die leichter in der Öffentlichkeit vermittelbar sind. Da ist man sicher gut beraten, die Lücken zu schließen.“
Mehr Audio und Video zur DSGVO
- Verantwortliche und Auftragnehmer stecken im Haftungsdilemma (Podcast mit Dr. Kraska, Teil 2)
- Sir Datelot schlägt sich zur Zertifizierung durch (Video zu Schulungen, E-Learning und Konformitätsnachweisen)