Anzeige

EU-Datenschutz: das kommt auf Unternehmen zu

Der »Europäische Datenschutztag«, der immer am 28. Januar stattfindet, hatte es dieses Jahr in sich. Es wird wohl unabwendbar, dass sich die Europäische Union auch in die nationalen Datenschutzgesetze einmischt. Dabei gilt das deutsche Bundesdatenschutzgesetz bislang ohnehin als eines der härtesten europaweit.

Das Deutsche Datenschutzrecht (Bild: Amazon)
Das Deutsche Datenschutzrecht (Bild: Amazon)
Die EU-Justizkomissarin Viviane Reding kündigte eine Harmonisierung der nationalen Datenschutzgesetze in Europa an. Die derzeit geltende Richtlinie soll durch eine »Allgemeine Europäische Datenschutzverordnung« abgelöst werden. Einen Datenverlust oder -missbrauch, so die Pläne in der EU-Datenschutzrichtlinie, müssten betroffene Unternehmen innerhalb von 24 Stunden melden. Je nach Schwere des Verstoßes sollen die Aufsichtsbehörden Bußgelder zwischen 0,5 und 2,0 Prozent des Umsatzes verhängen können.

Firmenlenker haben »Sorgfalt eines ordentlichen Geschäftsmannes«

Der Gesetzgeber sieht vor, dass Firmenlenker mit der »Sorgfalt eines ordentlichen Geschäftsmannes« das notwendige Risikomanagement implementieren, um jeglichen Schaden vom Unternehmen abzuwenden. Und dieses Risikomanagement umfasst in Deutschland neben der Benennung eines Datenschutzbeauftragten auch die Einführung von Strukturen, die den Datenschutz beispielsweise von Mitarbeiter- und Kundendaten sowie von Interessenten oder Online-Bewerbern sicherstellen.

Kommt es zum Beispiel zum Diebstahl personenbezogener Daten, etwa durch einen Hackerangriff im Netz, geht es im Zweifelsfall immer dem GmbH-Geschäftsführer an den Kragen. Ähnlich wie der Vorstand einer AG kann er persönlich in die Haftung genommen werden: Je nach Ausmaß des Schadens drohen ihm selbst bei Fahrlässigkeit Bußgelder bis zu 250.000 Euro oder Freiheitsstrafen von bis zu zwei Jahren.

Mittelstand hat jetzt echte Probleme

Das trifft natürlich mittelständische Unternehmen ganz besonders. Ihre Geschäftsführer tanzen täglich auf vielen Hochzeiten: hier eine Entscheidung über die nächste Investition, gleich danach umschalten auf das nächste Einstellungs- oder Mitarbeitergespräch, vielleicht noch eine Qualitätsprüfung im Werk vornehmen, dann weiter zur Präsentation mit dem Kunden außer Haus, um einen wichtigen Geschäftsabschluss vorzubereiten und abends noch schnell ein Angebot für den nächsten Tag prüfen. Der operative Alltag von Geschäftsführern ist häufig rasant. Wer hat da noch Zeit für die innerbetriebliche Regelung des Datenschutzes?

»Eine riskante Einstellung, denn die persönlichen Haftungsrisiken für Geschäftsführer gerade auch im Datenschutz sind enorm. Datenschutz ist immer auch Chefsache«, erklärt Olaf Siemens, Geschäftsführer der TÜV Rheinland i-sec. Der TÜV Rheinland offeriert deshalb eine 360-Grad-Analyse, die Aufschluss über aktuellen Stand und Wirksamkeit bestehender Datenschutzmaßnahmen in einem Unternehmen geben soll. Sie zeigt eigenen Angaben zufolge gefährliche Lücken und bislang ungenutzte Potenziale auf.

TÜV Rheinland offeriert externe Datenschutzbeauftragte

Und in noch einem Punkt hat der TÜV Rheinland eine pragmatische Lösung parat: Bei Bedarf stellt er auch einen externen Datenschutzbeauftragten zur Verfügung. Dieser entwickelt unter anderem Maßnahmen zum Schutz von Persönlichkeitsrechten, führt interne Datenschutz-Schulungen mit der Belegschaft durch und sensibilisiert für die gesetzlichen Anforderungen des Bundesdatenschutzgesetzes sowie der europäischen Bestimmungen.

Keine Angst, beruhigt Iron Mountain Deutschland

Hans-Günter Börgmann
Müssen jetzt generell wegen der kommenden EU-Datenschutzrichtlinie Unternehmer Angst davor haben? »Nein, das sicher nicht. Sie sollten sich die neue Richtlinie aber als Anreiz nehmen, um einen kritischen und ehrlichen Blick auf den eigenen Datenschutz zu werfen«, meint Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland. »Sind alle sensiblen Daten wie Kundeninformationen besonders gesichert? Wo gibt es vielleicht Mängel? Viele Unternehmen gehen bislang noch nicht ausreichend verantwortungsvoll mit ihren Daten um.«

Spätestens mit Blick auf die geplante neue Regelung sollten aber alle Unternehmen dafür sorgen, dass ihre sämtlichen Daten bestmöglich geschützt sind, meint Börgmann: »Dabei können und sollen Verantwortliche durchaus auch die Unterstützung und Beratung eines externen Dienstleisters, der auf den Schutz von Daten spezialisiert ist, in Anspruch nehmen.«

Fortschritt für den Datenschutz in Europa?

Im Einklang mit dem TÜV Rheinland empfehle auch Börgmann Unternehmen jeder Größe, unbedingt einen Datenschutzbeauftragten einzusetzen: »Zwar wird dies nach der neuen EU-Datenschutzrichtlinie erst für Unternehmen ab 250 Mitarbeitern verpflichtend sein, mangelnder Datenschutz oder Datenpannen liegen aber häufig daran, dass sich niemand im Unternehmen für das Thema zuständig fühlt.«

Börgmann kann der unsäglichen EU-Einmischung sogar positives abgewinnen: »Die neue Datenschutzrichtlinie ist ein Fortschritt für den Datenschutz in Europa und stärkt die Rechte der Verbraucher. Aber auch Unternehmen profitieren von der neuen Regelung. Besonders für international tätige Unternehmen soll sich der Bürokratieaufwand deutlich reduzieren. Daneben kann der verantwortungsvolle Umgang mit Daten beispielsweise aber auch ein positives Signal für die Öffentlichkeit, Kunden oder Partner sein.«

Varonis moniert zu viele ältere IT-Sicherheitsanwendungen

Nicht ganz so schlimm sieht man es auch im Hause des Data-Governance-Spezialisten Varonis Systems. »Was die praktischen Herausforderungen angeht, klagen viele IT-Security-Manager über technische Probleme bei der umfassenden und ständigen Überwachung ihrer Daten«, sagt Arne Jacobsen, Director DACH bei Varonis. »Dies ist zwar verständlich, doch mit der richtigen Technologie lassen sich diese Probleme ganz einfach aus der Welt schaffen.«

Denn viele ältere IT-Sicherheitsanwendungen seien nicht in der Lage, sowohl strukturierte als auch unstrukturierte Daten in Echtzeit zu überwachen und nachzuverfolgen, wer welche Daten wie nutzt. Laut Jacobsen ist die Einführung gemeinsamer Datenschutznormen für die gesamte EU deshalb überfällig. Er räumt freilich ein, dass sich die Umstellung auf die neuen Richtlinien für einige internationale Konzerne und Unternehmen, die neue Märkte in EU-Ländern erschließen, als komplex erweisen könnte.

Alle Unternehmen werden gleich behandelt

»Ein wichtiger Punkt in den neuen Regelungen, der mich aufhorchen lässt«, betont Jacobsen, »ist, dass die neuen Bestimmungen von allen Unternehmen erfüllt werden müssen, die Datenbanken mit persönlichen Informationen wie Kundendaten, interne Personalverzeichnisse oder andere Listen anlegen. Außerdem müssen alle Organisationen nachweisen können, wie und weshalb sie personenbezogene Daten verwenden.«

Jacobsen begrüßt insbesondere die Regelung, dass Unternehmen jeden Verlust von Informationen sofort der zuständigen Behörde sowie allen betroffenen Parteien melden müssten, sowie die Pflicht zur Ernennung eines Datenschutzbeauftragten für Organisationen mit mehr als 250 Mitarbeitern.

Regelung gilt auch für US-Unternehmen in Europa

»Durch die Bestimmung eines Datenschutzbeauftragten wird die Aufmerksamkeit von Unternehmen deutlich stärker auf dieses große Problem des digitalen Zeitalters gerichtet«, meint der Varonis-Manager. »Außerdem kann so sichergestellt werden, dass die meisten Organisationen in Bezug auf die neuen Regelungen ihren Worten auch Taten folgen lassen«.

Ein weiterer positiver Aspekt ist nach Meinung von Jacobsen, dass die Regelungen auch für außereuropäische – insbesondere US-amerikanische – Unternehmen gelten, die ihre Waren und Dienstleistungen in der EU anbieten möchten: »Denn so können ähnliche Anforderungen wie die US-amerikanischen Sarbanes-Oxley-Regeln (SOX) für die Unternehmensführung ausgeglichen werden.«

EU-Pläne bleiben letztendlich umstritten

Bereits in der vergangenen Woche äußerte Verfassungsrichter Johannes Masing in der »Süddeutschen Zeitung« seine Bedenken, dass mit der Neuregelung im Datenschutz auf EU-Ebene nationale Grundrechte nicht mehr anwendbar seien. Das Verfassungsgericht selbst müsse seine Kontrollfunktion in wesentlichen Bereichen aufgeben. 30 Jahre Rechtsprechung zum Datenschutz und zur informationellen Selbstbestimmung in Deutschland wären dann »Makulatur«.

Auch der Deutsche Dialogmarketing Verband (DDV) moniert die EU-Vorschläge heftig. Die nun von der EU geforderten Restriktionen bedeuteten eine deutliche Verschärfung für die Wirtschaft. »Die mutmaßlichen Forderungen der EU-Kommission würde Neukundengewinnung, wie sie bisher stattfand, nahezu unmöglich machen«, erklärt Dieter Weng, Präsident des DDV. »Wir fürchten ernsthaften volkswirtschaftlichen Schaden für manche Geschäftszweige.«

.
Anzeige