EU – DSGVO

Es ist Montag der 28.5.2018, also Tag 3 und Wochenstart nach dem Inkrafttreten der EU-Datenschutzgrundverordnung (GDPR). Noch ist es auf der Seite meiner Kunden ruhig. Klar, Max Schrems geht auf die Großen digitalen Giganten los aber im Großen und Ganzen ansonsten Daily Business. Das wird wohl so lange so bleiben, bis es die ersten Bußgelder nach Art 83 und Schadensersatzansprüche nach 82 DS-GVO hagelt.

Dann war ich ja auf den europäischen und deutschen Datenschutztagen (Kongress) in Berlin. Neben einigen Interessanten Gesprächen und Vorträgen, waren es einmal mehr die Materialien, die mir etwas gebracht haben. In der ZD 5/2018 (S. 197-240) bin ich nun auf eine spannende Folge von Beiträgen gestoßen. So empfiehlt sich eigentlich für jeden Datenschützer (und wer es werden will), die Lektüre ab S. 199 – 213.

  1. Hier beginnen Ehmann/Kranig (S. 199 ff.) nochmal einen kurzen Leitfaden zur Umsetzung zu geben und ich stimme gerne überein, wenn als kleines 1×1 folgendes genannt wird:

    1. Verzeichnis von Verarbeitungstätigkeiten (TOM)
    2. Datenschutzbeauftragter, DSB (EU-Vertreter)
    3. Drittverhältnisse (Auftragsverarbeitungen)
    4. Betroffenenrechte (Priorität auf der Auskunft)
    5. Zusammenarbeit mit Behörden (Meldungen)
  2. Danach erklären Wybitul/Neu/Strauch (S. 202 ff.) die Regelungen rund um den Schadensersatz:
    1. 82 DS-GVO (oft unterschätzt, kann es bei massen- und Dauerverletzungen schnell zu nicht mehr kalkulierbaren Risiken kommen)
    2. 83 DS-GVO gibt den Bußgeldrahmen und u.U. auch den Rahmen für einen möglichen Schadensersatz (auch ich bin gespannt, wie Unternehmen dies wettbewerbsrechtlich nutzen werden)
  3. Zum Abschluss geht Jung (S. 208 ff.) dann auf das Datenschutzmanagementsystem (DSMS) ein:
    1. Anlehnung an Compliance über die Accountability (Art. 5 Abs. 2 DS-GVO)
    2. Verantwortlicher versus DSB
    3. DSB versus DSMS

Der Dreiklang dieser Beiträge spiegelt aus meiner Sicht sehr gut, worauf es eigentlich ankommt. Nämlich die möglichen Risiken für ein Unternehmen im Blick (Schaden) zunächst die nötigen formalen Grundsätze umzusetzen, um dann ein Managementsystem um diese Grundsätzen zu installieren. Allerdings möchte ich anmerken, dass es wichtig ist, sich vorab Gedanken über die Ressourcen und den Ressourceneinsatz zu machen. Ich sehe aktuell viele DSB, die mit den ihnen übertragenen Aufgaben nicht sonderlich glücklich sind. Warum ist das so? Man macht sich leider vor Projektbeginn (Umsetzung DSGVO) keine Gedanken über die Rolle des Verantwortlichen, den DSB und möglicher neuer Ressourcen. Für mich ist der DSB ganz klar vom DSMS zu trennen. Auch würde ich den Datenschutz nicht dem Compliance unterordnen. Vielmehr ist der Datenschutz eine eigene Disziplin. Nicht zuletzt, weil sich der Datenschutz vielmehr zwischen Recht/IT und Management bewegt, als es Compliance tun. Wohl war, ist Compliance allem übergeordnet (Vermeidung von Fehlverhalten). DSMS gehen aber ganz tief in die IT-Systeme eines Unternehmens. So ist es geradezu lächerlich, wenn international agierende Unternehmen nur 1 FTE für das Thema vorsehen. Bei Unternehmen ab einer gewissen Größe (Bestellungspflicht EU), bei uns wohl mindestens ab Standorten im Ausland, würde ich von mindestens 3 FTE ausgehen. Dabei sehe ich den DSB, einen Manager und einen Juristen (wobei sich der Manager und der Jurist sich das Thema Audit teilen). Je nach Gestaltung kann der Jurist in der Rechtsabteilung sitzen und der Manager aus dem Bereich Revision unterstützen, dass ändert aber nichts an den 3 FTE. Ein Datenschutz Interim Manager ist gut geeignet, das Thema neutral von außen denkend, intern zu analysieren und gute Vorschläge zu unterbreiten. Aus meiner Erfahrung wollen gerade mittelständisch denkende, aber global agierende Unternehmen, das Thema Datenschutz mit der Bestellung eines DSB vollumfänglich erschlagen – hoffen wir mal, dass das kein Bumerang wird.

Verwandte Beiträge