Cookie

Interview mit Andrea Pawils

Datenschutz verpflichtend 

WAS MIT DER EU-DATENSCHUTZGRUNDVERORDNUNG AUF UNTERNEHMEN ZUKOMMT UND WARUM SIE JETZT AKTIV WERDEN MÜSSEN.

Frau Pawils, man könnte meinen, es droht allerorts eine Vervierfachung der Gewerbesteuer. Warum wird denn die Diskussion um die neue EU-Datenschutzgrundverordnung momentan so intensiv geführt?

Weil Unternehmen langsam klar wird, welche tiefgreifenden Auswirkungen diese neue Rechtsverordnung hat.

Und zwar?

In der Form, dass nun eine gute Gewohnheit allein nicht mehr ausreicht, sondern der datenschutzkonforme Umgang mit personenbezogenen Daten auch nachweisbar zu dokumentieren ist. Wir haben in Deutschland allgemein bereits ein hohes Datenschutz-Niveau. Aber dieses wird ab dem 25. Mai des nächsten Jahres zur Verpflichtung. Und zwar für ausnahmslos alle Unternehmen, die personenbezogene Daten verarbeiten.

… aber in einer Tempo-30-Zone fährt gefühlt die Hälfte aller Fahrzeuge auch deutlich schneller …

… genau das ist der Punkt. In der Tat haben sich in der Vergangenheit gerade hierzulande viele Organisationen und Unternehmen in Sachen Datenschutz sowohl sehr vorbildlich verhalten und die bestehenden Vorgaben einwandfrei umgesetzt. Auf der anderen Seite müssen wir aber feststellen, dass es ebenso Unternehmen gibt, die das Thema nicht mit der erforderlichen Priorität und den Ressourcen verfolgt haben. Das vielleicht auch deshalb, weil die Einhaltung dieser Regeln seitens des Gesetzgebers nicht konsequent nachgehalten wurde. Aber das wird sich ab dem 25. Mai radikal ändern.

Inwiefern?

Dann treten beispielsweise umfangreichere Dokumentations- und Rechenschaftspflichten in Kraft. Oder es muss einer Portabilitätsverpflichtung nachgekommen werden. Das heißt, dass ein Kunde bei einem Wechsel zum Wettbewerber seine sämtlichen Daten problemlos mitnehmen können muss. In Summe ist also ein adäquates Datenschutz-Management-System künftig ein Muss. Es ist tatsächlich eine Lawine an zu treffenden Maßnahmen, die auf die Unternehmen zurollt. Diese Maßnahmen müssen dann den Behörden nachgewiesen werden. Bis dato hatte das lediglich Richtlinien-Charakter, ab Mai 2018 ist es eine Verordnung, welche das alte Bundesdatenschutzgesetz ablöst und direkte Anwendung findet. Und kommt eine Organisation dem nicht nach, kann das Strafzahlungen in großer Höhe nach sich ziehen. In besonders schwerwiegenden Fällen können das sogar mehrere Millionen Euro sein. Man kann das in etwa mit kartellrechtlichen Auseinandersetzungen vergleichen und den dann verhängten Strafen. Zudem ist davon auszugehen, dass von Behörden da durchaus auch Exempel statuiert werden. Hier eine abwartende Haltung einzunehmen, ist aus meiner Sicht der falsche Ansatz.

Gibt es denn unternehmensübergreifend wirklich noch so viel zu tun, damit die Konformität gewährleistet ist?

Das ist völlig unterschiedlich und lässt sich auch nicht an der Unternehmensgröße festmachen. Es ist immer vom Einzelfall und dem bereits bestehenden Datenschutzniveau in dem jeweiligen Unternehmen abhängig. In der Praxis stellen wir immer wieder fest, dass die Art, wie persönliche Daten verarbeitet werden, sehr unterschiedlich sein kann. Da gibt es Licht, aber eben mitunter auch viel Schatten.

Nun ist es ja nicht mehr lange hin bis zum Mai 2018. Und wenn ein Unternehmen dem Datenschutz bis dato nicht die allerhöchste Priorität eingeräumt hat: Bekommt es denn bis dahin noch alles ordnungsgemäß umgesetzt?

Ja, das geht. Letztlich ist es eine Frage der Strukturen und Prozesse, die man schafft und auf die man aufbauen kann. Denn es ist womöglich eine gewaltige Menge, die noch umgesetzt werden muss. Letztlich beruht das Ganze auf gesetzlichen Vorgaben, die durch konkrete Maßnahmen in die Unternehmen transportiert werden müssen. Das bleibt also im Rahmen. Viel wichtiger ist jedoch der langfristige Gedanke dahinter.

… der wäre?

Es kommt in der Digitalisierung ja bekanntermaßen zu immer größeren Datenmengen und auch zu Geschäftsmodellen, die allein auf der Verarbeitung von Daten beruhen. Deshalb sind Unternehmen sehr gut beraten, in alle ihre Prozesse oder bei der Einführung neuer IT-Systeme datenschutzkonforme Grundeinstellungen von Beginn an miteinzubeziehen. Das lässt sich mit Qualitätsmanagement oder Methoden der Informationssicherheit vergleichen. Ein „Datenschutz by Design“ ist also genau der richtige Ansatz für die Zukunft.

 

Andrea Pawils

Andrea Pawils ist seit über 5 Jahren bei Telekom MMS und inzwischen Senior Consultant Data Privacy und zertifizierte Datenschutzbeauftragte. Als Volljuristin mit beruflichen Erfahrungen unter anderem im Verwaltungs- und Sozialrecht absolvierte sie auch eine Ausbildung zur Qualitätsmanagerin. Datenschutz ist in allen Lebensbereichen und Rechtsgebieten immer wieder ein Thema und so war es vorhersehbar, sich irgendwann intensiver mit dem Thema zu beschäftigen. Mit Leidenschaft zum Datenschutz berät sie interne und externe Kunden und verliert dabei die unternehmerische Sicht nie aus den Augen.