Datenschutzgrundverordnung (DSGVO) Fluch oder Segen?

Von Albert Manzinger

Nachdem sich das Inkrafttreten der DSGVO mit Riesenschritten nähert und ich diesbezüglich aktuell jede Menge Diskussionen dazu habe, möchte ich das in unserem Blog kurz reflektieren. Vielleicht sind auch Sie aktuell am Überlegen wie sie das lösen?

Grundsätzlich ist die Überlegung den Datenschutz in Europa möglichst zu vereinheitlichen, in einer immer globaleren Welt, nachvollziehbar. Auch das Anpassen der Strafen und Sanktionen erscheint mir durchaus sinnvoll. Die bisherigen Höchststrafen (oft nur um die € 15.000.-) zahlen die größeren Konzerne aus der Portokasse. Soweit so nachvollziehbar.

Aber wenn man sich die Papiere oder besser „Wälzer“ mal ansieht und betrachtet, wie lange es gedauert hat bis man sich auf dieses gemeinsame Papier geeinigt hatte, spricht das auch Bände. Gestartet wurde die Initiative immerhin schon bei einer EU Konferenz zur Überprüfung der bestehenden Datenschutzregelungen im Mai 2009, also vor fast 9 Jahren !

Andererseits umfasst es viele Bereiche. Organisatorische, rechtliche und technische Aspekte werden erfasst. Das ist ein ganzheitlicher Ansatz, was ich gut finde. Dem steht entgegen, dass Hilfe, die aus einem der genannten Bereiche kommt, oft etwas einseitig und damit zu wenig aussagekräftig ist. So wird man ohne Unterstützung bei dem komplizierten Thema kaum auskommen. Das beutet vermutlich, es kostet Zeit und Geld. Nachdem der Ansatz ganzheitlich ist, sind alle Bereiche des Unternehmens zu analysieren. Je größer das Unternehmen und je mehr Verarbeitung personenbezogener Daten erfolgt, je umfangreichen kann das werden. Ziemlich sicher bleibt es nicht nur bei der Analyse : Entsprechende organisatorische und technische Maßnahmen müssen getroffen, Mitarbeiter geschult und Verträge mit Auftragsverarbeitern abgeschlossen werden. Spätestens ab jetzt wird einem bewußt, wieviel Zeit das Kosten kann. Im Gegenzug mache ich damit keinen Cent mehr Umsatz, zumindest nicht sofort oder direkt zuordenbar. So gesehen ist es eher Fluch statt Segen.

Wir befinden uns aber gerade in einer Zeit der zunehmenden Digitalisierung, nein eher bereits in der digitalen Transformation. Ob es uns gefällt oder nicht, zukünftige Geschäftsmodelle werden anders aussehen (müssen). Da stellt sich die Frage, wie ist mein Unternehmen darauf vorbereitet? Haben Sie hierzu schon mal eine aktuelle Bestandsaufnahme gemacht? Da  geht es auch um Prozesse und technisch/digitale Fähigkeiten. Würde man also die Gelegenheit nutzen und eine solche „Inventur“ gleich mit der Überprüfung und Umsetzungsbegleitung für die DSGVO verbinden, wäre es dann nicht eher ein Segen? Naja, vielleicht ist Segen etwas übertrieben, aber oft braucht es ja bestimmte Anlässe, damit man sich einer Sache widmet. Als ein solcher Anlass könnte die DSGVO durchaus verstanden werden.

Manchmal entsteht an der Stelle auch die Diskussion, was man nun machen soll? Die Meinungen gehen dabei von „gar nichts machen“ bis hin zu „wir wollen Musterknabe sein“. Gar nichts zu machen halte ich für keine gute Idee. Immerhin ist es eine europaweit gültige Verordnung die mit € 20 Mio. (oder 4 % des Konzernumsatzes/Jahr) teuer werden kann. Selbst wenn die Datenschutzbehörde nicht von selbst kommt und prüft, was bei kleineren Unternehmen nicht gleich unbedingt zu erwarten wäre, reicht doch ein Kunde, der ein Problem sieht und das meldet. Spätestens dann erfolgt eine Prüfung und wenn man dann nichts der vorgeschriebenen Regelungen vorweisen kann, ist das sicher eher schädlich als förderlich bei den zu erwartenden Sanktionen. Musterknabe braucht man aber sicher auch keiner zu sein. Meiner Meinung nach zahlt es sich gerade bei KMUs aus, genauer hinzusehen, da lassen sich oft auch Dinge optimieren. Vielleicht sammeln sie Daten, die sie nicht unbedingt brauchen und wenn sie darauf verzichten, können sie viel Umsetzungsarbeit sparen? Speziell bei KMUs sehe ich oft die Möglichkeit einer sehr effizienten Umsetzung der DSGVO.

Bleibt die Überlegung, wie gehe ich es an? Selber machen? Kann man, ist aber viel Arbeit und eine komplizierte und für viele nicht leicht zu verstehende Materie.
Den Anwalt machen lassen? Kann man auch, ist aber meiner Meinung nach oft die teuerste Lösung und deckt er organisatorische und technische Aspekte ausreichend ab?
Wirtschaftsprüfer? Der ist kein Anwalt und kein ITler.
Wer auch immer es werden soll, er oder sie sollte als Projektleiter einen sehr guten Überblick über die DSGVO und die verschiedenen betroffenen Fachbereiche, die sie betrifft (organisatorisch, rechtlich, IT), haben. Im Idealfall deckt er damit alles ab. Je nach Unternehmen können dann noch Spezialfragen auftreten, die sollten dann entsprechend kontrolliert und mit genauen Vorgaben ausgelagert werden.
Hier sollte nicht der Schwanz mit dem Hund wedeln, dann spart das Kosten und amortisiert vielleicht sogar die Beratung?