EU-DSGVO: Wann Rache wirklich süß schmeckt

Thomas Ströbele wird in letzter Zeit vermehrt auf die EU-DSGVO angesprochen. Die meisten Firmen im Mittelstand meinen, sie müssten wegen des am 25.Mai 2018 in Kraft tretenden Datenschutzgesetzes nichts unternehmen. Ein Irrtum, der empfindlich teuer werden kann.

Thomas Ströbele ist Datenschutzexperte und Geschäftsführer beim Systemhaus Yourit
(Foto: CRN)

CRN: Herr Ströbele, als Datenschutzexperte müssen Sie wissen, wo der Denkfehler sitzt?

Thomas Ströbele: Er resultiert daraus, dass das Bundesdatenschutzgesetz heute schon einen Datenschutzbeauftragten in Unternehmen verlangt, wenn personenbezogene Daten verarbeitet werden, bei Firmen unter zehn Mitarbeitern aber Ausnahmen kennt. Die EU-DSGVO kennt eine solche Ausnahme nicht mehr. Sobald eine Firma Auftragsverarbeiter ist, muss sie unabhängig von der Mitarbeiterzahl einen Datenschutzbeauftragten benennen. Das wären alle, noch so kleine Systemhäuser, die zum Beispiel Fernwartung erbringen.

CRN: Was raten Sie angesichts der knappen Zeit bis zum Stichtag im Mai?

Ströbele: Unternehmen sollten sich jetzt einen externen Datenschutzbeauftragten suchen und bei dieser Gelegenheit ein Informationssicherheits-Managementsystem etablieren, um sich nach ISO 27001-zertifizieren zu lassen. Das wird heute schon bei vielen Ausschreibungen verlangt und künftig noch stärker eingefordert werden.

CRN: Von maximal 300.000 Euro laut Bundesdatenschutzgesetz steigt der Strafrahmen für Datenschutzverstöße auf bis zu 20 Millionen Euro und mehr – theoretisch jedenfalls. Bleibt es bei der Praxis, dass hiesige Unternehmen die verhängten Bußen aus der Portokasse bezahlen können?

Ströbele: Richter werden künftig laut EU-DSGVO eine neue Komponente in diesem Gesetz berücksichtigen müssen: Die Abschreckung nämlich. Ich rechne damit, dass Richter künftig hohe Bußgelder bei Verstößen aussprechen werden, alles andere wäre ja Rechtsbeugung.

CRN: Wo kein Kläger, da kein Richter?

Ströbele: Das mag im Einzelfall stimmen. Ich kenne allerdings Fälle, wo gekündigte oder frustrierte Mitarbeiter ihren Arbeitgeber bei Datenschutzbehörden wegen Mängel im Datenschutz angezeigt haben. Bei künftig empfindlich hohen Bußgeldern würde dann die Rache wirklich süß schmecken.

CRN: Also noch vor dem kommenden Mai schnell handeln?

Ströbele: Ja. Und jetzt schon mit dem Dokumentieren anfangen, wann, wer und wie in der Firma zum Thema Datenschutz informiert wurde. Wer schreibt, bleibt – und kann wohl auch Bußgelder bei Verstößen reduzieren. Die denkbar schlechteste Reaktion auf die Frage eines Auditors nach der Datenschutz-Dokumentation wäre ein Achselzucken.

Thomas Ströbele wurde für die Datenschutz-Lösung seines Systemhauses Yourit von dieser Zeitschrift mit dem Digital Transformation Award ausgezeichnet

Kommentare (1) Alle Kommentare

Antwort von wEdOiT , 18:07 Uhr

Wann Rache wirklich süß schmeckt

Herr Ströbele verdient sein Geld scheinbar zusehends mit der kommenden DSGVO. Vermutlich hat er deshalb sein lachendes Gesicht. Es ist schön dass er Zertifizierungen anbietet die helfen sollen den Schaden zu "verringern".

Es stellt sich die Frage, was dieses Konstrukt für unsere Wirtschaft bringen soll? Es schützt den Endkunden. Ganz eindeutig. Aber mal ehrlich: Wenn der Endkunde nirgends mehr hingehen kann, damit ihm in allerlei (IT) Belangen geholfen wird, was bringt das dann dem Kunden? Mehr Sicherheit von Herrn Ströbele? …etwa vom Staat?

Da liest man in der DSGVO der EU von Strafzahlungen von 20 Mio oder mehr. Das Kapital der Firma ist damit unwiederbringlich weg. Wunderbar! Da bleibt nur die GmbH danach zuzusperren. Dienstleistung gibt es im Anschluss mit sofortiger Wirkung nicht mehr.

Auch wenn man seit mehreren Jahrzehnten im Systemhausgeschäft arbeitet, hängt die DSGVO Peitsche über allen Daten verarbeitenden Betrieben. Und wenn man dem Wortlaut des Herrn Ströbele glaubt, dann trifft es wohl alle (oder sehr sehr viele zumindest).

Wenn man dann nicht von einem der neu geschaffenen Saubermännern erwischt wird, dann schlägt bei vielen Unternehmen vermutlich ab 1.1.2019 das Gesetz "zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen" die letzte Stunde. Ab dann dürfen Spezialprogramme für die Wirtschaft ohne eine sündhaft teure BSI Prüfung auch nicht mehr betrieben werden.

Ich frage mich, wo all dieser Wahnsinn noch hinführen soll? Dem Endkunden sei es gedient… ganz klar.

In diesem Sinne - ich mache jetzt erst einmal Weihnachten, dann Neujahr und danach fliege ich in die DomRep in den Urlaub. Das Firmen-Handy gebe ich davor ab. Unerreichbar. Herr Schäuble oder wer auch immer dann dran ist, kann versuchen unseren Laden dicht zu machen, sich das verbliebene Geld heraus zu kitzeln. Ich für meinen Teil gehe dann in den Vorruhestand und lasse es damit gut sein. Sollen sich andere mit dem eskalierenden Unfug weiter abquälen. Dienstleistung? Na, vielleicht mal ganz persönlich aus Gefälligkeit. Nicht aber mehr über eine Firma. Vielleicht wird ja das die neue Errungenschaft und das neue Geschäftsmodell der EU? Dem Staat gefällt das dann sicherlich gar nicht. Pech.