Google+ Facebook Twitter XING LinkedIn GoogleCurrents YouTube

DS-GVO

Von zahnlos zu bissig

| Autor: Victoria Sonnenberg

Wer jetzt noch keinen DS-Beauftragten hat, sollte sich zumindest extern beraten lassen.
Wer jetzt noch keinen DS-Beauftragten hat, sollte sich zumindest extern beraten lassen. (Bild: ©gen_A, ©Maksym Yemelyanov - stock.adobe.com; [M]Grimm)

Als der Datenschutz noch analog war, war er harmlos. Mit zunehmender Digitalisierung musste der Umgang mit Personendaten überdacht werden, was in die Datenschutz-Grundverordnung, kurz DS-GVO, mündete. Der MM hat sich bei Werkzeugbauern umgehört und zieht Bilanz: Egal ob groß oder klein, die Unsicherheit bleibt trotz bester Vorbereitung. Erfahrungen und nützliche Empfehlungen geben Ihnen Mapal, Horn, Müller, Walter sowie der TÜV Süd.

Es beginnt mit Banalitäten: Lässt sich Ihr Personalaktenschrank verschließen? Ja? Gut! Nein? Gefährlich, sowohl für Ihre Mitarbeiter als auch für Ihr Unternehmen. Denn bei der DS-GVO steckt der Teufel im Detail. Diese „Kleinigkeit“ ist für den einen selbstverständlich und rückt für den anderen im Tagesgeschäft ganz schnell ganz weit aus dem Blickfeld – was gefährlich teuer werden kann, sobald der Ernstfall eines Datendiebstahls eintritt. Denn erste Urteile sind bereits gefallen und mit ihnen die ersten sensiblen Bußgelder verhängt. Die Unsicherheit der Industrie ist somit vorprogrammiert.

Im Vorfeld gab es daher zahlreiche Informationsveranstaltungen unterschiedlicher Institute. So auch von der IHK-Organisation. Verschiedenste Initiativen wurden eingeleitet, um Unternehmen über die neue Rechtslage aufzuklären. „Dennoch gibt es Unternehmen, die sich bei der Umsetzung der DS-GVO noch alleingelassen fühlen, denn gerade kleine und mittlere Unternehmen sehen den Datenschutz nicht als prioritäre Herausforderung an“, sagt DIHK-Rechtsexpertin Annette Karstedt-Meierrieks.

Und diese Unsicherheit bleibt, wegen unklarer Formulierungen und weil es zur Umsetzung regelmäßiger Auffrischungen bedarf. Fragen wie: „Haben wir alles richtig gemacht, um rechtssicher zu sein?“, stehen weiterhin im Raum.

Externe Beratung nutzen

„Ohne externe Beratung fällt es nicht leicht, zu prüfen, ob wirklich alle Anforderungen der DS-GVO zur Genüge berücksichtigt sind. Zum einen aufgrund der Ressourcen, zum anderen wegen der nötigen Expertise und Fachkompetenz“, sagt Andreas Enzenbach, Vice President Marketing and Product Management bei Mapal.

Dabei hat man die zweijährige Übergangszeit genutzt und entsprechende Maßnahmen ergriffen, die für die Umsetzung der DS-GVO nötig waren. Bereits davor hat man sich an das engmaschige Datenschutznetz gehalten. Dennoch räumt Enzenbach ein, dass der Aufwand trotz geleisteter Vorarbeit ein sehr hoher war.

Datenschutzbeauftragte: intern oder extern bestimmen?

Bereits die erste Entscheidung ist dabei die wohl wichtigste: soll der Datenschutzbeauftragte, kurz DSB, extern oder intern bestimmt werden? Die DS-GVO zusammen mit einem neuen Datenschutzgesetz regelt klar, welche Unternehmen in welcher Größe sogenannte betriebliche DSB haben müssen. Die Regelgröße für Deutschland liegt bei zehn Personen, das heißt, dass Unternehmen, die regelmäßig zehn oder mehr Personen beschäftigen, die Zugriff auf personenbezogene Daten haben, verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu benennen.

Ergänzendes zum Thema
 
Mehr Mut zum Dialog

„Ich empfehle Unternehmen, die diese Grenze noch nicht überschritten haben, sich wenigstens einen Berater für dieses Thema zu suchen“, sagt DS-GVO-Experte Andreas Rübsam, Director Data Protection bei der TÜV Süd Sec-IT GmbH. Denn insbesondere bei kleinen Unternehmen kommt es hier zu Missverständnissen. „Beschäftigen Unternehmer weniger als zehn Mitarbeiter, dann sind sie nicht automatisch aus der Verantwortung. Im Gegenteil: in diesem Fall liegt die Umsetzungsverantwortung komplett bei der Firmenleitung“, erklärt Rübsam. „Sprich, der Unternehmenslenker müsste sich dann selbst mit dem Thema auseinandersetzen.“

Fachkundenachweis erwerben

Im öffentlichen Bereich wie in Behörden sind interne DSB vorgeschrieben. Im nicht öffentlichen Bereich steht diese Wahl frei. Wichtig ist nur, dass der DSB über eine sogenannte Fachkunde verfügt und die Wahl nicht der Willkür überlassen wird. Ist ein DSB bestimmt, kann ein Fachkundenachweis bei einem unabhängigen Schulungsinstitut erworben werden. Die Udis, Ulmer Akademie für Datenschutz und IT-Sicherheit, die TÜV Akademie sowie die Dekra bieten unter anderem Schulungen an. Es gibt Seminare, die zwei bis drei Tage dauern, der TÜV bietet in der Regel einwöchige Seminare und bei der Udis dauert der Fachkundeerwerb bis zu 16 Tage. Warum sich mindestens ein einwöchiges Seminar lohnt? Weil die DS-GVO, in Zahlen zerlegt, aus 173 Erwägungsgründen und 99 Artikeln besteht. In zwei Tagen lasse sich kaum ein hochkomplexes Gesetz mit 99 Artikeln vermitteln, daher empfehle sich eine einwöchige oder gar längere Schulung, was nicht nur Seminarkosten, sondern auch Verdienstausfall bedeutet. „Das ist eine Investition, die sich ein Unternehmen erst einmal leisten muss“, so Rübsam. Je nach Unternehmensgröße ist der DSB auch ein Fulltime-Job. „Die zuständigen Mitarbeiter können diese wichtige Aufgabe nicht einfach so nebenher erledigen.“

Persönliche und fachliche Eigenschaften eines DSB

Deshalb sollte vorher klar sein, welche persönlichen und fachlichen Eigenschaften der DSB unbedingt mit sich bringen sollte, wie rudimentäre IT-Kenntnisse, datenschutzrechtliches Fachwissen, betriebswirtschaftliches und organisatorisches Wissen, Integrität, Zuverlässigkeit, Durchsetzungsfähigkeit und Selbstständigkeit.

„Man rennt nicht unbedingt offene Türen ein, denn als DSB rüttelt man an Prozessen, allen Betriebsgepflogenheiten und führt auch die ein oder andere Richtlinie ein. Deshalb muss der DSB Biss und Durchsetzungsvermögen haben“, sagt Rübsam.

Auch beim Werkzeughersteller Walter war ein sorgfältiger und verantwortungsvoller Umgang mit Personendaten bereits vor der DS-GVO sehr wichtig. Eine Grunddokumentation der Prozesse und Verfahren im Umgang mit personenbezogenen Daten war Pflicht. Walter sah sich gut vorbereitet, auch die Menge der einzelnen zu bewältigenden Aufgaben war vorab bekannt. „Welchen Umfang die Aufgabe dann aber entwickelt hat, war so nicht abzusehen“, resümiert Gerhard Schüßler, Leiter aus dem Bereich Qualitätsmanagement bei der Walter AG. Folgendermaßen wurde der Arbeitsaufwand beschrieben (Auszug):

  • Erfassung aller Softwareapplikationen und Systeme, in denen personenbezogene Daten verarbeitet werden,
  • Interviews mit allen Führungskräften zur Erfassung von regelmäßig wiederkehrenden Verfahren im Umgang mit personenbezogenen Daten,
  • Erstellung des Verfahrensverzeichnisses für alle Systeme und Verfahren,
  • Aufsetzen der Verträge zur Auftragsverarbeitung mit allen externen Dienstleistern, die im Auftrag personenbezogene Daten verarbeiten,
  • Erstellung der Datenschutzerklärungen für Mitarbeiter, Internet, Mail und ERP-System in mehreren Sprachen,
  • Erstellung von Prozessen zum Umgang mit Betroffenenrechten, Verstößen et cetera,
  • Risikoabschätzungen im Umgang mit besonders sensiblen Daten (HR-Prozesse),
  • Erstellung eines Datensicherheitskonzepts und Definition der technischen, organisatorischen Maßnahmen,
  • Definition von Löschfristen und Umsetzung in den Systemen,
  • Erstellung und Schulung aller Mitarbeiter im Datenschutz.

Trotz aller Vorbereitungen und Umsetzungen in den Unternehmen bleibt die Unsicherheit. Man wartet Urteile und Entscheidungen zum Thema ab und erhofft sich davon die Klärung offener Fragen. Erst seit vollständigem Inkrafttreten der DS-GVO am 25. Mai 2018 sind viele Unternehmen aufgewacht und durch die drohenden Bußen und zahlreichen Veröffentlichungen sensibilisiert worden. Zu sehen ist dies laut TÜV Nord an den erhöhten Benennungen von Datenschutzbeauftragten in Unternehmen, die bislang keinen DSB bestimmt haben. Die Teilnehmerzahlen in Veranstaltungen zum Thema Datenschutz haben sich bei der TÜV Nord Akademie von 2017 auf 2018 mehr als verdoppelt. Die Seminare waren in kürzester Zeit ausgebucht, zahlreiche Zusatzangebote mussten geschaffen werden. Diese Erfahrungen bestätigt auch Walter. „Externe Berater waren plötzlich sehr gefragt und kaum zu finden. Auch heute noch sind diese sehr gut ausgelastet, was aufgrund der jetzt langsam in Gang kommenden Rechtsprechung auch noch länger so bleiben dürfte“, so Schüßler weiter. Daher sein Rat: „Die beste Maßnahme aus unserer Sicht ist die Ausbildung eigener Mitarbeiter über Lehrgänge.“

Unsicherheit und Hektik

Anders als bei Müller Präzisionswerkzeuge, denn da entschied man sich nach gründlicher Überlegung für einen externen DSB. Auch hier war die DS-GVO ein großes Thema, das mit viel Unsicherheit und Hektik im Vorfeld einherging. „Am Tag gingen vielleicht zwanzig Schreiben von Lieferanten und Kunden ein, die schilderten, was sie mit unseren Daten machen“, erinnert sich Mathias Schmidt, Geschäftsführer der Müller Präzisionswerkzeuge.

Dass ein DSB bestimmt werden musste, war klar. „Größere Unternehmen tun sich wahrscheinlich leichter, diese Aufgabe intern zu vergeben. Wir haben schließlich einen externen Datenschutzbeauftragten eingesetzt.“ Dennoch war die Einführung der DS-GVO ein Kraftakt für das KMU mit knapp 80 Mitarbeitern. Zwar gab der externe DSB Hinweise, wie mit der Umsetzung der Richtlinien umzugehen ist, umsetzen musste man sie letzten Endes allein. Auch Müller war sich bereits vor der DS-GVO der Verantwortung im Umgang mit personenbezogenen Daten bewusst. Dennoch hielt man es durchaus für sinnvoll, ein Verzeichnis zu erstellen, mit dem man erkennt, wo Daten liegen und wo Datenlecks entstehen können. „Das ist ähnlich wie beim Brandschutz oder bei Zertifizierungen wie der ISO 9000: Man prüft die Lage und erkennt, was man besser machen kann“, so Schmidt weiter. Insgesamt kostete das Projekt gut einen Monat an zusätzlichem Aufwand. Die Frage, ob noch Fragen ungeklärt blieben, verneint Schmidt. „Wir haben die gesetzeskonforme Umsetzung der DS-GVO-Bestimmungen geschafft. Durch das Einführungsprojekt, das der Datenschutzbeauftragte mit uns durchführte, wurden wir für das Thema und für das, was wir tun müssen, sensibilisiert. Insofern war es eben auch der richtige Schritt, jemanden von außen zu holen.“

Die Frage nach dem Datenschutzbeauftragten

DSGVO

Die Frage nach dem Datenschutzbeauftragten

19.11.18 - Die DSGVO kann Industrieunternehmen vor Kosten und Herausforderungen stellen. Ein guter externer Datenschutzbeauftragter (DSB) kann Ihnen mittelfristig Kosten sparen und Sie bei den Themen Datenschutz und IT Sicherheit pragmatisch unterstützen. lesen

Auch der Tübinger Werkzeughersteller Horn hat viel Zeit und Energie in das Thema investiert. Gemeinsam mit dem TÜV Süd setzte man die Schulung beteiligter Personen um. „Wir haben uns die Mühe gemacht und alle Verfahren von Grund auf und auf dem aktuellen Stand beschrieben“, sagt Lothar Horn, Geschäftsführer der Paul Horn GmbH. Des Weiteren wurden Sensibilisierungsmaßnahmen umgesetzt, wie beispielsweise regelmäßiges Informieren der Belegschaft über das Intranet. „Wir haben uns von Anfang an intensiv mit den neuen Gegebenheiten befasst. Neben dem DSB haben wir hierzu noch unsere Rechtsabteilung sowie zwei Personen im Betriebsrat, die sich mit der Thematik auseinandersetzen.“ Vier Personen im Kernteam setzen bei Horn berufsbegleitend alles rund um den Datenschutz um. Hinzu kommen noch die jeweiligen Ansprechpartner für die einzelnen Prozesse. Klingt nach einer Vorbereitung par excellence, aber selbst hier bleibt ein Rest Unsicherheit.

Erwartete Änderungen

„Natürlich ist man nie ganz sicher, ob man alles entsprechend umgesetzt hat. Da, wie bereits erwähnt, das Gesetz teilweise recht unklare Formulierungen aufweist.“ Bei Unklarheiten kann man Antworten auch bei der Landesdatenschutzbehörde einfordern, auch Horn hat diesen Service bereits in Anspruch genommen. „Des Weiteren haben wir eine Rechtsabteilung, die sich intensiv mit der Thematik beschäftigt hat und beschäftigt. Diesen Vorteil hat aber längst nicht jeder Mittelständler.“ Und das kann sich schnell bemerkbar machen, denn im Moment werden im Bundestag/Bundesrat weitere Änderungen des BDSG (Bundesdatenschutzgesetz) verhandelt und man erwartet bereits dieses Jahr, spätestens nächstes weitere Änderungen. Hinzu kommen die E-Privacy-Verordnung und unzählige weitere Gesetze, die mit der DS-GVO in Berührung kommen, wie beispielsweise das Jugendschutzgesetz, das Arbeitnehmergesetz oder die Betriebsverfassungsgesetze.

Kommentierung und Interpretation ändert sich

„Da die DS-GVO ein neues Gesetz ist, ändert sich auch die Kommentierung und Interpretation. Das heißt, ich muss neben meinem Tagesgeschäft die Medienlandschaft im Auge behalten: Wo ändert sich das Gesetz, wie wird es von den Gerichten interpretiert. Man muss hier sehr schnell mitdenken und immer auf dem neuesten Stand bleiben“, rät Rübsam vom TÜV Süd. Sein Fazit nach nicht einmal einem Jahr nach Inkrafttreten der DS-GVO: „Unternehmen quer durch alle Industrien, da macht der Maschinenbau keine Ausnahme, haben die Regelung erschreckend unzureichend umgesetzt.“ Viele hätten bis zum 25. Mai 2018 gewartet, um zu schauen, was passiert. „Ende letzten Jahres kamen die ersten Meldungen über verhängte Bußgelder und jetzt wachen alle auf“, zieht Rübsam Bilanz.

„Irgendwann lässt sich der Aufwand nicht mehr kompensieren. Es ist wichtig, dass es Regeln und Gesetze gibt. Aber die Frage ist, ab wann es einfach zu viel wird und man sich nur noch verwalten muss“, sagt Lothar Horn, Geschäftsführer der Paul Horn GmbH.
„Irgendwann lässt sich der Aufwand nicht mehr kompensieren. Es ist wichtig, dass es Regeln und Gesetze gibt. Aber die Frage ist, ab wann es einfach zu viel wird und man sich nur noch verwalten muss“, sagt Lothar Horn, Geschäftsführer der Paul Horn GmbH. (Bild: Horn/Nico Sauermann)

Woran das liegt? Datenschutz ist ein komplexes Regelwerk. Eine mustergültige Umsetzung wirkt sich nicht unmittelbar auf Umsatz und Gewinn aus, daher lief das Thema bislang oft unter dem Radar vieler Unternehmenslenker. Allerdings: „Das Gesetz rangiert, was die Höhe der Bußgelder betrifft, auf Rang 2, direkt nach dem Kartellrecht. Dadurch gewinnt es sehr schnell an Bedeutung“, so Rübsam weiter. Die Bußgelder im alten Gesetz gingen bis 300.000 Euro, für manche ein Betrag aus der Portokasse. Nach Inkrafttreten der DS-GVO gehen Bußgelder in schweren Fällen bis 20 Mio. Euro oder 4 % des weltweiten Konzernumsatzes, was bei OEM im Automobilbereich auch schnell in den Milliardenbereich gehen kann. Damit es dazu nicht trotz Vorbereitung kommt, sieht die Branche zudem Handlungsbedarf in der Politik. „Irgendwann lässt sich der Aufwand nicht mehr kompensieren. Es ist wichtig, dass es Regeln und Gesetze gibt. Aber die Frage ist, ab wann es einfach zu viel wird und man sich nur noch verwalten muss“, sagt Lothar Horn.

„Vielleicht haben gerade wir deutsche Unternehmen weltweiten Erfolg, weil wir seit Jahrzehnten durch die Bürokratisierung gezwungen sind, Prozesse immer wieder neu zu definieren und zu verschlanken, um diese Nachteile aufzuholen. Aber irgendwann ist das Aufholen auch ein Ding der Unmöglichkeit“, sagt Ralph Hufschmied, Geschäftsleiter der Hufschmied Zerspanungswerkzeuge.
„Vielleicht haben gerade wir deutsche Unternehmen weltweiten Erfolg, weil wir seit Jahrzehnten durch die Bürokratisierung gezwungen sind, Prozesse immer wieder neu zu definieren und zu verschlanken, um diese Nachteile aufzuholen. Aber irgendwann ist das Aufholen auch ein Ding der Unmöglichkeit“, sagt Ralph Hufschmied, Geschäftsleiter der Hufschmied Zerspanungswerkzeuge. (Bild: Hufschmied)

Seiner Ansicht nach bewegt sich die Politik zu sehr in der Theorie und macht sich zu wenig Gedanken um Umsetzbarkeit und Überregulierung. „Oft geht es um große Konzerne mit großen Rechtsabteilungen, die diese Themen umsetzen. Am Ende bleiben Mittelstand und Kleinbetrieb, die das Ganze ausbaden müssen.“

Auch dem DIHK ist bekannt, dass die DS-GVO aufgrund ihrer Geltung für alle Größen von Unternehmen speziell die KMU erheblich überfordert. „Das gilt insbesondere für die Dokumentationspflichten. Hier wäre es angebracht, wenn der europäische Gesetzgeber mehr Erleichterungen für KMU schaffen würde. Hierzu sollte die Evaluierung der DS-GVO genutzt werden, an der sich der DIHK aktiv mit einer Unternehmensumfrage beteiligen wird“, so DIHK-Rechtsexpertin Karstedt-Meierrieks.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45753139 / Zerspanung)

Themen-Newsletter Produktion abonnieren.
* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.

Industrial Usability 2019

Das Anwendererlebnis im Mittelpunkt

Wie sieht eine erfolgreiche UX-Strategie aus? Ein Glück in Sachen Alleinstellungsmerkmal: Eine für alle, die gibt es nicht. Dieses Dossier bietet verschiedene aktuelle Ansätze und Trends in der Industrial Usability. lesen

Effizienzsteigerung

Mit Künstlicher Intelligenz erfolgreich durchstarten

Wie Sie Ihr erstes KI-Projekt starten, wie sich die Branche verändern wird und welche Best Practices es heute schon gibt – hier finden Sie die Fakten und das nötige Grundlagenwissen! lesen