Politik
Die neue EU-Datenschutzgrund-Verordnung (DSGVO) soll den
Schutz der Privatsphäre verbessern und höhere Strafen bei
Verstößen ermöglichen.
Die neue EU-Datenschutzgrund-Verordnung (DSGVO) soll den Schutz der Privatsphäre verbessern und höhere Strafen bei Verstößen ermöglichen.(Foto: imago/Christian Ohde)
Mittwoch, 23. Mai 2018

Interview zur neuen DSGVO: "Überall lauern jetzt Fallstricke"

Der Schutz persönlicher Daten soll in der Europäischen Union massiv gestärkt werden. Die neue Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai in 28 EU-Mitgliedsstaaten weitgehend einheitlich und verbindlich in Kraft. Millionen von Unternehmen in ganz Europa müssen bis dahin ihre Hausaufgaben erledigt haben, sonst drohen empfindliche Strafen. Martin Möllenbeck ist Geschäftsführer beim mittelständischen IT-Unternehmen 5Minds IT-Solutions, das Software für Kunden maßschneidert. Die Firma aus Gelsenkirchen befindet sich auf der Zielgeraden ihrer Vorbereitungen.

n-tv.de: Der 25. Mai steht vor der Tür. Ist Ihre Firma gut vorbereitet auf den Tag?

Martin Möllenbeck ist Geschäftsführer des mittelständischen IT-Unternehmens 5Minds IT-Solutions.
Martin Möllenbeck ist Geschäftsführer des mittelständischen IT-Unternehmens 5Minds IT-Solutions.(Foto: www.5minds.de)

Martin Möllenbeck: Grundsätzlich schon. Wir haben zurzeit einen externen Berater im Haus, der mit uns Punkt für Punkt durchspricht und uns auf Mängel hinweist. Aber es bleibt ein bisschen Unsicherheit, weil der Datenschutz so komplex ist und wir heute noch nicht wissen, wo mögliche Lücken auftauchen werden. Wir wollen vermeiden, dass uns die Behörden eines Tages darauf aufmerksam machen. Man kann auch nie ausschließen, dass jemand bewusst nach Lücken sucht, um uns zu verklagen. Es kursieren ja bereits viele Gerüchte, dass die Abmahnanwälte des Landes bereits in Stellung gehen.

Ist das nicht die Aufgabe des Beraters, diese Lücken zu schließen?

Video

Der Berater hat seine Checkliste, aber er kennt die Interna unseres Unternehmens nicht. Datenschutz gilt künftig für die allerkleinsten Bereiche. Da kann es passieren, dass du morgens den Laptop aufklappst und dir etwas vor die Füße fällt, woran du bislang gar nicht gedacht hast. Beispielsweise wenn dich eine alte E-Mail plötzlich daran erinnert, dass die Personalabteilung neulich Briefmarken übers Internet bestellt hat, was eigentlich kein riskanter Vorgang in der Organisation ist. Aber die Post ist damit zu einem unserer Zulieferer geworden, für den die Datenschutzvereinbarungen genauso gelten wie für jeden anderen auch.

Was ändert sich konkret?

Jeder Arbeitsschritt, der mit Kunden und Zulieferern zu tun hat, muss praktisch vor dem Hintergrund der neuen Datenschutzverordnung neu bewertet werden. Wir müssen penibel darauf achten, dass jeder Partner unserer Firma mit seiner Nase von uns auf die Gefahren und seine Rechte bei der Übertragung von persönlichen Daten gestoßen wird. Und wir müssen uns absichern, dass wir im Bedarfsfall nachweisen können, dass wir das auch wirklich getan haben. Es ist ein bisschen so, als würden wir Mikrowellen herstellen und nun unseren Kunden sagen müssen, dass sie keine lebenden Tiere darin grillen sollen.

Aber Sie entwickeln Software, Sie sammeln keine Daten. Macht es das nicht einfacher?

Was ist die DSGVO?

Die Datenschutz-Grundverordnung der EU (DSGVO) muss nach einer zweijährigen Übergangsfrist ab Freitag angewendet werden. Sie macht Unternehmen europaweit gültige Vorgaben für die Speicherung und den Schutz von Daten und gibt Kunden und Nutzern mehr Möglichkeiten, gegen Missbrauch vorzugehen. Verstöße können mit Bußgeldern geahndet werden. Verbraucherschützer versprechen sich von der DSGVO ein Druckmittel gegen internationale Konzerne wie Facebook, Google oder Amazon, die besonders viele Nutzerdaten speichern. Denn bislang waren die Möglichkeiten nationaler Behörden begrenzt, gerade solche Internet-Giganten zu einer Änderung ihrer Nutzungsbedingungen zu bewegen. Zum Stichtag der neuen Datenschutzgrundverordnung sind einer Umfrage des Bitkom zufolge lediglich ein Viertel der Unternehmen in Deutschland ausreichend vorbereitet.

Bedingt. Die Komplexität bleibt bestehen. Wenn es nötig ist, dass sich die Mitarbeiter eines Kunden in unserer Daten-Cloud anmelden, haben wir ihre E-Mail-Adressen, die unter die personenbezogenen Daten fallen. Damit stecken wir mittendrin in der neuen Verordnung und sind verantwortlich, dass entsprechende Vereinbarungen getroffen werden. Es gibt auch andere Beispiele: Wenn wir über externe Online-Plattformen Veranstaltungen anbieten und organisieren, müssen wir dafür sorgen, dass jeder Teilnehmer weiß und uns bestätigt, dass nicht unsere Datenschutzvereinbarung gilt, sondern die der Onlineplattform.

Klingt so, als müssten alle Eventualitäten jeweils einmal in der Praxis durchgespielt werden und dann hat man seine Pflicht getan.

Eben nicht. Das Thema wird uns dauerhaft beschäftigen. Wir müssen den Behörden gegenüber nachweisen, dass auch unsere Mitarbeiter immer auf dem aktuellsten Kenntnisstand sind. Auch neue Mitarbeiter müssen genauso informiert sein. Für unsere Hardware gilt, dass wir alle zwei Jahre unsere Laptops wechseln müssen. Alle Programme darauf müssen auf dem neusten Stand sein. Es ist ein fortlaufender Prozess.

Das sind zusätzliche Belastungen, die auf Ihr Unternehmen zukommen.

Daran besteht kein Zweifel. Und in Zukunft wird es noch mehr. Noch sind wir mit 46 Mitarbeitern ein überschaubar großes Unternehmen. Aber wir planen, kontinuierlich zu wachsen. Es wird der Tag kommen, an dem auch wir einen Datenschutzbeauftragten einstellen müssen. Nämlich dann, wenn mindestens zehn Mitarbeiter Zugriff auf personenbezogene Daten haben. Der- oder diejenige wird dann eigens für diese Aufgabe bezahlt.

Mehr Aufwand, mehr Kosten, bleibende Unsicherheiten: Ist die neue Verordnung dennoch die richtige Entwicklung?

Datenschutz ist natürlich wichtig und es sicher eine gute Sache für die Interessen des Einzelnen, dass es jetzt eine Verschärfung gibt. Aber wir haben das Gefühl, dass wir mit dieser Verordnung dafür büßen müssen, was andere verbockt haben. Die Frage ist doch, ob ein Unternehmen wie wir, das keine Daten sammelt und keine Cookies auf seiner Internetseite verwendet, nicht eher gehemmt wird durch die vielen Fallstricke, die jetzt überall lauern.

Was stört sie?

Zwei Beispiele: Ein Kleinkunde hat uns gestern einen Auftragsverarbeitungsvertrag zugeschickt mit der Bitte, wir mögen ihn ausfüllen. Für den Kunden arbeiten wir nicht länger als eine Stunde im Monat. Das Papier umfasst elf Seiten Bedingungen des Auftraggebers und zehn Seiten zum Ausfüllen für uns. Ein anderes Beispiel betrifft die direkte Kundenakquise. Wenn ein Unternehmen einen Freund von mir bittet, es zu kontaktieren, weil es meine Hilfe benötigt, dann sind mir die Hände gebunden. Ich darf erst anrufen, wenn uns eine schriftliche Einverständniserklärung des potenziellen Kunden vorliegt, dass wir ihn anrufen dürfen. Das kann uns schlimmstenfalls einen Auftrag kosten, wenn der Aufwand dem Kunden zu groß ist.

Mit Martin Möllenbeck sprach Marcel Grzanna

Quelle: n-tv.de