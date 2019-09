Die Datenschutzgrundverordnung trifft auf die Praxis. Beim Datenschutztag in Köln besprachen Experten am Dienstag die konkreten Umsetzungserfahrungen mit den neuen Vorschriften. Erstaunlich viel ist noch dabei allerdings offen. Streitpunkt ist insbesondere die Meldepflicht.

Um sich eine Übersicht über den aktuellen Zustand der Datenschutz-Prozesse zu verschaffen, hatte etwa die niedersächsische Aufsichtsbehörde gleich nach dem Inkrafttreten der DSGVO einen Fragebogen an 50 große und mittlere Unternehmen verschickt, um sich über die Anpassungen und die generelle Datenschutz-Praxis zu informieren. Das erste Ergebnis war ernüchternd: Nur 20 erhielten die Bewertung "gelb" oder "grün", der Rest landete bei "rot", wie die Landesbeauftragte für Datenschutz Barbara Thiel erläuterte.

Auftragsverarbeitung okay, Zuständigkeiten unklar

Ein Grund dafür war aber ein generelles Unverständnis, was die Datenschützer konkret hören wollten. So verwiesen viele Unternehmen bei Fragen nach der Sicherheit der Kundendaten generell auf die IT-Sicherheitsmaßnahmen. Nach einer neuen Runde von Nachfragen konnten sich 16 befragte Unternehmen auf "gelb", vier sogar auf "grün" verbessern. Die Behörde will demnächst einen Abschlussbericht veröffentlichen, der dann auch mehr Orientierung für andere Unternehmen bietet.

Die kursorische Prüfung ergab, dass sich die Unternehmen bei Vertragsfragen relativ gut auf die neue Gesetzeslage eingestellt hatten: So stellten die Datenschützer bei der Auftragsdatenverarbeitung in der Regel keine Probleme fest, ebensowenig bei der Dokumentation. Teilweise wurden sogar Einwilligungen zur Datenverarbeitung vorgelegt, die aufgrund eines bestehenden Vertragsverhältnisses völlig unnötig waren.

"Defizite gibt es bei den Datenschutz-Folgeabschätzungen und den technisch organisatorischen Maßnahmen", erklärte Thiel. So folgten die Risikoabschätzungen oft keiner etablierten Methodik. Ein weiterer Knackpunkt: Unternehmen müssen Daten gemäß des aktuellen Stands der Technik absichern. Manche Unternehmen nehmen dies als Freifahrtschein, ihre bereits eingesetzten Softwarelösungen als gesetzeskonform zu betrachten. Die niedersächsiche Aufsichtsbehörde sieht die Verpflichtung jedoch als Druck, auch Techniken einzusetzen, die noch nicht in der Breite etabliert sind.

Das Problem mit der Software

Für die Betriebe ist dies jedoch verwirrend – zumal sich die Softwarezulierer bisher quer stellten, wie Thomas Dorstewitz vom Hannoveraner Energieversorger Enercity AG erklärte. Er bezeichnete die Reaktion der Software-Anbieter als "durchweg miserabel". Wenn die Unternehmen überhaupt auf Anfragen nach einer datenschutzkonformeren Umsetzung antworteten, passten die Auskünfte kaum zu dem Bedarf eines Unternehmens von der Größe von Enercity. So habe man sich oft selbst behelfen müssen, um etwa Prozesse zur Auskunftserteilung aufzubauen.

Zwar gebe es mittlerweile Software-Lösungen, die für kleine Unternehmen fast alle Aspekte des Datenschutz-Managements abdecken sollen. Diese Projekte seien aber meist erst 2017 entstanden und könnten komplexe Datenverarbeitungen größerer Unternehmen nicht bewältigen. Andere Maßnahmen wie die Einführung von Zwei-Faktor-Authentifizierung bei Fernwartung seien problemloser gewesen.

Pflicht zum Melden?

Kopfzerbrechen bereitet den Unternehmen insbesondere noch die Umsetzung der Meldepflicht bei Datenpannen. So sei es noch nicht jedem klar, dass diese Vorfälle sofort abgearbeitet werden müssten – selbst wenn es Überstunden verursache, erklärte Dorstewitz. Immerhin seien die Vorstände sensibilisiert. Dazu habe auch die Angst geführt, persönlich für Schäden finanziell haftbar gemacht zu werden.

Welche Vorfälle konkret gemeldet werden müssen, ist noch nicht hinreichend etabliert. Dabei wird von der Möglichkeit mittlerweile sehr häufig Gebrauch gemacht. Thomas Kahl, Rechtsanwalt bei der auf IT- und Datenschutzrecht spezialisierten Kanzlei Taylor Wessing berichtete aus seinem Alltag: "Ich kann die Uhr danach stellen – Freitag um 17:30 Uhr klingelt das Telefon", sagte Kahl.

Um Kopf und Kragen

Ein Hauptgrund dafür sind die kursierenden Trojaner, wie etwa der Emotet-Befall auch heise getroffen hat. Gerade kleinere Unternehmen hätten trotz der alltäglichen Gefahr bis heute keine Krisenpläne für einen solchen Fall. Doch wenn sich eine Schadsoftware auf dem Unternehmensserver ausgebreitet haben, sei dies nicht schon automatisch eine meldepflichtige Datenpanne. Zumindest sollten Unternehmen von Profis untersuchen lassen, ob überhaupt Daten abgeflossen sind, rät Kahl.

"Ich bin manchmal erstaunt, wie viel die Unternehmen alles melden", sagte der Anwalt. Dabei brächten sich die Unternehmen in der Annahme, dass eine amtliche Meldung von der Haftung befreie, selbst in die Bredouille. Denn mittlerweile hätten die Aufsichtsbehörden mehr Routine und Personal mit solchen Meldungen umzugehen und stellten mitunter unangenehme Nachfragen, die dann zu Bußgeldverfahren führen könnten.

Inkompatible Gesetzgebung

Doch auch hier ist noch viel offen. Obwohl mittlerweile einige Unternehmen spektakuläre Bußgelder zahlen müssen, gibt es keine Orientierung, wie hoch konkret eine Strafe für einen Verstoß sein sollte. "Es bleibt dabei, dass wir keinen Bußgeldkatalog haben", erklärte Maria Christina Rost von der hessischen Datenschutzaufsicht. Zu Berichten über einen vermeintlich offiziellen Bußgeldrechner konnte sich Rost nicht äußern, versicherte aber, dass es bei der Einzelfallprüfung bleibe.

Problematisch sind auch Wechselwirkungen der europäischen DSGVO mit der weiteren Gesetzgebung. So lege das deutsche Recht einen anderen Unternehmensbegriff zugrunde als die Nachbarländer. Also müssen die Datenschützer zum Beispiel noch ausknobeln, welche Umsätze sie bei der Bußgeldberechnung zugrundelegen, wenn es etwa um Verstöße bei der Tochterfirma eines Konzerns geht. Dieser Frage müssen sich nun Gerichte widmen. Besser jedoch wären gesetzliche Anpassungen, wie sie bereits im Kartellrecht vorgenommen worden seien, erklärte Rost.

Strafe trotz Auskunft

Auch wie konkret man mit den Meldungen zu Datenschutzpannen umgeht, muss sich noch behördlich und juristisch einspielen. Zum einen wollen die Behörden neue Wege finden, um die massenhaften Meldung von Trivialfällen wie falsch versandten E-Mails effizienter abzuarbeiten. Gleichzeitig wollen sie jedoch die schweren Fälle schärfer in den Blick nehmen. So sei es nicht sinnvoll, Unternehmen von der Haftung freizustellen, wenn sie eine schwere Datenpanne meldeten, die auf eigene Versäumnisse zurückgehe. "Wir haben eine Rechtsauffassung, die wir gerichtlich überprüfen lassen müssen", sagte Rost. (emw)