Interview mit Dr. Kraska vom IITR Datenschutz: „Mit mehr Kontrollen ist im Datenschutz bald zu rechnen“

„Die DSGVO macht alles komplizierter“ – davon sind laut IT-Branchenverband Bitkom etwa zwei von drei Unternehmen überzeugt. 78 Prozent meinen indes, Datenschutz und -Sicherheit haben den personellen und finanziellen Aufwand erhöht: Ein gutes Jahr nach Einführung im Mai 2018 kritisieren zwar nur noch wenige den Sinn der DSGVO, dafür aber die Pflichten, die sie brachte. „Der Dokumentationsaufwand ist enorm gestiegen“, bestätigt Sebastian Kraska, promovierter Jurist und Geschäftsführer der Gesellschaft IITR Datenschutz in München. „Ohne IT-Tools ist der Nachweis für den rechtskonformen Umgang mit Daten kaum zu erbringen.“

Elektronische Helfer beim Datenschutz

Die IITR Datenschutz bietet Unternehmen daher webbasierte Dokumenten-Managementsysteme für den Aufbau rechtssicherer Prozesse in allen Abteilungen sowie einer stets aktuellen Dokumentation. Außerdem lassen sich mit den darin integrierten Webinaren alle Beteiligten schulen. Wie die webbasierten Datenschutz-Tools funktionieren, erläutert Sebastian Kraska im Interview:

Frage: Warum fühlen sich ein Jahr nach Einführung immer noch viele Firmen verunsichert und überfordert von der DSGVO?

Dr. Kraska: Inhaltlich hat sich im Vergleich zur vorherigen Datenschutz-Regelung mit der DSGVO nicht viel verändert. Allerdings ist der Dokumentationsaufwand enorm gestiegen. Laut Artikel 5, Absatz 2 müssen Unternehmen die Rechtmäßigkeit ihrer Datenspeicherung und -Verarbeitung beweisen und dafür ihre Prozesse so strukturieren, dass dieser Nachweis jederzeit möglich ist.

Aus unserer langjährigen Arbeit als Datenschutzbeauftragte für Unternehmen haben wir deshalb das Datenschutz - sowie das Compliance 2.0 -Kit entwickelt. Mit beiden webbasierten Plattformen können sich kleinere und größere Unternehmen in punkto Datenschutz rechtskonform aufstellen.

Frage: Wie funktioniert das?

Dr. Kraska: Das Datenschutz- und das Compliance 2.0-Kit enthalten Checklisten, die dabei helfen, die Datenverarbeitung in allen Abteilungen zu überprüfen und bei Bedarf neue Aufgaben zum Datenschutz strukturiert einzuführen. Mit Musterbriefen, -Verträgen und anderen Textvorlagen lassen sich wiederum Beschäftigte oder Dienstleister auf den Datenschutz verpflichten.

Archivieren Unternehmen diese und weitere Dokumente zum Datenschutz, etwa die Korrespondenz mit Kunden oder Behörden, entsteht nach und nach eine umfassende Dokumentation ihrer Datenverarbeitung. Mit dieser können sie stets Rechenschaft ablegen und ihre Rechtskonformität nachweisen. Änderungen an den Dateien versionieren die Systeme stets neu und legen sie revisionssicher ab. Beide Kits enthalten außerdem E-Learning-Module, mit denen Angestellte, übrigens ebenfalls nachweisbar, geschult werden.

Werkzeuge für große und kleine Unternehmen

Frage: Kommt das bei Unternehmen an?

Dr. Kraska: Datenschutz ist kein Hexenwerk, aber ohne diese Tools wird der Nachweis, rechtskonform mit Daten umzugehen, nur sehr schwer und aufwändig zu führen sein. Sie minimieren außerdem Haftungsrisiken, immerhin droht die DSGVO mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des Umsatzes.

In Streitfällen oder bei Kundenfragen können mit Hilfe unserer Dokumenten-Managementsysteme sofort alle Maßnahmen belegt werden. 125.000 Schulungen mit den E-Learning-Modulen zeigen das hohe Interesse. Und Anwender bestätigen uns, dass die Tools von IITR Datenschutz leicht zu bedienen sind und Zeit sparen.

Frage: Wen sprechen Sie damit an – größere oder kleinere Unternehmen?

Dr. Kraska: Das Datenschutz-Kit mit integriertem Leitfaden richten wir an kleine Betriebe, die bis zu 20 Angestellte beschäftigen, sowie an Einzelunternehmer, Dienstleister, Vereine oder Organisationen. Für knapp 50 Euro im Monat stellen wir diesen noch einen externen Datenschutzbeauftragten. Das Compliance-Kit 2.0 mit integriertem Handbuch nach ISO-Standard ist indes auf die Bedürfnisse mittelständischer und international agierender Unternehmen abgestimmt.

Damit können mehrere Verantwortliche mit unterschiedlichen Zugangsrechten arbeiten, die Checklisten und Informationen lassen sich in internen Datenbanken oder Wiki-Systemen wie Confluence ablegen. Das Dokumenten-Managementsystem lässt sich zudem erweitern, etwa durch weitere Standards zur Informations- und Datensicherheit, durch internationale Datenschutz-Gesetze oder den Consumer Privacy Act, der bald in Kalifornien eingeführt wird. Das Compliance-Kit genügt natürlich selbst gängigen Standards für Managementsysteme, etwa der ISO High Level Structure oder HLS.

Mit mehr Kontrollen ist bald zu rechnen

Frage: Ersetzen die Kits den Datenschutzbeauftragten?

Dr. Kraska: Nein, laut DSGVO soll dieser das Unternehmen in Sachen Datenschutz unterstützen, er übernimmt in seiner Rolle rechtliche Pflichten. Im Datenschutz-Kit für kleine Betriebe ist der externe Datenschutzbeauftragte ins Paket integriert. Wer das Compliance-Kit nutzt, beschäftigt bereits einen Beauftragten oder delegiert diese Aufgabe zusätzlich an die IITR Datenschutz.

Frage: Wie wichtig sind das Einhalten und die Dokumentation des Datenschutzes – kontrollieren die Aufsichtsbehörden das eigentlich?

Dr. Kraska: Tatsächlich wird zunehmend geprüft. Wir beobachten, dass die Behörden nach einer Übergangsfrist nun ihre Beratung zurückfahren und die Kontrollen verstärken. Sie starteten bei den Konzernen und wollen laut eigenen Angaben jetzt auch im Mittelstand Datenschutzmaßnahmen samt Dokumentation prüfen. Auch ohne diese Kontrollen – Datenschutz sichert Werte, nämlich Daten. Durch die legale Verarbeitung minimieren Unternehmen Haftungsrisiken oder die Gefahr von Verboten. Nicht zuletzt können sie mit Datenschutz auch werben, also eigene Werte schaffen.

Frage: Wo schauen die Behörden besonders genau hin?

Kraska: Der Fokus liegt sicher auf Unternehmen, die Gesundheitsdaten speichern, weil hier ein Datenverlust schwer wiegt. Auch datengetriebene Unternehmen, etwa aus E-Commerce, Werbung oder Produktion, stehen unter erhöhter Aufmerksamkeit. Wir beobachten allerdings, dass die Aufsichtsbehörden branchenübergreifend prüfen und alle Unternehmen drankommen können.

Mit Datenschutz Werte schaffen und erhalten

Frage: Sie meinen, Datenschutz kann zur Werbung genutzt werden. Achten Verbraucher überhaupt auf Datenschutz?

Dr. Kraska: Sie reagieren immer sensibler auf Fragen rund um die Verarbeitung und Sicherung persönlicher Daten, das ist sicher eine Folge der Diskussionen rund um die DSGVO und der letzten Missbrauchsfälle. Daten zu schützen, heißt ja, Vertrauen zu schaffen: Unsere Tools machen alle Maßnahmen dazu nachweisbar und damit können sie nach außen getragen werden.

Viele Unternehmen fragen sich, auf welchem Niveau sie Datenschutz umsetzen, als weitere vertrauensbildende Maßnahme bieten wir daher ein IITR-Zertifikat an. Die Crux für Unternehmen ist doch, Datenschutz nicht nur in Prozessen umzusetzen, sondern Maßnahmen so nachzuweisen, dass Dritte diese nachprüfen können. Mit unseren Certified Private Standards oder CPS ist das auf einen Blick möglich: CPS 100 zertifiziert Unternehmen, CPS 600 kleine Betriebe und CPS 300 Dienstleister. Alle Zertifikate stellen sicher, dass Personendaten standardisiert und nach geltendem Recht verarbeitet werden. Im Streitfall wirkt so ein Zertifikat haftungsmindernd, außerdem setzt es ein Zeichen in Richtung Personal.

Frage: Kann ein Zertifikat unter Mitarbeitern Einstellungen verändern helfen?

Dr. Kraska: Jede Form der Sensibilisierung und der aktiven Behandlung des Themas Datenschutz stärkt die Wahrnehmung im Unternehmen. Nicht umsonst fordert ja auch die DSGVO Schulungen und den Beleg, dass diese durchgeführt werden. Informationen und Zertifikate garantieren zwar nicht, dass sich jeder Beschäftigte immer datenschutz-konform verhält, aber die Implementierung sicherer Prozesse, Trainings, eventuell noch das Zertifikat zeigt Angestellten, dass Datenschutz dem Unternehmen wichtig ist.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.