sepagoForum #19: Die EU-DSGVO in Unternehmen – Ein Interview mit Gast-Redner Guido Aßhoff, Fachanwalt für IT-Recht
Die Zeit drängt; in drei Monaten müssen Unternehmen mit der EU-DSGVO vertraut sein und alle Regelungen umgesetzt haben. Wir widmen uns auf dem nächsten sepagoForum am 08. März dieser komplexen Herausforderung – denn die rechtskonforme Umsetzung der Verordnung hat auch Auswirkungen auf die IT-Infrastruktur eines Unternehmens. Guido Aßhoff, Fachanwalt für IT-Recht, beantwortet uns in einem Vorab-Interview erste Fragen.
sepago: Herr Aßhoff, herzlichen Dank, dass Sie sich die Zeit nehmen, die Leser unseres sepago Blogs für die EU-Datenschutzgrundverordnung und deren Bedeutung für Unternehmen zu sensibilisieren. Aber bevor wir einzelne Punkte der Verordnung besprechen, stellen Sie sich bitte kurz unseren Lesern vor:
Guido Aßhoff: Ich bin Fachanwalt für IT-Recht, zertifizierter externer Datenschutzbeauftragter und bilde für diverse Veranstalter Datenschutzbeauftragte aus und fort. Seit ca. 2008 betreue ich Unternehmen zu Fragen des IT-Rechts, insbesondere zum Datenschutz und zum Aufbau der Datenschutzorganisation. Aus meiner Sicht gibt es eine ganze Reihe von Fehlvorstellungen zum Thema Datenschutz, was letztlich daran liegt, dass oftmals auf Bußgelder und Haftung verwiesen wird. Dabei macht es erheblich mehr Sinn zu überlegen, wie man das Thema Datenschutz strategisch so anlegt, dass man Organisationsvorteile im Unternehmen erreicht, effizienter wird. Rechtssicherheit steht dann tatsächlich am Ende der Vorteile.
sepago: Warum ist Datenschutz so wichtig?
Guido Aßhoff: Datenschutz ist für Unternehmen deswegen ein sinnvolles Unternehmensziel, weil man um die Einhaltung des gesetzlichen Rahmens nicht umhinkommt. Das sollte aus meiner Sicht aber nicht der Trigger sein, warum man sich für ein Datenschutzkonzept entscheidet. Letztlich mache ich die Erfahrung, dass Unternehmen eine Menge über sich lernen, insbesondere über den Einsatz ihrer IT, ihrer internen Prozesse und der rechtlichen Rahmenbedingungen, wenn man im konkreten Projekt ist.
sepago: In vielen Unternehmen wird die Umsetzung der DSGVO als notwendiges Übel empfunden. Sehen Sie auch Chancen, wie Unternehmen das Thema positiv für sich nutzen können?
Guido Aßhoff: Ich glaube, dass es eine Reihe an Missverständnissen in Bezug auf Datenschutz und DSGVO ist. Es ist falsch immer nur über Bußgelder und Strafen zu sprechen. Es ist viel sinnvoller darüber nachzudenken, wie man Datenschutz im Unternehmen beherrschbar machen kann. Der erste Schritt ist sicherlich zu verstehen, dass Datenschutz eher etwas mit Prozessmanagement zu tun hat als mit Legal und IT. Wenn man in seine Entscheidungsfindung nicht das Thema Datenschutz und auch IT-Security einbezieht, ist es nicht verwunderlich, dass am Ende des Prozesses der Anwalt oder Datenschutzbeauftragte zum Ergebnis kommt, dass man das so nicht machen kann. Neben der Prozessteuerung kommt es aber entscheidend darauf an, dass man kompetentes Personal oder Berater hat.
sepago: Was muss in Unternehmen alles für die DSGVO dokumentiert werden?
Guido Aßhoff: Die DSGVO hat die sogenannte Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO eingeführt. Das bedeutet, dass ein Verantwortlicher die Einhaltung des Datenschutzes in seinem Unternehmen im Zweifel ggü. Aufsichtsbehörden nachweisen können muss. Hierzu gibt es weitere flankierende Pflichten, wie etwa das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten mit personenbezogenen Daten nach Art. 30 DSGVO. Letztere sind zwar nicht wirklich neu – auch das BDSG sah vor, dass man Verfahrenverzeichnisse zu führen hatte – die Praxis zeigt aber, dass viele Unternehmen mit dieser Pflicht bisher eher stiefmütterlich umgegangen sind. Das Verzeichnis der Verarbeitungstätigkeiten ist aus meiner Sicht ein wichtiger Ausgangspunkt, um überhaupt Datenschutz beurteilen zu können.
sepago: Gibt es formale Vorschriften für die Dokumentation?
Guido Aßhoff: Die Dokumentationspflichten sind in diversen Art. Der DSGVO geregelt, so etwa in Art. 5 Abs. 2 Rechenschaftspflicht, Art. 30 Verarbeitungsverzeichnisse, Art. 7 Abs. 1 DSGVO zu Einwilligungen, Art. 24 zur Ordnungsgemäßheit der Verarbeitung, Art. 35 DSGVO zur Datenschutzfolgenabschätzung. Darüber hinaus sollte man aber auch diverse Workflows erarbeiten und dokumentieren, wie etwa zu den Betroffenenrechten, im Fall eines Datenschutzvorfalls oder zur Information der Betroffenen nach Art. 13 und Art. 14. Einen guten Überblick hierzu hat die Datenschutzkonferenz zusammengestellt abrufbar unter (https://www.lda.bayern.de/media/dsk_hinweise_vov.pdf).
sepago: Unternehmen müssen das Löschen von Daten dokumentieren. Das klingt zunächst nach einem Widerspruch in sich.
Guido Aßhoff: Ausgangspunkt ist Art. 17 DSGVO, der aus meiner Sicht im Gegensatz zur bisherigen Rechtslage des § 20 BDSG eine Verschärfung der Anforderungen vorsieht, da keine Ausnahmen mehr für den Fall besteht, dass die Löschung mit unverhältnismäßigem Aufwand verbunden ist. Daher ist es notwendig ein Löschkonzept zu erarbeiten, dass ggf. auch nur über eine Anonymisierung von Datensätzen möglich ist. Letztlich halte ich die Dokumentation des Löschvorgangs in der Weise für rechtlich unzulässig, wenn hieraus die Datensätze wiederhergestellt werden können. Sicherlich sind die Löschanforderungen aber eine echte Herausforderung für jede IT-Abteilung.
sepago: Was erwartet ein Unternehmen, wenn der Datenschützer die Einhaltung der DSGVO überprüfen möchte?
Guido Aßhoff: Klassicher Weise wird man zunächst damit rechnen müssen, dass die Aufsichtsbehörden Fragebogen verschicken und die Dokumentation anfordern werden nebst Stellungnahme. Man sollte aber nicht unterschätzen, dass beispielsweise bei einem Datenschutzvorfall oder bei Auskunftsverlangen eines Betroffenen Reaktionspflichten bestehen, die unter Umständen zu recht kurzfristigem Handeln zwingen, z.B. einer Mitteilung an die Behörde im Fall eines Datenschutzverstoßes innerhalb von 72 Stunden nach Kenntnis des Vorfalls.
sepago: Herzlichen Dank Herr Aßhoff. Sie haben uns einen guten Einstieg in das Thema gegeben. Ich bin sehr gespannt auf Ihren Vortrag zur Datenschutz-Grundverordnung auf dem nächsten sepagoForum am 08. März 2018.