B&P-GESPRÄCH intersoft consulting services-Vorstand Thorsten Logemann berät Unternehmen zum Thema Datenschutz und DSGVO
Seit Ende Mai ist Deutschland datenschutztechnisch im Ausnahmezustand. Exakt am 25. trat nach zweijähriger Umstellungsfrist die von der EU erlassene Datenschutzgrundverordnung, kurz DSGVO, inkraft – und erwischte viele Unternehmer auf dem falschen Fuß. „Es ist ein bisschen wie Weihnachten, das kommt auch jedes Jahr völlig überraschend . . .“, sagt Thorsten Logemann, Vorstandsvorsitzender der intersoft consulting services AG in Hamburg. Das Beratungsunternehmen ist auf Datenschutz, IT-Sicherheit und IT-Forensik spezialisiert, hat mehr als 70 Mitarbeiter und überzeugt unter anderem durch ein herausragendes Arbeitsklima, wie unlängst der AGA Unternehmensverband mit dem Prüfsiegel „Anerkannt guter Arbeitgeber“ bescheinigte. Der B&P-Kontakt zu intersoft consulting services kam über den AGA zustande, denn auch der Verband wird regelmäßig mit Fragen zur DSGVO konfrontiert. Kurz: ein akutes Thema.
Das Unternehmen intersoft consulting services befasst sich seit Jahren mit dem Thema Datenschutz und IT-Sicherheit und ist mit der bundesweiten Stellung von externen Datenschutzbeauftragten einer der führenden Dienstleister. Beflügelt durch den jüngsten Facebook-Datenskandal, die ansteigende Cyber-Kriminalität und die mutmaßliche Einflussnahme ausländischer Mächte auf US-Wahlen und das Brexit-Referendum ist Datensicherheit und -missbrauch in aller Munde. Als der Datenschutz vor zwei Jahren auf EU-Ebene neu geregelt wurde, mag das möglicherweise noch nicht so präsent gewesen sein – vielleicht ein Grund dafür, dass viele Firmen die praktische Umsetzung schlichtweg verschlafen haben.
400 Anfragen im Monat
Wenige Wochen vor Inkrafttreten der DSGVO brach dann erwartungsgemäß der Nachfragesturm los. Logemann: „Bei uns gingen im Monat etwa 400 Anfragen ein – immer mit dem Ziel, ob wir die Funktion des externen Datenschutzbeauftragten übernehmen könnten.“ Er musste zumeist absagen, denn mit der Betreuung von 1400 Gesellschaften von rund 500 Kunden in ganz Deutschland war die Grenze des Leistbaren für die Mitarbeiter erreicht.
Die Situation vor dem Stichtag am 25. Mai 2018 beschrieb Logemann so: „Gefühlt ist jede zweite Firma noch nicht im Thema.“ Und erfüllt folglich die geforderten Voraussetzungen für den Datenschutz im DSGVO-Zeitalter noch nicht.
Hintergrund: Das alte Bundesdatenschutzgesetz (BDSG) stammte aus dem Jahr 1984 und umfasste 48 Paragrafen. Die DSGVO hat 99 Paragrafen, die den kleinsten gemeinsamen Nenner der 27 EU-Staaten darstellen. Öffnungsklauseln ermöglichen es einzelnen Staaten, Spezialregelungen einzubauen. Davon hat die Bundesregierung Gebrauch gemacht und mit dem „BDSG neu“ 84 weitere Paragrafen formuliert.
Thorsten Logemann: „Man merkt: Das Thema ist komplizierter geworden. Die neue Regelung ist ein scharfes Schwert. Wir haben es jetzt mit einem Bußgeldtatbestand zu tun. Zudem können bei schweren Verstößen Strafen in Höhe von bis zu vier Prozent des globalen Jahresumsatzes verhängt werden. Bei den großen Unternehmen wie Google und Co. kämen da schnell exorbitante Summen zusammen. Allerdings: Gerade die großen Unternehmen haben sich seit zwei Jahren intensiv auf die neue Situation vorbereitet. Für den typischen Mittelständler gilt das jedoch nicht. Das Problem: Der Gesetzgeber unterscheidet nicht zwischen Google und ‚Schrauben-Müller‘.“ Kein Wunder, dass nun in vielen Führungsetagen Aufregung herrscht.
Vier Prozent des Jahresumsatzes
Bis zu vier Prozent des Jahresumsatzes drohen als Bußgeld bei schweren Verstößen gegen die DSGVO – das könnte vor allem für mittelständische Unternehmen existentielle Ausmaße annehmen. Die Behörden sind allerdings auch aufgefordert, die Verhältnismäßigkeit zu wahren, um niemanden in den Ruin zu treiben. Bei minderschweren Verstößen drohen immerhin noch zwei Prozent. Logemann: „Die Aufsichtsbehörden gerade auch in anderen EU-Ländern sind teilweise radikal unterwegs. Dabei sind sie selbst in Deutschland vielfach technisch noch gar nicht in der Lage, die geforderten Informationen zu verarbeiten.“
Die Aufsichtsbehörden sind beispielsweise gefordert, eine Liste herauszugeben, aus der hervorgeht, für welche Verfahren die Unternehmen eine sogenannte Folgeabschätzung vorzunehmen haben. Also die klassische Frage zu beantworten: Welcher Schaden entsteht möglicherweise wem bei Verstoß X. Logemann: „Eine Liste dazu gibt es nicht. Die Behörden sind ebenfalls noch nicht bereit, diese Aufgabe korrekt zu erfüllen.“ Er sieht eine ganz andere Folge der DSGVO: „Sie öffnet Tür und Tor für Abmahnanwälte.“
Tracker im Visier
Was den Behörden sonst noch so einfällt, überraschte die IT-Branche Ende April, also vier Wochen vor Inkrafttreten der DSGVO. Thorsten Logemann: „Auf der Datenschutzkonferenz, an der alle Datenschutzbeauftragten aus den 16 Bundesländern teilnehmen, wurde ein Papier formuliert, das die Betreiber von Web-Seiten auffordert, über den Einsatz von Trackern zu informieren und die Einverständniserklärung der Besucher einzuholen. Das geht meines Erachtens wirklich über das Ziel hinaus. Hier treibt die DSGVO wilde Blüten. Allein Zalando hat zwei Dutzend Tracker auf der Seite.“ Diese Programme sind Basis für die Kundenanalyse und Voraussetzung dafür, gezielte Werbung zu platzieren. Für Betreiber von Online-Shops sind Tracker sozusagen das Netz, mit dem im Internet nach potenziellen Kunden gefischt wird.
Auch für Zeitungsverlage und Online-Medien ist die Tracker-Thematik von existentieller Bedeutung, denn über diese Programme wird die Reichweite von Online-Werbung auf den Portalen ermittelt – eine Voraussetzung für die Preisfindung. Thorsten Logemann: „Die 16 Aufsichtsbehörden haben ihre Interpretation aus der DSGVO abgeleitet. Und sie sind sich einig. Für Online-Shops ist das katastrophal.“
Headhunter am Telefon
Auch Arztpraxen stehen vor erheblichen Problemen, zumal es hier um wirklich sensible Daten geht: Sie müssen ihre Patienten über die bereits verwalteten Daten aufklären und beispielsweise bei neuen Behandlungen mitteilen, welche Daten zusätzlich hinterlegt werden. Patienten sollen dazu ihr Einverständnis geben. Wie das in der buchstäblichen „Praxis“ funktionieren soll, ist selbst Insidern schleierhaft.
Thorsten Logemann mit Blick auf die aktuelle Situation: „Ich verstehe die Aufregung in den Unternehmen, aber für diejenigen, die sich bislang an das BDSG gehalten haben, gibt es keine erheblichen Veränderungen. Bislang wurde Datenschutz jedoch zumeist eher stiefmütterlich gehandhabt.“ Er schlägt sich mit einem ganz anderen Problem herum: „Es rollt eine Abwerbewelle, weil viele Unternehmen einen Datenschutzbeauftragten einstellen wollen. Es vergeht keine Woche, in der hier nicht irgendwo ein Headhunter anruft. Die bieten meinen Mitarbeitern teilweise Gehaltsaufschläge von 30 000 Euro im Jahr. Das können wir als Mittelständler nicht zahlen.“ Wenige Mitarbeiter hat intersoft consulting services verloren, das lässt sich nie ganz vermeiden. Das Unternehmen hält jedoch mit unschlagbaren Arbeitsbedingungen dagegen. Die AGA-Auszeichnung „Anerkannt Guter Arbeitgeber“ wurde in diesem Frühjahr wiederholt mit Bestnoten in allen Bereich verliehen.
Thorsten Logemann ist derzeit regelmäßig mit dem Thema Datenschutz auf Vortragsreise. Er sagt: „Meine Präsentation beginnt auf Folie eins mit der Frage ‚Wenn ich noch nichts getan habe, brauche ich ein Wunder?‘ Auf Folie zwei steht dann ein großes ‚Ja!‘. Es bleibt abzuwarten, wie die Behörden vorgehen.“ Die weitaus größeren Gefahren drohten Unternehmen aus zwei Richtungen: von unzufriedenen Mitarbeitern und von unzufriedenen Kunden. Kommt es zur Anzeige oder Beschwerde aufgrund von Verstößen gegen die DSGVO, werden die Datenschützer tätig. In der Folge erwartet Thorsten Logemann eine Welle von Urteilen, die dann der Konkretisierung der DSGVO dienen dürften. Das könne Jahre dauern. Seine Einschätzung: Ich glaube nicht, dass es nach Inkrafttreten der neuen Verordnung Bußgelder hageln wird.
Web: www.intersoft-consulting.de, www.aga.de
Von Wolfgang Becker