Schreckgespenst DSGVO

Ein bürokratisches Monster, unausgegoren und wirtschaftsfeindlich – in den letzten Monaten schreckte die Europäische Datenschutzgrundverordnung DSGVO den deutschen Mittelstand auf. Kaum eine Branchenveranstaltung, auf der das Thema nicht zur Sprache kommt, kaum ein IT-Dienstleister, der nicht Hilfe bei der Umsetzung oder Zertifizierungen anbietet. Für Druckereien heißt das viel Arbeit, und vor allem zum Teil erhebliche Investition, und das in einem ohnehin nicht einfachen Marktumfeld. Man sollte allerdings berücksichtigen, dass sich das europäische Gesetzgebungsverfahren bereits seit 2012 hinzieht und die endgültige Fassung bereits am 27. April 2016 durch Veröffentlichung im europäischen Amtsblatt in Kraft getreten ist. 

Da es sich um ein europäisches Gesetz handelt, bricht es nationale Richtlinien und soll europaweit harmonisiert zum Einsatz kommen. Dabei ergeben sich freilich eine Reihe von Problemen, betont Professor Ulf Glende. Der Gründer von Glende Consulting ist Experte für Datenschutz und IT-Sicherheit, außerdem Honorarprofessor für Polygrafie. Für den Fachverband Medienproduktion e. V. (f:mp) hielt erim März für Kunden und Mitglieder eintägige Seminare zum Thema DSGVO. „Derzeit kann niemand genau abschätzen, welche Folgen das Gesetz für Unternehmen habenwird. Es sieht eine Reihe von in Deutschland unüblichen Regelungen vor, etwa ein Verbandsklagerecht neben dem Recht persönlich Betroffener oder auch die Geltend­machung eines immateriellen Schadens. Zudem ist der Strafrahmen bei Verstößen sehr hoch. Er kann bis 20 Millionen Euro, bzw. 4 % des jährlichen Gesamtumsatzes eines Unternehmens bzw. einer Unternehmensgruppe betragen. Wie genau das Gesetz in den verschiedenen Ländern ausgelegt und die Umsetzung kontrolliert wird, ist derzeit völlig unklar, denn es kann ja noch keine entsprechenden Gerichtsurteile geben. Trotzdem müssen Unternehmen handeln.“

An der DSGVO führt kein Weg vorbei

Bei seinem Vortrag in München, der mit mehr als 20 Teilnehmern vollständig ausgebucht war, machte Glende allerdings auch klar, dass die DSGVO, so umstritten sie auch sein mag, der wachsenden Bedeutung von Daten und ihrem Schutz in Unternehmen Rechnung trägt. „Die DSGVO ist ein guter Anlass für mittelständische Firmen, sich anzusehen, wie es bei ihnen um die IT- und Datensicherheit bestellt ist“, gibt er zu bedenken. Tatsächlich gibt es in vielen, vor allem kleineren Unternehmen nur selten definierte Prozesse zu Datensicherheit und -integrität – und das, obwohl ernste EDV-Probleme heute durchaus ganze Unternehmen in den Ruin treiben können: was tun, wenn die Kundenverwaltung oder Rechnungslegung auf einmal nicht mehr funktioniert? 

Die neue europäische Richtlinie verlangt einen eigenen Datenschutzbeauftragten zwar nur, wenn die Kerntätigkeit eine umfangreiche und regelmäßige Verarbeitung von personenbezogenen Daten ist.
Allerdings müssen nach deutschem Recht auch SMBs einen Datenschutzbeauftragten stellen, wenn ständig mindestens zehn Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Die Zahl kann aber unter Umständen leichter als gedacht erreicht werden, denn beispielsweise in Lohnbuchhaltung und Personal­abteilung werden personenbezogene Daten verarbeitet, im Falle von Krankschreibungen sogar besonders sensible. Der f:mp bietet daher die Vermittlung eines externen Datenschutzbeauftragten sowie Datenschutz-Audits an (siehe Kasten). Der Verband hat mit Privacysoft auch eine Software zum Datenschutz-Management im Programm. 

ADV – ein Instrument für Druckdienstleister

Druckereien werden mit dem Thema Datenschutz in besonderem Maße konfrontiert, vor allem, wenn sie beispielsweise Visitenkarten oder Direkt-Mailings drucken. Durch einen geeigneten Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) können sie sich dagegen schützen, für Vergehen und Fehler ihrer Kunden bei zugelieferten Dateien zur (anteiligen) Rechenschaft gezogen zu werden. Zum Teil werden solche ADV-Verträge aber auch von den Kunden zur Bedingung bei der Auftragsvergabe gemacht. Hier lohnt sich, so Glende, das genaue Studium, da diese Verträge zum Teil erhebliche Lasten auf die Druckerei abwälzen. Diese können massive Dokumentationspflichten sein, aber etwa auch einen Kontrollbesuch des Datenschutzbeauftragten des Kunden einschließen!

Auch Druckereien sollten ADV-Verträge mit ihren Lieferanten abschließen, etwa wenn sie Cloud-Leistungen in Anspruch nehmen. Während Profi-Cloud-Services wie Microsoft Office 365 auf Anfrage entsprechende Verträge vorhalten, wies Glende darauf hin, dass dies für kostenfreie Lösungen wie etwa Google Mail oder die Apple iCloud nicht so einfach vorgesehen sei. Diese Dienste wenden sich dezidiert nur an Endkunden. Ihre Nutzung für Kundendaten und -mails, obwohl im SMB-Bereich nicht unüblich, war schon unter dem bisherigen nationalen Recht nicht wirklich datenschutzkonform. Weitere schwierige Fragen bzgl. des Datenschutzes ergeben sich generell bei der Nutzung von Firmen-Smartphones, aber auch Privatgeräten mit Firmendaten, aber etwa auch beim GPS-Tracking von Firmenwägen oder der schlichten Nutzung des eingebauten Navigationsgerätes. Doch selbst übliche Geschäftsvorgänge wie etwa das Versenden von Newslettern, Werbemails oder Einladungen an Bestandskunden, und sogar der Betrieb einfacher Web-seiten kann erhebliche datenschutz-rechtliche Probleme nach sich ziehen, erinnerte Glende in München. Denn Kunden müssen in den Empfang von nicht direkt mit vertraglichen Leistungen notwendiger Kommunikation explizit einwilligen. Sie haben außerdem jederzeit das Recht, in die über sie gespeicherten Datensätze Einblick zu nehmen sowie ihre Löschung zu verlangen. 

Angesichts der Tragweite der Richtlinie entstand unter den Münchner Teilnehmern erhebliche Unruhe. Glende empfahl deshalb, schnellstmöglich wenigstens mit der Dokumentation von Prozessen zu beginnen, und die firmeneigene EDV Schritt für Schritt in Einklang mit den Vorgaben der DSGVO zu modernisieren. Denn eines sei klar: „Bis 25. Mai wird ohnehin niemand mehr wirklich fertig…“