Haftungsfragen im Umfeld der DSGVO „Wie hoch ist das Risiko „entdeckt“ zu werden?“
2. Dezember 2017
Die Unternehmer haften für Verstöße gegen die Europäische Datenschutzgrundverordnung (EU-DSGVO). Sind Änderungen im Zuge der DSGVO notwendig, gibt es ein grundsätzliches Problem, denn ein Unternehmer wird eine Risikoabschätzung vornehmen. Dabei gilt es unterschiedliche Parameter zu beleuchten: Wie hoch ist das Risiko „entdeckt“ zu werden? Welche Investitionskosten kommen auf mich zu, um komplett DSGVO-konform zu werden? Wie hoch werden die Strafen ausfallen, falls das Unternehmen „entdeckt“ wird? Antworten dazu liefert die DSGVO-Diskussionsrunde von line-of.biz.
Personenbezogene Daten
Die EU-DSGVO schützt in erster Linie die personenbezogenen Daten. Doch es gibt kaum ein Unternehmen, das für sich reklamieren kann, „derartige Daten kommen bei uns nicht vor“. Informationen über die eigenen Mitarbeiter gehören dazu, aber auch die Daten über Ansprechpartner bei Kunden oder Lieferanten. Vielfach sind die Unternehmenslenker nicht im Detail darüber informiert, wie in den einzelnen Abteilungen mit den personenbezogenen Dateien umgegangen wird. Zumal unterschiedliche Fachbereiche, etwa das Marketing oder die Produktion, auf unterschiedliche Art und Weise mit persönlichen Daten umgehen. Doch von der Haftungspflicht können sich die Unternehmer über eine derartige Argumentation nicht entbinden.
Die DSGVO sieht ganz klar die Unternehmerhaftung vor und greift dabei relativ tief. Explizit wird so formuliert, dass die Haftung nicht einfach delegiert werden kann. „Nach einem Vorfall auf den Datenschutzbeauftragten zu verweisen, das funktioniert aus haftungstechnischer Sicht nicht mehr“, stellt Michael Schröder, Business Development Manager New Technologies bei der ESET Deutschland GmbH, heraus. Dagegen haften alle „Schuldigen“ gemeinschaftlich zusammen mit der Unternehmensleitung bei Datenpannen. Datenschutz wird somit plötzlich zur „Chefsache“. Früher war es durchaus üblich, als Datenschutzbeauftragten einen Berater oder auch nur eine Teilzeitkraft zu benennen, die eigentlich gar keine Möglichkeit hat, den entsprechenden Aufgaben nachzukommen. Mit der DSGVO wird aus dem Datenschutzbeauftragten der Überwacher, der unter anderem dafür Sorge tragen muss, dass alles gesetzeskonform abläuft. Zumal er auch selbst ein gewisses Haftungsrisiko eingeht.“
Generell könne man auch nach Inkrafttreten der EU-DSGVO einen externen Datenschutzbeauftragten bestellen. „Denn bevor diese Aufgabe an den ‚Nächstbesten‘ im Unternehmen vergeben wird, dem dazu die Grundlagen fehlen“, räumt Schröder ein, „macht es Sinn, diesen Job auszulagern, und in die Hände eines Experten zu legen.“ Allerdings fehlten in Deutschland bis zu 17.000 Fachkräfte in diesem Bereich.
Nicht aus der Pflicht entlassen möchte Thomas Biedermann, Managing Director der DWA GmbH, die Fachbereiche in Sachen Datenschutz. „Klar kennt man in en Unternehmen den Gesetzestext, und der Geschäftsführer haftet sogar über die ‚normale GmbH-Regelung‘ hinaus. Aber um auf das Thema Marketing zurückzukommen: Dieser Bereich nutzt meist sehr viele personenbezogene Daten. Aber da besonders im diesem Bereich am schnellsten abgemahnt wird, wird das Thema Datenschutz in dieser Abteilung meist sehr sorgfältig angegangen. Die meisten Direktmarketing-Mechanismen verwenden das mit Double-Opt-In-Verfahren. Auch die Mitarbeiter sind in der Regel stark sensibilisiert, was das Thema Datenschutz angeht. Daher ist es wichtig, von diesem Erfahrungsschatz zu profitieren. Ein Know-how-Austausch innerhalb des Unternehmens, also bei den Fachabteilungen untereinander, ist hier unerlässlich.“
Feedback einholen
Daher sollte ein Unternehmenslenker Feedback aus allen Bereichen seiner Firma, bei denen Datenschutz eine Rolle spielt, einholen. Hier empfiehlt Michael Schröder zwei Ansätze: „Zum einen lohnt es sich für den Verantwortlichen, das unternehmensinterne Verfahrensverzeichnis durchzugehen. Das erweist sich in der Regel als eine Art Fleißarbeit“. Denn im Verfahrensverzeichnis werde aufgezeigt, welche Prozesse im Unternehmen vorhanden sind, welche Daten erfasst werden, welchem Risiko der Gesamtprozess unterliegt, und welche Schutzmaßnahmen angewendet werden. „Zum anderen sollten sich die Unternehmenslenker den Data-Security-Lifecycle genauer ansehen“, empfiehlt Schröder weiter. „Denn erfasse ich personenbezogenen Daten – etwa von Webseiten – so werden Informationen wichtig, wie etwa das Erstelldatum, und auch, ob diese Daten nach einem bestimmten Zeitraum wieder gelöscht werden. Dazwischen steht noch die Frage der Klassifizierung: Wwo werden die Daten gespeichert, wer nutzt diese Informationen, und wo wird der Datensatz archiviert.“
„Detailinformationen, wie etwa das Erstelldatum eines Datensatzes, müssen immer im Gesamtkontext gesehen werden“, stellt Gerald Pernack, Archer eGRC Solutions Consultant bei RSA Security, fest. „Wichtig ist es, den gesamten Informationsfluss im Unternehmen zu kontrollieren und sie nachverfolgbar zu gestalten. Da kommen Fragen auf wie: ‚Wie kommen die personenbezogenen Daten von potentiellen Kunden zu den Marketingabteilungen‘ oder ‚Auf welche Weise wurden die Daten erhoben?‘ Und egal ob es sich um ein eher kleines Unternehmen – etwa weniger als 250 Mitarbeiter – oder mittleres Unternehmen mit tausend Mitarbeitern handelt. Jede Firma sollte ein entsprechendes Verfahrensverzeichnis ausarbeiten.“
Selbst wenn dies im aktuellen Zustand des Unternehmens noch kein „Muss“ sei, schade es ja nicht, ein derartiges Verzeichnis anzulegen, vor allem im Hinblick auf die Zukunft. „Komme ich dann zu einem gewissen Punkt – Stichwort Unternehmensgröße – , dann steht das Verfahrensverzeichnis ja schon zur Verfügung. In diesem Zusammenhang ist es wichtig, eine möglichst einfache aber dennoch lückenlose Dokumentation der Prozesse, Datenerhebungen, und Verfahren vorzuhalten.“ Dazu verweist Pernack auf das Risikomanagement in den Unternehmen: „Einige machen dieses Management nur auf Papier, andere setzen auf die typische Excel-Lösung, und leider nur zu wenige setzen auf eine umfassende Managementlösung und erledigt diese Aufgabe systemgestützt.“
Um eine derartige Dokumentation zu erstellen, müssen die einzelnen Daten ja erst erhoben, analysiert und geordnet werden. Damit stellt sich die Frage: Wie lässt sich das am besten bewerkstelligen? „Ich bin mir ziemlich sicher, dass in Unternehmen, bei denen noch kein Datenschutzbeauftragter ‚in Amt und Würden‘ ist, keinerlei Kompetenz in diesem Bereich vorhanden ist“, gibt Schröder zu bedenken. „Hat man sich bisher nicht mit dem Bundesdatenschutzgesetz beschäftigt, wird auch die EU-DSGVO ein Buch mit sieben Siegeln sein. Also bleiben nur die Optionen, sich einen Datenschutzbeauftragten auszubilden, oder einen externen Dienstleister damit zu betrauen. Auch die Kombination beider Vorgehensweisen ist denkbar: Zunächst wird ein externer Datenschutzbeauftragter ‚gebucht‘ und gleichzeitig ein Mitarbeiter umgeschult oder eingestellt.“
Für Thomas Biedermann ergibt sich für kleinere Unternehmen daraus ein Problem. „Sie haben weder die Kapazität noch die finanziellen Mittel dies intern abzubilden. Sieht man sich dazu die dünnen Personaldecken an, wird es schwer, eine Person damit zu betrauen, um dies seriös abzubilden. Daher bleibt in diesen Bereichen nur die Lösung über eine externen Dienstleister.“
Stand der Technik
Im Gesetzestext findet sich oftmals der Passus „Stand der Technik“, etwa wenn es um Sicherheitsbarrieren oder Verschlüsselung der personenbezogenen Daten geht. Doch dazu stellt sich die Frage: Was ist darunter zu verstehen – und ändert sich der Stand der Technik nicht andauernd? „Der Begriff „Stand der Technik“ ist leider nicht sauber definiert“, gesteht Michael Schröder ein. „Wer hier nachfrägt, hört oft den Verweis auf den IT-Grundschutz und das IT-Sicherheitsgesetz, und man solle sich bei der EU-DSGVO daran orientieren.“ Diese Angeben seien zwar theoretisch richtig, aber praktisch kaum von Nutzen, so Schröder weiter: „Denn der Terminus ‚Stand der Technik‘ ist abhängig .von den Implementierungskosten, dem Zwecke der Verarbeitung, der Eintrittswahrscheinlichkeit und der eigenen Risikobetrachtung.“ Ein hundertprozentiges Schutzniveau könne ohnehin nicht erreicht werden, so Schröder weiter: „Der Unterschied zwischen 99,5 Prozent und 99,6 Prozent Sicherheit können dabei beispielsweise im sechsstelligen Investitionsbereich liegen. Daher stellt sich dem Unternehmensleiter die Frage, inwieweit das Risiko selbst getragen werden soll, und mit welchen Kosten das verbunden ist. Auch ist es möglich, das letzte ‚Restrisiko‘ entsprechend zu versichern, inzwischen werden ja immer mehr ‚Cyber-Versicherungen‘ angeboten.“
Das Thema Versicherung erweist sich auch für Gerald Pernack als sehr interessant: „Um einen solchen Vertrag abzuschließen fragt der Versicherungspartner genau nach, welche Risiken bestehen. Je nachdem werden höhere oder niedrigere Versicherungsbeiträge verlangt. Zudem können sich die Unternehmen schon einmal darauf einstellen, dass das Unternehmen vor einem Vertragsabschluss durch den Versicherer genau durchleuchtet wird. Dabei kommen externe Sachverständige ins Spiel, damit lassen sich eventuelle Risiken leichter aufdecken und können anschließend behoben werden.“ Diese Überprüfung durch die Versicherungsgesellschaft könnte ein Unternehmen quasi als Vorabcheck sehen, falls es doch zu einer Kontrolle durch eine Aufsichtsbehörde kommen sollte.
Die dynamische Komponenten im Kontext des „Stand der Technik“ ist für Thomas Biedermann interessant: „Es lassen sich ja nicht bestimmte Softwareversionen vorschreiben, oder bestimmte Patches für die unterschiedlichsten Softwarekomponenten im Gesetzestext festhalten. Daher muss man davon ausgehen, dass der Sicherheitsstand, der für das Unternehmen ausreicht, den Stand der Technik wiederspiegelt.“ Nach seiner Einschätzung wird so ein weites Spektrum an Lösungen, Systemen, Betriebssystemen oder Applikationen plötzlich die Vorgabe „Stand der Technik“ erfüllen. „In einem kleinen Handwerksunternehmen, wo der Inhaber die Rechnungen am PC schreibt, sie ausgedruckt und mit der Post verschickt, könnte ein ‚Uraltbetriebssystem‘ wie Windows 98 durchaus dem Stand der Technik entsprechen. Das trifft auf das multinationale Unternehmen, das Cloud-Dienste global bereitstellt, sicherlich nicht zu. Dieses Grundprinzip ist quasi das ‚Schlupfloch‘ oder die Grauzone, die zwar vielen Gerichtsprozessen den Weg ebnen dürfte, aber auf der anderen Seite bestimmt vielen Unternehmen eine 20-Millionen-Euro-Strafe erspart.“
„In der DSGVO ist in diesem Zusammenhang Artikel 32 interessant“, gibt Michael Schröder zu Protokoll: „Hier werden die Implementierungskosten und Implementierungsaufwände genauer angesprochen. Und das deckt sich mit der Definition ‚Stand der Technik‘. Zum Beispiel wird sich der Zweimann-Betrieb eines Fliesenlegers sicherlich keine Layer-2-Netzwerkverschlüsselung leisten können, und somit kann dies auch nicht den Stand der Technik für einen solchen Betrieb darstellen. Und hier wird das Verfahrensverzeichnis wieder interessant. Auch der ‚kleine Fliesenleger‘ sollte seine Prozesse und Verfahren, wie z.B. Angebots- und Rechnungserstellung,) genau betrachten. So kann er im Falle einer Kontrolle schriftlich nachweisen, dass die gewählte IT-Sicherheit dem Stand der Technik, sprich den zumutbaren Möglichkeiten in Relation zu den Prozessen entspricht.
