Last-Minute-Tipps für die DSGVO

Im Gespräch mit Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht

Welche DSGVO-Kontrollen führen die zustän­digen Behörden durch? Welche Folgen drohen Unternehmen wirklich, die zum Stichtag noch nicht ganz umgestellt haben? Darüber spricht Computerworld mit Thomas Kranig, dem Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht.
Computerworld: Herr Kranig, am 25. Mai tritt die DSGVO in Kraft. Diverse Studien zeigen, dass viele Firmen nur unzureichend auf die neue Datenschutz-Grundverordnung vorbereitet sind. Wie schätzen Sie die aktuelle Situation ein?
Thomas Kranig: Grosse Firmen haben die DSGVO schon lange auf der Rechnung. Mittlere und kleine
Thomas Kranig: Präsident des Bayerischen Landesamts für Datenschutzaufsicht
Firmen sind da noch nicht so weit. Viele wachen erst jetzt auf. Sie sollten unbedingt handeln. Wir haben hier ein gutes Bild, da wir mit vielen Unternehmen im Gespräch sind. Wir erhalten viele Anfragen und beraten sie dabei, wie sie die DSGVO korrekt umsetzen.
Computerworld: Was ist Ihr wichtigster Tipp zur DSGVO für Unternehmen?
Kranig: Das A und O ist ein Verzeichnis von Verarbeitungstätig­keiten, mit dem Unternehmen ihre Datenverarbeitung dokumentieren. Das Verzeichnis umfasst auch Daten, die etwa an einen Cloud-Provider ausgelagert sind. Es gibt Auskunft, mit welchen personenbezogenen Daten man in seinen Geschäftsprozessen umgeht und wer wie oft mit welchen Rechten auf diese Daten
zugreift. 
Computerworld: Für welche Unternehmen ist Ihre Behörde zuständig?
Kranig: Wir sind für alle nicht öffentlichen Stellen in Bayern zuständig. Grenzüberschreitend gilt nach der DSGVO das One-Stop-Shop-Prinzip, das heisst, für international tätige Unternehmen und deren Tochtergesellschaften in Europa ist eine Aufsichtsbehörde am Sitz der Hauptniederlassung zuständig. Unsere Behörde ist beispielsweise für BMW, Siemens oder die Allianz zuständig, unsere Kollegen in Baden-Württemberg etwa für Daimler. Innerhalb Deutschlands ist jede Landesbehörde unabhängig. Wir versuchen aber, uns untereinander abzustimmen, um möglichst einheitlich vorzugehen. In Einzelfällen sind aber andere Schwerpunkte durchaus möglich.
Computerworld: Wie sieht es in Europa aus? Sind Sie beispielsweise für Microsoft zuständig? Die deutsche Zentrale des Konzerns liegt ja in München.
Kranig: Nein. Für Microsoft ist die Datenschutzbehörde in Irland zuständig, da sich dort die Europazentrale des Konzerns befindet, die den Umgang mit Daten regelt. Ein deutscher Microsoft-Kunde kann sich aber bei unserer Behörde über Microsoft beschweren. Wir leiten diesen Vorgang an die irische Behörde weiter und sind dann von der irischen Behörde in das Verfahren einzubeziehen.
Computerworld: Was passiert, wenn die irische Datenschutzbehörde ein Auge zudrückt, um Microsoft aus welchen Gründen auch immer nicht zu verärgern?
Kranig: Es gibt einen europäischen Datenschutzausschuss mit den Chefs der Aufsichtsbehörden der Mitgliedstaaten. Für Deutschland sitzen dort die Bundesbeauftragte für Datenschutz und Informationsfreiheit, Andrea Vosshoff, und ein Vertreter aus den Ländern. Wenn die irischen Kollegen nicht «ordentlich» arbeiten, müssen sie sich dort rechtfertigen und können in Einzelfällen von den anderen Aufsichtsbehörden auch zu einem Handeln gezwungen werden. Ähnliches gilt übrigens auch hierzulande, wenn wir nicht recht­mässig arbeiten würden. Dann müssten wir unseren Kollegen aus den anderen Bundesländern Bericht erstatten.
Computerworld: Interessant. Welche Kontrollen oder Stichproben führt das Bayerische Landesamt für Datenschutzaufsicht durch, um die Einhaltung der DSGVO zu prüfen?
Kranig: Es gibt zwei Arten von Kontrollen. Zum einen als Reaktion auf Beschwerden von Bürgern etwa über mangelnden Datenschutz in Unternehmen. Hier werden wir unmittelbar tätig und prüfen. Im Moment erhalten wir rund 1500 Beschwerden pro Jahr. Zum anderen gibt es die sogenannten anlasslosen Kontrollen, sprich aktive Kontrollen und Stichproben nach bestimmten Themen. Hier gehen wir nach einem bestimmten Schlüssel vor und kontrollieren ausgewogen kleine, mittlere und grosse Unternehmen.
Computerworld: Das Bayerische Landesamt für Datenschutzaufsicht hat derzeit 20 Mitarbeiter für die DSGVO-Prüfung. Das ist doch viel zu wenig.
Kranig: Auf den ersten Blick ja. Bis Juni 2018 werden wir noch vier weitere Mitarbeiter einstellen. Wenn man sieht, dass wir in Bayern insgesamt etwa 700.000 Firmen haben, vom Einzelunternehmer bis zu Siemens, ist die Wahrscheinlichkeit, von den Stichproben getroffen zu werden, eher niedrig. 
Zudem setzen wir für die Kontrolle der Datenschutzkonformität von Online-Seiten automatisierte Prüf-Software für die schnellere Bearbeitung ein. Auch die IHKs und Datenschutzbeauftragte machen Druck und weisen auf das neue Recht hin. Das wirkt sich zunehmend auch auf die letzten Firmen aus.
Computerworld: Welche Folgen drohen Unternehmen, die zum Stichtag die Datenschutzanforderungen noch nicht vollständig erfüllt haben?
Kranig: Das hängt natürlich immer vom Einzelfall ab. Zudem sind manche Punkte der DSGVO noch offen. So gibt es beispielsweise noch keine Liste für erforderliche  Datenschutz-Folgenabschätzungen (Artikel 35,4). Auch der Begriff «hohes Risiko» ist noch nicht genau definiert und gibt Freiräume. Bei diesen Punkten könnte es anfangs eventuell eine Schonfrist geben.
Entscheidend ist für uns am Anfang der gute Wille. Wenn Firmen bereits auf dem Weg sind und Geld für Datenschutz in die Hand genommen haben, aber noch nicht komplett DSGVO-konform sind, erhalten sie eher beratende Unterstützung als eine Sanktion. Wer sich aber gar nicht um die DSGVO kümmert, beim Thema Datenschutz sehr nachlässig ist oder gar als Spieler auf Risiko geht, nicht erwischt zu werden, wird nachhaltig sanktioniert. Es wird im Schnitt höhere Bussgelder als jetzt geben. Die Maximalstrafe von 4 Prozent des Jahresumsatzes gibt es aber wohl nur dann, wenn ein vorsätzlicher Verstoss in grossem Umfang vorliegt.



Das könnte Sie auch interessieren