dispo: Frau Drexhage, in wenigen Wochen tritt die Datenschutz-Grundverordnung in Geltung. Dass die österreichischen KMU darauf besonders gut vorbereitet wären, darf bezweifelt werden. Sieht es in Deutschland besser aus?
Astrid Drexhage: Ob deutsche Unternehmen hier weiter sind als andere, will ich nicht beurteilen. Ich denke, dass die deutschen Gesetze bezüglich des Datenschutzes einen der höchsten Standards der Welt setzen. Wie sehr sich die Unternehmen schon bisher daran gehalten haben, ist natürlich eine andere Frage, aber ich habe den Eindruck, dass hierzulande prinzipiell ein hohes Bewusstsein für die Problematik besteht. Das wäre die gute Nachricht.
Und die schlechte Nachricht?
Drexhage: Bei Seminaren und Webinaren, die wir zum Thema durchführen, höre ich seitens der Unternehmen immer wieder: ‚Wir stehen da ganz am Beginn.’ Während die meisten Konzerne wohl längst gut vorbereitet sind, scheint sich der Mittelstand noch sehr wenig mit dem Thema befasst zu haben. Ein Indikator ist für mich unsere eigene Software: Die beinhaltet ja personenbezogene Daten sowohl unserer Kunden als auch deren Kunden. Auf diese Daten haben wir etwa zu Wartungszwecken auch Zugriff. Und wissen Sie, wie viele Firmen nachgefragt haben, ob wir auch DSGVO-konform vorgehen? Genau eine! Das war übrigens eine österreichische, und es war auch kein Mittelständler.
Logistiker haben doch permanent mit personenbezogenen Daten zu tun.
Drexhage: Natürlich, ein gutes Beispiel dafür ist das Thema Angebotserstellung für Neukunden. Was passiert mit den Daten, wenn das Angebot nicht zu einem Auftrag führt? Im Angebot sind sämtliche Daten des potenziellen Kunden bereits eingetragen. Dürfen diese Daten weiterverarbeitet werden? Müssen sie gelöscht werden? Hier verfügen kleine und mittlere Unternehmen noch über recht wenig Wissen.
Hat diese Gelassenheit auch damit zu tun, dass der exorbitante Strafrahmen der DSGVO ganz offensichtlich nicht gegen den Mittelstand gerichtet ist? Nach dem Motto ‚So schlimm wird’s schon nicht werden’?
Drexhage: Das mag ein Faktor sein. Die empfindliche Strafandrohung zielt schon auf Unternehmen wie Amazon, Google oder Facebook. Wir alle erleben ja immer wieder, wie wir mit einer produktbezogenen Google-Suche eine Welle einschlägiger Werbung auslösen.
Aber Dritte könnten sie durchaus dafür einsetzen.
Drexhage: Richtig, wobei das nicht unbedingt bösartig intendiert sein muss. Ich denke, dass Menschen die DSGVO zum Anlass nehmen werden nachzufragen, welche Daten ein Unternehmen eigentlich über sie hat – einfach aus Interesse. Tatsächliche Anträge auf Löschung und Vergessenwerden erwarte ich nicht in großem Ausmaß. Andererseits gehe ich davon aus, dass die klassischen Abmahn-Anwälte schon in den Startlöchern stehen, weil sich hier für sie natürlich ein neues ‚Geschäftsmodell’ auftut. Das sind Szenarien, auf die Unternehmen vorbereitet sein müssen. Ich empfehle dringend, sich darum zu kümmern. Wirklich heikel könnte das Thema der Datenschutzbeauftragten werden: Viele Unternehmen, die längst einen solchen hätten bestellen müssen, haben es verabsäumt. Und die Firmen sind gut beraten, eine Datenschutzerklärung online zu stellen, die auch die Kontaktdaten des oder der Datenschutzbeauftragten beinhaltet.
Die DSGVO tritt am 25. Mai endgültig in Kraft. Besonders viel Zeit bleibt also nicht mehr.
Drexhage: Dieser Stichtag ist in meinen Augen nicht von so großer Bedeutung. Die DSGVO ist ja schon seit fast zwei Jahren in Kraft, und nur die Übergangsfrist endet jetzt. Juristen sagen mir, dass die Gerichtsbarkeit wohl noch mehrere Jahre brauchen wird, um die Regelungen zu interpretieren, um Präzedenzen zu schaffen. Es besteht also kein Anlass, jetzt in Panik zu verfallen. Die Bedeutung der DSGVO sehe ich eher darin, dass sie wohl zu einer generellen Sensibilisierung für das Thema Datenschutz führt. Und das ist sehr zu begrüßen. Auch und gerade, wenn es um ganz banale Abläufe geht.
Zum Beispiel?
Drexhage: Wenn in Teamkalendern vermerkt ist, dass ein Kollege krank ist, finden das wohl die meisten von uns ganz normal. Datenschützer werden das weniger entspannt sehen, und das zu Recht: Im Grunde könnte jeder aus diesen Einträgen mit etwas Recherche ermitteln, welche Mitarbeiter wie oft und wie lange krank sind. Wir müssen versuchen, hier Automatismen in den Köpfen zu schaffen: Wer das Büro verlässt, sperrt seinen Computer. Datenträger mit sensiblen Daten sind wegzusperren. Gäste im Unternehmen müssen zum Besuchten begleitet werden. Wenn die DSGVO dazu führt, dass solche Dinge zur Selbstverständlichkeit werden, dann hat sie einen sehr sinnvollen Zweck schon erfüllt.
Interview: Bernhard Fragner
