Rechtsanwältin über den neuen Daten-TÜV

CIO.de: Das ist alles freiwillig?

Bauer: Ja, aber man muss das Thema auch pragmatisch betrachten. Es ist nicht für alle Unternehmen gleich interessant. Unternehmen, die keine sensiblen Daten, wie bspw. Patientendaten, verarbeiten, sondern „nur" Mitarbeiter-Daten, die nicht im Adresshandel tätig sind, die kein Onlinemarketing machen oder keinen Web Shop betreiben, können den Wettbewerbsvorteil nicht richtig nutzen. Es geht mehr Unternehmen an, die wirklich das Vertrauen der Verbraucher und im Bereich des Datenschutzes Reputation benötigen. Wenn Facebook so ein Siegel hätte, wäre das für alle beruhigend.

CIO.de: Wie schätzen Sie den Stand bei den Unternehmen ein?

Bauer: Insbesondere der Mittelstand scheut sich noch, Datenschutz zu leben. Eine Ausnahme besteht, wenn dort sensible Daten als Kerngeschäft verarbeitet werden oder das Unternehmen in kritischen Bereichen, wie dem Adresshandel, tätig ist. Ansonsten heißt es häufig, so schlimm kann es nicht sein, wir werden uns da schon irgendwie durch lavieren. Bei großen internationalen Konzernen ist es anders, diese unterliegen häufig ganz anderen Compliance-Anforderungen als der Mittelstand. Diese Unternehmen sind alle viel sensibler und haben in der Regel ihren eigenen Vollzeit-Datenschutzbeauftragten, der den Datenschutz vorantreibt.

Die Datenschutzgrundverordnung der EU ist wesentlich laxer

CIO.de: Könnte das nicht bald für alle verpflichtend werden?

Bauer: Grundsätzlich ist die Umsetzung von datenschutzrechtlichen Anforderungen verpflichtend; es wird jedoch nicht umfassend nachgehalten, ob die Unternehmen diese tatsächlich umsetzen. Ansonsten müssen wir schauen, wie sich der Datenschutz entwickeln wird. Im Moment wird über die Europäische Datenschutzgrundverordnung diskutiert, die im Vergleich zu den deutschen Gesetzen teilweise weniger strenge Datenschutzregelungen vorsieht. Man hört etwa, dass nach den bislang vorgesehenen Regelungen nur noch 0,3 Prozent der deutschen Unternehmen einen Datenschutzbeauftragten beschäftigen müssten.

Allerdings sollen höhere Sanktionen für Verstöße vorgesehen werden und Unternehmen mehr in die Pflicht genommen werden, ihre Datenverarbeitungsvorgänge zu kontrollieren. In der Tendenz wird aber nicht davon auszugehen sein, dass der Datenschutz „härter" geregelt wird; dazu kommt, dass viel Lobbyarbeit auf europäischer Ebene betrieben wird, die verhindern wird, dass die Regelungen Unternehmen zu sehr verpflichten.

CIO.de: Wie fällt Ihr Fazit aus?

Bauer: Der Ansatz, dass wir neutrale Audits bekommen, ist gut. Das wird den Datenschutzstandard in den Unternehmen verbessern. Datenschutz ist leider immer noch ein Stiefkind, auch wenn wir künftig immer häufiger mit dem Thema zu tun haben werden. Dazu kommt, dass Datenschutz gelebt werden muss. Nicht jeder Sachbearbeiter, der mit Daten umgeht, ist so sensibilisiert, wie es sein sollte.

Ich mache viele Workshops; wenn ich dort die Teilnehmer auf bestimmte Dinge hinweise, ist das Aha-Erlebnis meist sehr groß. Unternehmen sollten viel aktiver ihre Mitarbeiter mit ins Boot nehmen und eine eigene Datenschutzorganisation aufbauen. Vielfach passieren Verstöße gegen den Datenschutz einfach nur aus Unkenntnis. Aktiv gelebter Datenschutz wäre schön. Die Stiftung kann dazu einen wichtigen Beitrag leisten, da sie durch die Audits die Sensibilisierung vorantreiben wird.

Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation CIO.