12 Monate DSGVO – Ein Gespräch mit Björn Bausch

Mit dem Datenschutz- und Sicherheitsexperten Björn Bausch (Managing Director/Geschäftsführer der b-pi sec GmbH, Tochterunternehmen des etablierten Kölner IT-Unternehmens best-practice innovations GmbH) hatte ich Ende 2017 ein Interview-Gespräch für diesen Blog geführt. Außerdem haben wir zwei Informations-Events Anfang 2018 zur Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) veranstaltet.

In der Woche vor dem ersten Geburtstag der EU-Datenschutz-Grundverordnung am 25.05.2019 habe ich Ihn in Limburg an der Lahn in der neuen Niederlassung der b-pi sec GmbH wieder getroffen, um seine Learnings aus der Zeit nach dem 25. Mai 2018 zu erfahren und Einblicke in seine Arbeit zu bekommen.

Ende 2017 herrschte – insbesondere bei Kleinstunternehmen – vorwiegend die Auffassung, dass die zahlreichen Regelungen der EU-DSGVO nicht gänzlich erfüllt werden könnten. Aber auch bei kleinen und mittelgroßen Unternehmen sowie Einrichtungen der öffentlichen Hand gab und gibt es noch immer diese Unsicherheit, die neuen Datenschutzregeln nicht ordnungsgemäß umsetzen zu können und sich so von eklatanten Bußgeldern bedroht zu sehen.

Keine Frage – die Herausforderungen für Datenschutz und die Informationssicherheit allgemein sind enorm.


Björn Bauschs Praxis-Tipp dazu:
Als ersten Schritt die IT-Prozesse sowie Gewohnheiten der Mitarbeiter im Umgang mit personenbezogenen Daten vollständig abbilden und darauf aufbauend ein Sicherheits-Konzept entwerfen.

Für alle, die dies nicht aus eigener Kraft intern gestemmt bekommen, ist die b-pi sec GmbH der richtige Ansprechpartner.


In Kooperation mit der EKOM21 hat die b-pi sec GmbH eine Umfrage zur DSGVO 2019 in öffentlichen hessischen Verwaltungen durchgeführt. 181 Teilnehmer – darunter Hauptamtsleiter, Bürgermeister, IT-Leiter und Datenschutzbeauftragte – haben diese beantwortet.

Immerhin 82,4% der Teilnehmer sind sich im Klaren darüber, dass die neuen Vorschriften der DSGVO auch für sie relevant sind. Doch nur 8,5% finden, dass die Verwaltung gut auf die Umsetzung der DSGVO vorbereitet ist.

Zwei Drittel der Befragten teilt mit, dass ein Datenschutzbeauftragter benannt wurde. Ein Drittel ist hier also noch völlig ohne verantwortliche Person, was bereits einen Verstoß gegen die DSGVO darstellt. Da wundert es nicht, dass nur 2,8% Möglichkeiten geschaffen haben, um bei Bedarf personenbezogene Daten umfassend und zeitnah löschen zu können. Die Zahlen erschrecken nicht nur Experten.

Insgesamt also eine Situation, die man 1 Jahr nach Einführung der DSGVO so nicht unbedingt erwartet hätte.

Woran könnte das liegen, Björn?

Das liegt zum einen daran, dass nicht ausreichend geschult wurde in Vorbereitung auf den 25.05.2018 und zum anderen wird dem Thema Datenschutz noch nicht die Bedeutung beigemessen, die es tatsächlich benötigt. Es herrscht große Angst vor nötigen Umstellungen in den Arbeitsabläufen des jeweiligen Unternehmens oder der jeweiligen Verwaltung. Angst ist hier jedoch das denkbar schlechteste Motiv zum Nicht-Handeln. Bis jetzt haben wir immer gangbare Wege gefunden, die im Nachhinein weniger kompliziert waren als befürchtet.

Björn, wie sind denn Deine Erfahrungen mit Bußgeldern für Datenschutzverstöße? Das war ja im Vorgriff vor einem Jahr ein heiß diskutiertes Thema.

Stand heute wurden 42 Bußgelder verhängt und 54 Verwarnungen ausgesprochen. Die relativ geringe Zahl liegt darin begründet, dass die Behörden bis dato nicht aktiv, sondern eher auf Anfrage von außen vorgehen. Das ist insofern ein sensibler Punkt, da hier in Zukunft vor allem ehemalige Mitarbeiter zum Sicherheitsrisiko werden können, die über die Prozesse im Unternehmen bescheid wissen und hier – je nachdem, wie freundlich ein Arbeitsverhältnis endet – mit Hilfe dieser Interna dem ehemaligen Arbeitgeber „Eins auswischen“ könnten. Sobald die Behörden über mehr Manpower verfügen, muss man zudem mit einem Anstieg der Bußgelder und Verwarnungen rechnen.

Es ist aber auch darauf hinzuweisen, dass nicht nur ein eventuelles Bußgeld ärgerlich ist, sondern auch – je nach Branche – ein nicht unerheblicher Imageschaden eintreten kann durch Datenpannen und sonstige Datenschutzverstöße. Hierauf kann und sollte man vorbereitet sein. Oder stellen Sie sich beispielsweise einen amtierenden Bürgermeister vor, der Mitten im Wahlkampf von einer Anzeige überrumpelt wird. Die Konsequenzen kann sich jeder selbst ausmalen.

Wie ist denn Deine aktuelle Empfehlung in Bezug auf das Betreiben einer Facebook-Seite für das eigene Unternehmen?

Meine stark verkürzte Antwort hierzu: Abschalten! Denn es ist leider aktuell – der Einschätzung der „Empfehlung der Datenschutzkonferenz“ folgend – nicht möglich, eine Facebook-Seite datenschutzkonform zu betreiben. Mit das größte Problem: Es ist gar nicht möglich, von unserer Seite aus, einzusehen, welche Daten Facebook genau verarbeitet und wie. Ein Auftragsverarbeitungsvertrag mit Facebook ist so aktuell nicht umsetzbar.

Frage aus der Praxis: Was kann man denn tun, wenn man ohne Einwilligung in einen E-Mail-Newsletter eingetragen wurde und nun – ohne Möglichkeit der Abmeldung – unerwünschte E-Mails erhält und der Versender auch auf die Bitte, das zu unterlassen nicht reagiert? 

Die richtige Vorgehensweise ist, die Sache bei der Hessischen Datenschutzbehörde zu melden. Allerdings ist es aktuell so, dass eine Rückmeldung von der Behörde sehr lange auf sich warten lässt. Hier macht es Sinn, sich anwaltlich vertreten zu lassen, um den Versender zum Stopp der unerwünschten E-Mails zu veranlassen. Einfach hinnehmen muss und sollte man es nicht!

Vielen Dank für dieses Update zur DSGVO, lieber Björn!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.