Die Aufwendungen für den Datenschutz schränken das digitale Geschäft ein. Das mussten viele Unternehmen in Europa besonders in diesem Jahr erfahren. Gut drei Monate nach dem Stichtag, an dem die neue europäische Datenschutzgrundverordnung (DSGVO) in allen Mitgliedsstaaten der europäischen Union in geltendes nationales Recht umgesetzt sein musste, haben sich die teils panisch wirkenden Reaktionen zwar gelegt. Doch seit dem 25. Mai 2018 ist in allen Branchen weiterhin die Anspannung spürbar, wenn es um den Datenschutz geht.
Mehrere Befragungen von Instituten und Verbänden zeigen ein eindeutiges Bild: Viele Unternehmen in Deutschland haben digitale Aktivitäten aufgrund von Datenschutzbedenken eingeschränkt und ein großer Teil der Unternehmen erwartet eine negative Umsatzentwicklung durch die Auswirkungen der DSGVO.
Nur eine Minderheit erwartet positiven Effekt auf das eigene Geschäft
So hat eine Mitgliederumfrage des Bundesverbands Digitale Wirtschaft (BVDW) ergeben, dass 43 Prozent der deutschen Digitalunternehmen ihre digitalen Geschäftsaktivitäten zurückgefahren haben. Mehr als die Hälfte der Befragten erwartet deswegen auch einen Rückgang des Umsatzes - sechs Prozent der Entscheider rechnet sogar mit einer "sehr negativen" Entwicklung des Umsatzes wegen der Verordnung. Knapp ein Drittel geht in der BVDW-Umfrage von keiner Veränderung durch die DSGVO aus und etwa jedes zehnte Unternehmen erwartet sogar einen positiven Effekt des Datenschutzes auf das eigene Geschäft.
Ein Drittel aller Unternehmen rechnet fest damit, mit Abmahnungen wegen Verletzungen von Datenschutzbestimmungen konfrontiert zu werden oder hat sogar schon solche erhalten (fünf Prozent). "In erster Linie hat die DSGVO zu Unsicherheit geführt - oft ist nicht klar, wie die neuen Bestimmungen angewendet werden müssen", sagt BVDW-Vizepräsident Thomas Duhr. Das Problem seien vor allem unklare Formulierungen der Verordnung und sich widersprechende Vorgaben.
Datenschutz als "ertragfressendes Monster"
In der jüngsten Ausgabe von "return – Magazin für Transformation und Turnaround" warnt Caroline Pluta, Fachanwältin für Arbeitsrecht, vor den Kosten und Bußgeldern durch die DSGVO. Besonders bei der Auftragsverarbeitung von Daten lauerten Fallstricke. "Unternehmen sollten sich um DSGVO-konforme Verträge kümmern und ein effizientes Management-System für Datenschutz einführen", schreibt Pluta. "Kleine und mittlere Betriebe können kaum die Kosten für Verträge, Ablaufdokumentation und Rechtsrat schultern sowie die eigentlich notwendigen Mitarbeiter einstellen. Insbesondere dann, wenn der Datenschutz nicht zu einem ertragfressenden Monster wachsen soll."
Risikobeurteilung als zentraler Aspekt der DSGVO
Doch Investitionen sind erforderlich. Die Beurteilung des Risikos für die Rechte und Freiheiten natürlicher Personen beispielsweise, ist bei der Umsetzung verschiedener Pflichten, die sich für Unternehmen aus der DSGVO ergeben, von zentraler Bedeutung. Die Verordnung verlangt von datenverarbeitenden Unternehmen, das Risiko für Personen zu identifizieren und zu beurteilen. Felix Bieker, Benjamin Bremert und Marit Hansen vom Landeszentrum für Datenschutz Schleswig-Holstein schreiben darüber in einem Fachbeitrag in der neuesten Ausgabe des Springer-Fachblatts "DuD – Datenschutz und Datensicherheit".
"Die Beurteilung eines Risikos ist ein zentraler Aspekt der DSGVO. Der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, und insbesondere deren Recht auf Schutz personenbezogener Daten, ist gem. Art. 1 Abs. 2 DSGVO das Ziel des EU-Datenschutzes. Der Risikobegriff der DSGVO stellt daher auf die Rechte und Freiheiten natürlicher Personen ab", so die schleswig-holsteinische Landesdatenschutz-Beauftragte Hansen und die Juristen Bieker und Bremert in "Die Risikobeurteilung nach der DSGVO" in der DuD 8/2018. " Zweck der Beurteilung des Risikos für die Rechte und Freiheiten natürlicher Personen ist es also, die möglichen Folgen einer Datenverarbeitung umfassend zu betrachten und mögliche Schäden zu identifizieren." Damit solle verhindert werden, dass ein tatsächlicher Schaden überhaupt erst eintritt, der dann möglicherweise ersetzt werden muss.
Drei Phasen der Risikobeurteilung
Den drei Datenschutz-Experten zufolge besteht die von der DSGVO geforderte Risikobeurteilung aus drei Phasen:
- Risikoidentifikation
- Abschätzung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden
- Zuordnung zu Risikoabstufungen
In ihrem Beitrag gehen Bieker, Bremert und Hansen ins Detail und erklären die Risikoidentifikation, die Abschätzung von Wahrscheinlichkeit und Schwere sowie die Zuordnung zu Risikoabstufungen genauer. Desweiteren behandeln sie die Risikorelevanz, die Datenschutzfolgeabschätzung und die Verletzungen des Schutzes personenbezogener Daten, also Datenpannen.
Lesen Sie die aktuelle Ausgabe der DuD (8/2018) inklusive des Fachbeitrags "Die Risikobeurteilung nach der DSGVO" hier in der digitalen Fachbibliothek von Springer Professional!
Autor(en): Sven Eisenkrämer