Webcast

Die EU-Datenschutznovelle aus Sicht des IT-Chefs

25.09.2017
Anzeige  Wie IT-Entscheider ihre Firma bei der EU-Datenschutznovelle unterstützen müssen, zeigt ein Webcast der Computerwoche.
Die EU Datenschutzgrundverordnung (DSGVO) fordert IT-Chefs in ihrer Rolle als Unterstützer der Fachabteilungen.
Die EU Datenschutzgrundverordnung (DSGVO) fordert IT-Chefs in ihrer Rolle als Unterstützer der Fachabteilungen.
Foto: Matej Kastelic - shutterstock.com

99 Artikel enthält die neue EU-Datenschutzgrundverordnung, die ab Mai 2018 verbindlich einzuhalten ist. Ein Computerwoche-Webcast am 25. September schildert, was CIOs tun sollten. Jura-Professor Wolfgang Hackenberg - er ist Rechtsanwalt und Mediator für die Schlichtungsstelle Bau und IT - diskutiert mit Niels Weigel, Director MEE CoE Database & Data Management bei der SAP.

Fachjournalist Detlef Korus moderiert den Webcast. Er will von dem Juristen wissen, worin genau die Verschärfung durch die DSGVO besteht. Hackenberg nennt gleich mehrere Punkte: "Da sind zunächst einmal die drastisch erhöhten Strafen, nämlich bis zu vier Prozent vom Jahresumsatz oder 20 Millionen Euro. Je nachdem, welcher Betrag höher ist." Zweitens haben es die Unternehmen künftig nicht mehr nur mit den nationalen Gesetzgebern zu tun: "Jetzt hat die EU das Zepter in die Hand genommen", erklärt der Jurist.

Betroffene können laut DSGVO immaterielle Schadensersatzansprüche bei Verletzung des Rechts auf informationelle Selbstbestimmung geltend machen. Hackenberg konkretisiert: "Hier sind Schadensersatzforderungen möglich und dabei geht es nicht nur um Geldstrafen, sondern auch um den Aufwand, den Unternehmen mit einem solchen Verfahren haben." Übrigens hat es die EU den nationalen Gesetzgebern offen gelassen, auch strafrechtlich aktiv zu werden. Hackenberg: "Hier sind wohl keine Freiheitsstrafen zu befürchten, aber es ist möglich, dass durch rechtswidrige Datenverarbeitung erwirtschaftete Gewinne eingezogen werden."

Das heißt für den CIO: Er ist "neben dem Datenschutzbeauftragten an vorderster Front", wie der Jurist sagt. "Der CIO steht im Kreuzfeuer." Aber auch Vorstände oder Geschäftsführer haften. Fazit: "Man kann das nicht mehr nur auf den Datenschutzbeauftragten schieben!"

Eine Email mit offenem Verteiler - schon drohen Bußgelder

SAP-Manager Weigel betrachtet die EU-Novelle aus technologischer Sicht. IT-Entscheider müssen klären, aus welchen Daten in ihrem Unternehmen man auf Personen schließen kann und welche Daten als sensitiv gelten. Sie müssen über die rechtmäßige Verarbeitung dieser Daten sicherstellen und diese Verarbeitung dokumentieren können.

"Vor allem die Dokumentationspflichten führen zu Mehraufwand", führt Hackenberg aus. Dazu ein Beispiel aus der Praxis: "Mein Tagesgeschäft sind weniger Hackerangriffe als vielmehr so triviale Dinge wie ein offener Verteiler bei einer Email." Worin liegt das Problem? Hackenberg weiter: "Wenn jeder Empfänger alle Emailadressen einsehen kann, wäre das bereits ein meldepflichtiger Verstoß!" Das heißt für die Unternehmen: In dem Fall muss der Mitarbeiter wissen, dass ihm da etwas passiert ist, das er melden muss. Und die Behörde verlangt eine schriftliche Dokumentation des Vorgangs. "Das sind die Dinge, wo die Bußgelder drohen", weiß Hackenberg.

Unternehmen müssen also ihre Mitarbeiter schulen und diese Trainings auch nachweisen. Bei ihren Produkten und Services haben sie das Schlagwort vom "Privacy by Design" zu beachten: alle Grundeinstellungen sind schon im Hinblick auf Datensparsamkeit und Verarbeitungszwecke vornehmen. Aktive Einwilligung statt Automatismen.

Es geht nicht darum, dem Mittelstand zu schaden

"Die EU versucht, Datenschutz einheitlich durchzusetzen", beobachtet der Jurist. Es gehe hier nicht darum, dem Mittelstand zu schaden, sondern die großen Datenkraken wie Google und Facebook "zu erschrecken", wie Hackenberg sagt. "Bei den neuen Strafgeldern fängt auch ein Google an, nachzudenken. Das ist mit der VW- oder Abgas-Affäre vergleichbar."

Die Rolle des CIO - neben der Verantwortung nach außen - sieht Hackenberg so: "Er stellt als Dienstleister nur die Infrastruktur zur Verfügung. Wie das Unternehmen personenbezogene Daten verarbeitet, ist Sache des Business." Hier hakt Moderator Korus ein: Wie muss ein CIO die Architektur aufsetzen? "Wir sehen bei den Kunden sehr komplexe und hybride Landschaften und immer noch viele Silos, die von verschiedenen Leuten verantwortet werden", berichtet Weigel. Es fehlt an Transparenz über die vorliegenden Informationen. Die aber muss sich ein CIO verschaffen. Denn er muss wissen, wo er im Unternehmen welche Daten findet.

Insgesamt will Weigel die Datenschutzgrundverordnung gar nicht negativ sehen. "Das ist eine Chance, Daten-Management neu zu begreifen", so sein Appell. Denn: "Transparenz verbessert analytische Auswertungen. Wer seine Daten gut managt, gewinnt Vorteile für Industrie 4.0-Projekte!"

Hier den Webcast ansehen