DSGVO – Umsetzung 2019 abgeschlossen?

0
2351
Bei der DSGVO-Umsetzung haben die meisten Organisationen noch einiges zu tun. Mit der Überarbeitung von Richtlinien und der Benennung eines Datenschutzbeauftragten allein ist es nämlich nicht getan. (Foto: Rainer Sturm, www.pixelio.de)

Seit Mai dieses Jahres ist die europäische Datenschutzgrundverordnung (DSGVO) anzuwenden. Im vollen Umfang tun das bisher die wenigsten Unternehmen und öffentlichen Stellen. Auch die Aufsichtsbehörden werden noch Zeit brauchen, bis sie sich in ihre neue Rolle eingefunden haben.

Nur etwa ein Viertel der deutschen Unternehmen gibt an, die neuen Regeln vollständig umgesetzt zu haben. Das geht aus einer Studie des Verbands der Digitalbranche Bitkom hervor. Im Frühjahr hatten Umfragen schon ein ähnliches Bild ergeben. Die Bilanz sei ernüchternd, so Susanne Dehmel, Geschäftsleiterin Recht und Sicherheit bei Bitkom. Etliche Unternehmen hätten sich bei der Umsetzung klar verschätzt. Und Dehmel vermutet: “Vielen ist offenbar auch erst im Laufe der Prüfung und Anpassung ihrer Prozesse bewusst geworden, was für einen Nachholbedarf sie beim Datenschutz haben.”

Als eine der entscheidenden Hürden nannten die Befragten die große Rechtsunsicherheit. Dies bestätigt auch Boris Nicolaj Willm, Geschäftsführer von Resilien[i]T: “Noch gibt es viel Spielraum für Interpretation. Ein klares Bild wird sich erst mit der Rechtsprechung der nächsten Jahre ergeben.” Willm unterstützt sowohl Unternehmen als auch Stadtverwaltungen und andere öffentliche Stellen bei Digitalisierungsprojekten und der rechtskonformen Aufstellung des IT-Betriebes. Dabei stellt er fest: “Bei der DSGVO-Umsetzung geht es den Behörden wie der Industrie. Fertig sind die wenigsten.”
Am besten sehe es im Bereich Dokumentationspflichten aus. Auch ihre Datenschutzrichtlinie hätten viele überarbeitet. Beim operativen Datenschutz, also bei der Einhaltung der Anforderungen in der täglichen Praxis, hapere es aber noch. Oft fehle es an klaren Prozessen zur Reaktion auf Betroffenenanfragen, so Willm, aber auch beim ordnungsgemäßen Umgang mit Daten im Rahmen der Geschäftsabläufe müsse noch Einiges passieren. “Fast alle haben zu spät angefangen”, sagt der IT-Experte. “Ich bin aber zuversichtlich, dass die meisten im Laufe des nächsten Jahres fertig sein werden.”

DSB ist nicht das Allheilmittel

Eine der wichtigsten Änderungen der DSGVO ist die Neuausrichtung der Rolle des Datenschutzbeauftragten (DSB) in der Organisation. Dieser hat in erster Linie eine beratende und kontrollierende Funktion. Zuständig für den datenschutzkonformen Betrieb ist, wie der Name schon sagt, der Verantwortliche im Sinne der DSGVO – mithin der Dienstherr. “Die Benennung eines Datenschutzbeauftragten reicht nicht”, stellt auch Willm klar. “Sie brauchen ein Team, dass die nötigen Maßnahmen plant und umsetzt.” Die entsprechenden personellen und finanziellen Mittel seien von vielen nicht rechtzeitig eingeplant worden.
In manchen Fällen sind sie auch schlicht nicht im ausreichenden Maße vorhanden. Deswegen nutzen oftmals auch mehrere Behörden einen DSB im Verbund – ähnlich wie in der Wirtschaft die Beschäftigung externer DSB Usus ist. Ein zweischneidiges Schwert, findet Willm, denn derzeit gäbe es viele Datenschutzbeauftragte am Markt, die keine ausreichenden Kenntnisse hätten.

Anpassung auch bei der Aufsicht im Gang

Nicht nur die privaten und öffentlichen Stellen, die Daten verarbeiten, tun sich schwer mit der DSGVO. Auch die Datenschutzaufsichtsbehörden müssen sich noch in ihre neue Rolle finden. Einen kleinen Einblick gibt die Landesbeauftragte für den Datenschutz des Landes Niedersachsen, Barbara Thiel. Im Mai sei die Zahl der Anfragen im Land regelrecht explodiert. So haben sich die Eingaben vom ersten zum zweiten Quartal 2018 von 1.300 auf 4.300 mehr als verdreifacht. Im Wirtschaftsreferat habe sich das Arbeitsvolumen im selben Zeitraum sogar versechsfacht.

Zwar habe es deutlich mehr Beschwerden und auch Meldungen von Datenpannen gegeben. “Ein Großteil der Mehrarbeit entfällt aber auf Beratungen”, so Thiel weiter. “Die Frage, wie wir das knappe Personal auf unsere eigentlichen Aufsichts- und Kontrolltätigkeiten einerseits und auf die Beratung verteilen, wird uns noch beschäftigen.” Streng genommen gehört die allgemeine Beratung im neuen Datenschutzrecht nicht mehr zu den Aufgaben der Aufsichtsbehörden. Einige haben inzwischen schon Regelungen eingeführt, um dem Anfrageansturm Herr zu werden. Zum Beispiel werden Beratungsanfragen mancherorts nur noch vormittags bearbeitet.

Mit einem deutlichen Abflauen des Arbeitspensums rechnet Thiel in der nächsten Zeit nicht. Zukünftig sieht sie die Priorität ihrer Arbeit auf der Bearbeitung von Beschwerden. “Die DSGVO hat zu einer zusätzlichen Sensibilisierung geführt, sodass auch langfristig von einer höheren Zahl von Beschwerden auszugehen ist.”

“Die Datenschutzbehörden sind noch sehr mit sich selbst beschäftigt”, beobachtet auch Willm. “Sie müssen sich jetzt trotz großer Engpässe schnell zurechtfinden und das neue Datenschutzrecht auch durchsetzen, damit es sich nicht als zahnloser Tiger erweist.”

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here