Seit mittlerweile drei Jahren ist die Datenschutzgrundverordnung (DSGVO) in Kraft. Wie erfolgreich ist die Umsetzung bisher gelaufen? Welche Stolpersteine gibt es? Und welche Erfahrungen aus der Praxis zeigen die Fraunhofer-Weiterbildungen?
Zeit für ein Zwischenfazit mit Michael Holzhüter, wissenschaftlicher Mitarbeiter am Fraunhofer FOKUS, und Sebastian Breu, wissenschaftlicher Mitarbeiter an der HTW Berlin. Im Interview mit der Fraunhofer Academy beleuchten die Seminarleiter den Status quo zu Datenschutz in Deutschland.
Seit drei Jahren ist die DSGVO nun in Kraft. Wie ist Ihre Einschätzung, was funktioniert bisher gut?
Michael Holzhüter:
Datenschutz ist durch die DSGVO erst so richtig in das Bewusstsein der Menschen gerückt. Bei unseren Teilnehmenden sehen wir, dass viele sie als unbequem empfinden. Das Verrückte daran ist, dass die Regeln nicht neu waren. In großen Teilen haben sie durch das Bundesdatenschutzgesetz bereits so bestanden. Mit dem durch die DSGVO erzeugten Druck haben die Unternehmen jetzt aber angefangen, sich Gedanken zu machen. Und das ist die größte Errungenschaft der DSGVO.
An welchen Stellen könnte aus organisatorischer Sicht noch nachgebessert werden?
Michael Holzhüter:
Was leider bisher immer noch nicht funktioniert, ist eine gute Umsetzung. Beispielsweise muss erst eine Person für den Datenschutz beauftragt werden, wenn mehr als 20 Personen regelmäßig im Unternehmen automatisiert Daten verarbeiten. Dass trotzdem auf Anfragen reagiert werden muss, oder technische und organisatorischen Maßnahmen definiert werden müssen, das vergessen die meisten.
Wie sieht es mit der Qualität der technischen Umsetzung aus?
Sebastian Breu:
Hier mangelt es vor allem an der Umsetzung bei den Websites. Viele Seiten haben immer noch keine oder unvollständige Datenschutzerklärung, SSL-Zertifikate fehlen oder es werden widerrechtlich Tracker ohne Einverständnis eingesetzt. Und hier geht es nicht um die Website des Fußballvereins, sondern auch um Websites großer Unternehmen oder staatlicher Institutionen, welche eigentlich die Mittel für eine korrekte Umsetzung haben sollten.
Vor welchen Herausforderungen stehen die meisten Teilnehmenden in Ihren Seminaren?
Michael Holzhüter:
Ihnen fehlen Checklisten und Handlungsanweisungen. Das bloße Wissen vom Gesetz hilft niemandem. Aus diesem Grund müssen für alle Anforderungen auch Erfahrungsberichte aus der Praxis und Übungsbeispiele in den Seminaren stattfinden. Die Teilnehmenden sollen vor allem Methodik, und nicht nachlesbares Wissen lernen. Denn viele von ihnen wissen erst einmal nicht, wo sie anfangen sollen. Deswegen werden unsere Schulungen auch nicht mit einer Prüfung beendet, sondern die Teilnehmenden können sich auch zu späteren Zeitpunkten an uns wenden, wenn Sie konkrete Fragen zur Umsetzung haben. Diese Fragen sammeln wir und machen sie komplett anonymisiert in unserem Alumni-Kurs zum Datenschutz für alle ehemaligen Teilnehmenden verfügbar.
Was schätzen Sie, wie viele DSGVO-Verstöße gibt es?
Sebastian Breu:
Seit Inkrafttreten der DSGVO wurden ca. 80.000 Verstöße in der EU gemeldet. Meiner Meinung nach ist die Dunkelziffer von Verstößen, die nicht gemeldet wurden, um ein Vielfaches höher. Im letzten Jahr haben wir über 100 Website-Betreiber angeschrieben, bei denen es Verstöße gab. In den meisten Fällen wurde nachgebessert, in anderen half nur eine Beschwerde, da auf Anfragen nicht reagiert wurde. Auf dem DSGVO-Portal von Compliance Essentials beispielsweise kann man solche Verstöße einsehen.
Warum sind offenbar besonders kleinere und mittlere Unternehmen sowie Selbständige betroffen?
Sebastian Breu:
Hier ist der Leidensdruck aufgrund der knappen Ressourcen am höchsten. Aber das liegt nicht an den zu hohen Anforderungen, sondern daran, dass nie Ressourcen in das Thema geflossen sind oder es an pragmatischen Methoden fehlt. Mir ist klar, dass eine Umsetzung von 0 auf 100 Prozent ein Prozess ist und mitunter Jahre dauern wird. Doch viele Unternehmen haben die Übergangsfrist von zwei Jahren einfach verstreichen lassen, ohne etwas zu tun.
Welche Rolle spielen äußere Gegebenheiten bei Verstößen?
Michael Holzhüter:
Die Informationslage ist hier ein wichtiger Aspekt. Viele Informationen lassen sich im Internet finden, sind aber für die konkrete Anwendung nicht ausreichend oder es fehlen Vorlagen, Handlungsanweisungen und Beispiele. Wir haben deshalb extra unsere Schulung für den Datenschutz angepasst. Gerade kleine und mittlere Unternehmen sowie Selbstständige sollen so schnell und einfach einen Überblick bekommen und Beispiele zur Dokumentation oder Prozessumsetzung im Unternehmen an die Hand bekommen.
An welchen Punkten muss man ansetzen, um die DSGVO in Unternehmen besser umzusetzen?
Sebastian Breu:
Eine gute Planung ist alles. Die Anforderungen müssen in Teilanforderungen aufgegliedert, priorisiert und mit einem Zeitplan versehen werden. Es hilft nichts, die Anforderungen jetzt einmal schnell mit einer zusätzlichen Ressource umzusetzen. Hier braucht es ein Umdenken in den Prozessen, was langfristig viel Zeit erspart. Besonders die Einführung neuer Software muss unter den Gesichtspunkten der Anforderungen aus der DSGVO geschehen. Hier gibt es auf Seiten der Landesdatenschutzbeauftragten zahlreiche Evaluierungen, zum Beispiel für Videokonferenzsysteme.
Als letzte Frage: Warum ist es gut, dass wir die DSGVO haben?
Michael Holzhüter:
Durch die durchgängige Digitalisierung ist es so, dass wir zum gläsernen Menschen werden und gerade deshalb ist das Thema Datenschutz umso wichtiger. Dabei bedarf es weder Diskussion noch Kritik. Sicherlich wäre ohne Datenschutz vieles einfacher und günstiger, aber unsere Persönlichkeitsrechte wären eingeschränkt.
Das Lernlabor Cybersicherheit ist ein Weiterbildungsprogramm, in dem Experten und Expertinnen von Fraunhofer und ausgewählten Fachhochschulen aktuellste Erkenntnisse auf dem Gebiet der Cybersicherheit vermitteln. Fach-und Führungskräfte aus Industrie und öffentlicher Verwaltung können so ihre Kompetenzen zu IT-Sicherheit aktualisieren und spezialisieren. An zahlreichen Standorten in Deutschland erhalten Sie eine kompakte Qualifizierung in hochwertigen Laboren. Die Präsenzphasen der Seminare dauern nur ein bis drei Tage und sind mit Online-Angeboten ergänzt, so dass die Kurse berufsbegleitend belegt werden können.