Laut einer Studie von Reply ist das Thema Datensicherheit im großen Komplex Industrie 4.0 die wohl größte Herausforderung für den Mittelstand. Zwar ist die Bereitschaft da, eine umfassende Vernetzung anzugehen, allerdings sind die Hürden andere als die, mit denen Großkonzerne zu kämpfen haben.
Im aktuellen Look@IT beruft sich Michael Kroker in seinem Blog vom 18. September 2017 auf eine Studie des italienischen IT-Beraters und Systemintegrators Reply. Demnach ist das Thema Datensicherheit im großen Komplex Industrie 4.0 die wohl größte Herausforderung für den Mittelstand. Zwar ist die Bereitschaft da, eine umfassende Vernetzung anzugehen, allerdings sind die Hürden andere als die, mit denen Großkonzerne zu kämpfen haben.
„Ja“ zur Digitalisierung in der Fertigung – größte Hürde: Datensicherheit
Positiv wird hervorgehoben, dass mittelständische Unternehmen bereit sind auf den fahrenden Zug aufzuspringen. Drei von vier Unternehmen wollen in den kommenden Jahren beispielsweise in ihre IoT-Strategie investieren. Die größte Hürde sind Datensicherheitsbedenken gerade im Hinblick auf das dazu notwendige Cloud Computing. Die aktuelle Realität in zahlreichen mittelständischen Unternehmen deckt sich mit den Ergebnissen der Studie: Firmen betreiben bevorzugt hybride Netzwerkvarianten. Was Großunternehmen oder Konzerne und den Mittelstand zusätzlich unterscheidet sind Bedenken wegen der zu erwartenden Kosten. Fast die Hälfte der in der Studie befragten Mittelständler (48 %) macht sich deswegen Sorgen, aber nur 29 % der Großunternehmen.
Und dann noch die DSGVO
Auch wenn es darum geht die im Mai kommenden Jahres in Kraft tretende Datenschutz-Grundverordnung umzusetzen, spielt der kaum abzuschätzende Aufwand gerade für mittelständische Unternehmen eine wichtige Rolle.
Laut einer repräsentativen Umfrage des Branchenverbandes Bitkom haben erst 13 % der befragten deutschen Unternehmen damit begonnen erste Maßnahmen umzusetzen. Jedes dritte Unternehmen hat sich noch gar nicht mit der anstehenden DSGVO beschäftigt. Neben der real bestehenden Rechtsunsicherheit ist es vor allem der unwägbare Aufwand bei der Umsetzung, der die befragten Firmen offensichtlich zurückschrecken lässt.
Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom warnt: „Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens.“ Den schwer abzuschätzenden Aufwand bewerten mehr als die Hälfte (52 %) der Befragten als größte Hürde bei der Umsetzung der DSGVO. Ohne Mehraufwand wird es nicht gehen, davon gehen 35 % aus, 20 % sogar von einem erheblichen Mehraufwand. Dazu bemängeln die Teilnehmer an der repräsentativen Umfrage, dass es an praktischen Umsetzungshilfen fehlt bis hin zu Praxisleitfäden oder Handreichungen. Kritische Töne betreffen noch einen anderen Bereich: Etliche Firmen gehen davon aus, dass die Geschäftsprozesse nun deutlich komplizierter werden, 14 % sehen in der DSGVO sogar eine Gefahr für ihre Geschäftstätigkeit, 23 % fürchten Wettbewerbsnachteile für europäische Firmen und stolze 36 % sehen in ihr sogar eine Innovationsbremse.
Klärungsbedarf auch beim Thema Datenschutzbeauftragter
Im Rahmen der neuen Verordnung gibt es in vielerlei Hinsicht Klärungsbedarf. Dazu gehört auch die Frage wann genau Unternehmen einen Datenschutzbeauftragten benennen müssen. In Artikel 37 sind prinzipiell drei Szenarien festgeschrieben: wenn die Kerntätigkeit a) die Verarbeitung personenbezogener Daten durch eine Behörde oder öffentliche Stelle umfasst, b) sie eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ beinhaltet oder c) die umfangreiche Verarbeitung besonderer Kategorien von Daten erforderlich macht, darunter biometrische, genetische und standortbezogene Daten. Man darf getrost davon ausgehen, dass die meisten Firmen unter die zweite der genannten Kategorien fallen. Insbesondere die beiden Formulierungen „regelmäßige und systematische Überwachung“ und „umfangreich“ sind schon auf den ersten Blick mehrdeutig. Das sehen auch Juristen und DSGVO-Experten so.
Der Datenschutzbeauftragte in der DSGVO im Unterschied zum BDSG
Aber zunächst einen Schritt zurück. Denn das bestehende Bundesdatenschutzgesetz enthält bereits Vorgaben zur Rolle eines Datenschutzbeauftragten im Unternehmen.
Im BDSG gibt es genau drei Fälle in denen das Gesetz vorschreibt einen Datenschutzbeauftragten zu benennen:
- Das Unternehmen beschäftigt mindestens neun Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten – ob fest, frei oder nur aushilfsweise beschäftigt, das spielt dabei keine Rolle; sobald die Daten am Computer verarbeitet werden, geht das Gesetz von der automatisierten Verarbeitung aus.
- Das Unternehmen übermittelt personenbezogene Daten geschäftsmäßig, erhebt oder verarbeitet diese – die Zahl der Beschäftigten spielt dann keine Rolle.
- Das Unternehmen verarbeitet besonders sensible Daten – auch in diesem Fall ist die Zahl der Mitarbeiter unerheblich. Unter diese Klausel fallen zum Beispiel Gesundheitsdaten oder Daten zur Bonität (jüngstes Beispiel, welches Ausmaß und welche Eskalationsstufen ein Datenschutzvorfall in diesem Bereich annehmen kann: der Vorfall beim Credit Bureau Equifax)
Nach § 4g I 1 BDSG wirkt der Datenschutzbeauftragte darauf hin, dass das BDSG und andere Datenschutzvereinbarungen eingehalten werden. Die Umsetzung nimmt er aber nicht selbst vor, sondern er ist organisatorisch der Geschäftsleitung unterstellt. Genau das ändert sich mit der DSGVO und nach Art. 39 Abs. 1b). Demnach muss der Datenschutzbeauftragte nicht nur auf die Einhaltung hinwirken, sondern ihm obliegt eine umfassende Überwachungspflicht.
Die Artikel-29-Datenschutzgruppe
Unter der Artikel-29-Datenschutzgruppe versteht man den Zusammenschluss der nationalen Datenschutzbehörden in Europa. Ihnen ist nicht entgangenen, dass die nicht immer eindeutigen DSGVO-Vorgaben konkretisiert werden müssen. Die Gruppe fungiert dabei als eine Art übergeordnete Datenschutzbehörde, die Empfehlungen im Sinne der DSGVO abgeben und ganz nebenbei die nationalen Datenschutzbehörden einheitlich ausrichten soll. Dazu wurden erstmals Ende letzten Jahres Leitfäden veröffentlicht:
Guidelines on the right to “data portability”, wp242rev.01
Guidelines on Data Protection Officers (‘DPOs’), wp243rev.01
Guidelines on The Lead Supervisory Authority, wp244rev.01
Zuletzt wurden diese Leitlinien im April dieses Jahres überabeitet. Wer die Entstehungsgeschichte der Datenschutzgrundverordnung mitverfolgt hat, der weiß, dass gerade die Bestimmungen zum Datenschutzbeauftragten zu den nicht unumstrittenen Klauseln gehörten. Fraglich war etwa, ob es für ein Unternehmen obligatorisch oder optional sein sollte, einen Datenschutzbeauftragten zu benennen. Und auch über die Grundvoraussetzungen war man sich uneins. So wurde beispielsweise diskutiert, ob die Mitarbeiterzahl eines Unternehmens ausschlaggebend sein sollte (mindestens 250 MA) oder die Anzahl der von einer Firma verarbeiteten personenbezogenen Datensätze (500). Die Beteiligten einigten sich zwar auf den obligatorischen Datenschutzbeauftragten, einen Schwellenwert wollte man aber nicht festlegen. Die Formulierung blieb mehrdeutig.
Für die Art.-29-Gruppe bedeutet „regelmäßig und systematisch“, dass eine vorab geplante Tätigkeit im Laufe der Zeit wiederholt durchgeführt wird. Bleibt noch die zweite wenig eindeutige Formulierung „umfangreich“. Laut der Artikel-29-Gruppe in den Leitlinien sind vier verschiedene Faktoren zu berücksichtigen:
- die Datenmenge
- und/oder die Bandbreite der verarbeiteten Datenelemente
- die Dauer oder Konstanz der Datenverarbeitungsvorgänge
- die räumliche Ausdehnung der Verarbeitungsvorgänge
Man beginnt zu ahnen, wo der Gesetzgeber mit dieser Formulierung hin wollte. Alle diejenigen, die große Mengen personenbezogener Daten verarbeiten, sind in der Pflicht, einen Datenschutzbeauftragten zu benennen. Versicherungen und Banken sowie große Handelsketten beispielsweise.
Wenn man die Perspektive wechselt, ist heutzutage allerdings auch ein kleines Unternehmen mit wenigen Mitarbeitern in der Lage Überwachungsaktivitäten durchzuführen. Und man könnte zu dem Schluss kommen, dass jedes Unternehmen mit einer nur halbwegs gut besuchten Webseite zukünftig einen Datenschutzbeauftragten beschäftigen muss. Das können etwa Nachrichtenseiten und Portale sein, die ihren Nutzern kostenlos Informationen zur Verfügung stellen. Über die Webseite werden keine oder nur wenige personenbezogenen Daten erfasst. Die Browseraktivitäten werden in erster Linie über Cookies und andere Methoden getrackt. Trotzdem ist anhand der eingeblendeten Werbung gut zu erkennen wie „vertraut“ die Seite mit den Surf- und Suchgewohnheiten des betreffenden Nutzers ist. Folgt man den in den Leitlinien gegebenen Empfehlungen zur DSGVO, ist eine derartige Online-Überwachung eine, die auch in den Bestimmungen zum Datenschutzbeauftragten vorkommt. Mit dieser und anderen Fragestellungen werden Juristen und Experten vermutlich noch eine Weile tu tun haben.
Trotz der einigermaßen erschreckenden Ergebnisse der Bitkom-Umfrage, bemühen sich Beratungsunternehmen, Juristen und DSGVO-Experten inzwischen gleichermaßen deutlich konkretere Hilfen zur praktischen Umsetzung der DSGVO-Anforderungen zur Verfügung zu stellen. Das gilt auch für das Anforderungsprofil eines Datenschutzbeauftragten.
Manuel Bohé, Geschäftsführer Concepture
https://concepture.de/security-consulting