EU-Datenschutz-Grundverordnung Manager riskieren Bußgelder

Johannes Droste von PwC Legal erklärt in seinem Vortrag auf dem 2. Markt&Technik Security Symposium am 18. September in München vertieft, wie Unternehmen Fallstricke der neuen Security-Gesetzgebung erkennen und umgehen.
Im Vortrag Johannes Drostes auf dem 2. Markt&Technik Security Symposium am 18. September in München erfahren Unternehmer vertieft, wie sie sich auf die neue Security-Gesetzgebung vorbereiten können.

Die kommende EU-Datenschutz-Grundverordnung legt Unternehmen umfangreiche strafbewehrte Pflichten beim Umgang mit Daten Dritter auf. RA Johannes Droste von der PricewaterhouseCoopers Legal AG erklärt, worauf Unternehmen und Unternehmer achten müssen, damit sie nicht in die Bußgeldfalle tappen.

Frage: Herr Droste, mit dem Inkrafttreten des IT-Sicherheitsgesetzes und der kommenden EU-Datenschutz-Grundverordnung werden Manager, sagen wir einmal vorsichtig, an die Realität ihrer Verantwortlichkeit für Security im Unternehmen herangeführt.

Antwort: Das ist richtig, allerdings bestimmt das IT-Sicherheitsgesetz primär gewisse Security-Grundstandards sowie die Meldepflicht bei IT-Sicherheitsvorfällen in ca. 700 besonders großen Anlagen des IT-, Energie-, Finanz-,  Versicherungs- und Gesundheitswesens sowie der Wasserversorgung. Dies betrifft die sogenannten »kritischen Infrastrukturen«. Der durchschnittliche Unternehmer ist davon noch nicht betroffen.

Anders sieht es bei der EU-Datenschutz-Grundverordnung aus, die ab 2018 in Kraft tritt: Hier riskieren Manager von Unternehmen über 250 Mitarbeitern, die sich unter anderem zum Beispiel bei Hacks und Datenpannen nicht an die neuen Regeln halten Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des globalen Umsatzes, je nachdem, welche Strafe höher ist. Das sind bei Großunternehmen leicht Beträge im dreistelligen Millionenbereich.

Frage: Diese Verordnung bestimmt aber in erster Linie den Umgang der Unternehmen mit Daten von Dritten, z.B. Kunden, weniger den Schutz des Unternehmens und seiner Produkte vor Hacking?

Antwort: Es geht um personenbezogene Daten, also in aller Regel Daten von Kunden oder Mitarbeitern. Durch die Datenschutzgrundverordnung werden die bereits bestehenden Pflichten zum Schutz von personenbezogenen Daten neu geregelt. Deswegen ist nun oftmals eine Änderung von Richtlinien, Prozessen und Strukturen sowie deren Kontrolle notwendig, um die neuen Anforderungen umzusetzen. Der Umgang mit den personenbezogenen Daten Dritter muss nachweisbar sein.

Neben organisatorischen müssen auch technische Maßnahmen zum Schutz von personenbezogenen Daten bestehen. Wenn diese nicht ausreichend sind und dadurch Daten nicht hinreichend geschützt sind besteht auch hier die Gefahr von Bußgeldern und natürlich des Imageschadens.

Frage: Diese Verordnung wird die Gerichte also sehr beschäftigen?

Antwort: Davon muss man ausgehen. In erster Linie werden jedoch die Behörden stark mit der Datenschutzrundverordnung beschäftigt sein.

Frage: Das Internet-Urgestein Yahoo musste kürzlich den Zugriff von Hackern auf die Daten von 500 Millionen Kunden eingestehen. Wird die „IT-Security-Gesetzgebung“ solchen betroffenen Unternehmen – neben dem ohnehin entstandenen Vertrauensverlust bei Kunden – zusätzlich Probleme bereiten?

Antwort: In der Gesetzgebung auf nationaler aber auch auf europäischer Ebene wird das Thema IT-Security sicherlich vermehrt eine Rolle spielen. Ob jedoch nur bereits grundsätzlich bestehende Pflichten konkretisiert werden oder wirklich vermehrte Pflichten entstehen, bleibt abzuwarten. In jedem Fall wird es die öffentliche Wahrnehmung und die Sensibilisierung für das Thema schärfen.

Frage: Industrie 4.0 und das Internet of Things leben von Konnektivität. Was können Unternehmensverantwortliche tun, um für Ihr Unternehmen und sich einen gewissen »Grundschutz« herzustellen?

Antwort: Neben den technischen Voraussetzungen wird es immer wichtiger die Mitarbeiter und die Geschäftsführung für solche Themen zu sensibilisieren. Eine bereichsübergreifende Zusammenarbeit im Unternehmen unterstützt Maßnahmen zusätzlich. Hinzu kommt auch der Umgang mit Lieferanten und Dienstleistern. Wer Genaueres erfahren möchte, sollte zu meinem Vortrag »Rechtliche Managementverantwortung für cybersecurity in der Smart Factory« auf dem 2. Markt&Technik Security Symposium am 18. Oktober in München kommen.