07. März 2018
Licht ins Datenschutz-Dunkel - die neue EU-Datenschutzgrundverordnung (DSGVO)
Vortrag und Diskussionsveranstaltung zur neuen Verordnung, die am 25. Mai dieses Jahres verpflichtend für alle Unternehmen in Kraft tritt, trifft auf große Resonanz
Der Media-Tower der Hubert Burda Media Holding, die für das große Thema Datenschutz und DSGVO als Gastgeber gewonnen werden konnte, bot mit seinem Veranstaltungsraum im 15. Stock eine wunderbare Kulisse für die Veranstaltung des Wirtschaftsrates und einen weitläufigen Ausblick über Offenburg und die Ortenau. Mehr als 70 Mitglieder des Wirtschaftsrates waren der Einladung der Sektion Ortenau gefolgt und diskutierten lebhaft, auch teilweise kontrovers, über die anstehenden Veränderungen im Datenschutz mit einer Vertreterin des Landesbeauftragten für Datenschutz und Informationsfreiheit (LFDI) in Baden-Württemberg sowie zwei Vertretern der Hubert Burda Media Holding.
Die gut besuchte Veranstaltung bot nicht nur spannende Einblicke, sondern im 15. Stock des Burda Media Towers auch weitreichende Ausblicke (Foto: WR)

Holger Eckstein, Finanzvorstand bei Burda, machte in seiner Begrüßung der Anwesenden deutlich, warum gerade das Medienunternehmen besonders von den Veränderungen betroffen ist: Über die Dekaden habe sich Burda von einem kleinen Verlagshaus mit angeschlossener Druckerei hin zu einem international agierenden „Tech- und Media“-Konzern entwickelt, der Dreiviertel seines Umsatzes über Transaktionen zum Endkunden abbilde. Damit stehe Burda voll im Fokus der neuen Verordnung. Intern sei man daher bereits seit 15 Monaten dabei, den neuen Anforderungen gerecht zu werden, Prozesse abzubilden und Strategien zu entwickeln. Mit mehr als 10.000 Mitarbeitern habe Burda jedoch auch die Möglichkeiten und Ressourcen, mehrere Mitarbeiter in Form eines Projektteams für diese Aufgabe abzustellen.

v.l.n.r.: Holger Eckstein (Burda), Maria Wilhelm (LfDI), Anouk Bender (Burda), Jan Boskamp (WR), Jürgen Kempter (Burda), Manuel Bohé (Sektionssprecher Ortenau) (Foto: WR)

Um auch kleinen und mittleren Unternehmen die zukünftigen Herausforderungen zu verdeutlichen, aber auch praktikable Möglichkeiten der Umsetzung aufzuzeigen, wurde mit Maria Wilhelm (Stabstelle Europa des Landesbeauftragten für Datenschutz und Informationsfreiheit) eine Vertreterin der Behörde eingeladen, die in Zukunft die Umsetzung der Verordnung vor Ort überprüft. Frau Wilhelm gab in Ihrem Vortrag den anwesenden Unternehmern einen kurzen, aber inhaltlich gehaltvollen Überblick über die Neuerungen und Herausforderungen, die mit der Verordnung einhergehen. Wichtigster Anknüpfungspunkt beim Anwendungsbereich der Datenschutzgrundverordnung sind in Zukunft die personenbezogenen Daten. Daher sollten, so Wilhelm, aus Unternehmenssicht auch immer die Betroffenenrechte direkt mitgedacht und realisiert werden können. Zentral sei die Erstellung eines Verarbeitungsverzeichnisses, welches an die Stelle des bisherigen, im Bundesdatenschutzgesetz vorgesehenen Verfahrensverzeichnisses zur Dokumentation der datenverarbeitenden Prozesse trete. Das Unternehmen komme damit seinen Rechenschaftspflichten nach, weshalb es auch immer im Eigeninteresse der Unternehmen liege, diesen Dokumentationspflichten zuverlässig nachzukommen. Denn: Mit der DSGVO finde eine Beweislastumkehr statt – die Unternehmen müssen sich im Zweifelsfall gegenüber entsprechenden Vorwürfen entlasten können. Wilhelm betonte daher mehrmals: „Die Dokumentation ist das A&O!“. Auch die Rolle der Behörde als Partner von Unternehmen und deren Datenschutzbeauftragten war ihr ein wichtiges Anliegen. Der LFDI wird die Unternehmen auch in Zukunft mit Orientierungshilfen, Handlungsempfehlungen und Musterentwürfen unterstützen, damit sich diese optimal auf die neue Rechtslage einstellen können. Die Funktion der Behörde selbst erläuterte sie aber auch mit den treffenden Worten: „Wir sind sowohl beratend, als auch sanktionierend tätig. Dadurch stehen wir immer zwischen den beiden Polen der staatlichen Servicestelle und der heiligen Inquisition.“ Umgesetzt werden könne dies nur durch eine klare organisatorische Trennung des Beratungs- und Kontrollbereiches. Zusammenfassend empfahl Wilhelm allen Unternehmen – soweit möglich – die Einrichtung eines Projektteams zur Umsetzung der Anforderungen. Ihr sei der damit verbundene Arbeitsaufwand durchaus bewusst, jedoch werbe sie auch dafür, die Verordnung als Chance und möglichen Wettbewerbsvorteil zu begreifen: In Zeiten von zunehmend verlangter Transparenz könnten sich Unternehmen mit einer stringenten Umsetzung der Verordnung positiv gegenüber Stakeholdern darstellen.

Anouk Bender, Head of Legal & Compliance bei Burda, ermöglichte im Anschluss den Teilnehmern gemeinsam mit ihrem Kollegen und Konzern-Datenschutzbeauftragten Jürgen Kempter einen praxisnahen Einblick, denn Burda hat für die Umsetzung der DSGVO fast mustergültig ein solches Projektteam eingerichtet und in den vergangenen 15 Monaten das Thema intensiv bearbeitet. Bender machte deutlich, dass die Herausforderungen im Unternehmen vor allem durch die vielen einzelnen Gesellschaften im In- und Ausland lägen. Leitende Fragestellung für die Verantwortlichen sei daher gewesen: „Wie können wir in der Holding Blaupausen generieren, die den einzelnen Einheiten helfen?“. Kempter ergänzte, dass zu Projektbeginn die Schaffung einer Grund-Awareness für das sensible Thema innerhalb der Belegschaft und der Aufbau möglichst vieler Prozessbeispiele gestanden habe. Eine klar definierte, interne Struktur habe den Prozessablauf erleichtert: Die Verantwortung für das gesamte Thema läge bei Burda bei der Geschäftsführung, die Überwachungsfunktion werde vom Datenschutzbeauftragten wahrgenommen, und die Unterstützungsleistung in den einzelnen Prozessschritten käme von gesondert benannten Datenschutz-Koordinatoren. In einer Roadmap, die allen Beteiligten die Projektschritte visualisiert, seien die einzelnen inhaltlichen Blöcke der DSGVO gemeinsam abgearbeitet worden, so Bender. Die dabei entstandenen Verarbeitungsverzeichnisse beinhalten – Stand jetzt – über 1000 Prozesse und leisten damit auch einen großen Beitrag zur internen Transparenz. „Fast wie bei einem Frühjahrsputz!“, schloss Kempter treffend.

 

In der sich anschließenden Diskussion wurde vor allem die Besorgnis über das Thema bei kleineren und mittleren Unternehmen deutlich, die nicht, wie in einer Konzernstruktur, einzelne Mitarbeiter oder gar Teams nur für die Umsetzung der Verordnung abstellen können. Die Belastung – sowohl finanziell, als auch bürokratisch – wird als hoch eingestuft, und die Verunsicherung bei den Unternehmern, wie sie das Thema angehen können, wächst zunehmend. Mehrere Unternehmensvertreter machten deutlich, dass sie sich von den Behörden alleine gelassen fühlen und dass Detailfragen, gerade im Hinblick auf die technische Umsetzung des „Rechtes auf Vergessenwerden“, häufig nicht beantwortet werden können. Auch die Kontrollpflichten, die Unternehmer in Zukunft gegenüber ihren externen Dienstleistern haben, bereiten vielen Geschäftsführer schon heute Kopfzerbrechen. Jürgen Kempter konnte den Unternehmern diese Sorge teils nehmen, wies er doch auf die Zertifizierungsmöglichkeiten hin, die es in Zukunft für Externe geben soll und über die eine solche Absicherung erfolgen kann. Auch im Bezug auf die Problematik des vollständigen Löschens von Daten konnte er durch die bei Burda gemachte Erfahrung eine praxisnahe Hilfestellung geben: So lange, bis dies abschließend geklärt werden könne, sei ein Berechtigungskonzept zur Vorlage bei Behörden hilfreich, welches zumindest den Zugriff auf die sensiblen Daten maximal einschränke.