Last-Minute-Tipps für die DSGVO
Laxe Kontrollen
Spannend wird sein, wie und wie oft die zuständigen Behörden die Unternehmen kontrollieren. IDC-Frau Laura Hopp ist skeptisch: «Bisher wurden die Kontrollen eher lasch gehandhabt. Das sehen wir beispielsweise daran, dass viele Unternehmen, die sogar nach dem bisherigen Bundesdatenschutzgesetz einen Datenschutzbeauftragten bestellen müssten, keinen haben. Eine eher laxe Haltung der Unternehmen und der Mangel an Kontrollmechanismen gingen sozusagen Hand in Hand.» IDC wisse aus Gesprächen mit Anwenderunternehmen, dass diese teilweise gar nicht von künftigen Kontrollen ausgehen, so Hopp. Vorherrschende Einschätzung: Die Firmen rechnen damit, dass die Aufsichtsbehörden nicht die Ressourcen dafür haben.
“„Allein mit einzelnen Software-Programmen ist eine Anpassung an die DSGVO nicht möglich, sie können im Umstellungsprozess jedoch praktische Hilfe leisten.“„
Auch Rebekka Weiss, Referentin für Datenschutz beim Digitalverband Bitkom, sieht ein Problem bei den Ressourcen: «Die Aufsichtsbehörden können natürlich nicht alle Unternehmen gleichzeitig prüfen. Eventuell werden anfangs bestimmte Branchen auch mehr, andere weniger im Fokus stehen. Wie genau die Arbeit der Aufsichtsbehörden nach dem 25. Mai aussehen wird, lässt sich bisher kaum abschätzen, da es hier auch aufgrund von Kapazitäten in den Behörden regionale Unterschiede geben kann.» Es ist davon auszugehen, dass sich die Aufsichtsbehörden insbesondere auf die Kontrolle der Dokumentations- oder Rechenschaftspflicht konzentrieren werden. Firmen müssen nachweisen, welche Datenschutzmassnahmen sie getroffen haben, und das auf Anfrage der Aufsichtsbehörde auch offenlegen.
Günter Junk, CEO beim Sicherheitsspezialisten Virtual Solution, erwartet, dass die Behörden sehr streng prüfen und klarmachen, dass sich die Firmen an die DSGVO halten müssen. «Möglicherweise sind sie bei kleinen Firmen am Anfang noch etwas milder, aber bei grossen Unternehmen und vor allem Technologielieferanten wie Cloud-Anbietern aus den USA sollten sie streng prüfen.» Letztere nutzen im Rahmen der Auftragsdatenverarbeitung personenbezogene Daten ihrer Kunden und müssen die DSGVO ebenfalls erfüllen, selbst wenn sie nicht aus Europa kommen. Doch noch weigern sich Firmen wie Salesforce, einen Vertrag zur Auftragsdatenverarbeitung zu unterzeichnen. Das weiss Günter Junk aus eigener Erfahrung.