Datenschutz – allein das Wort reicht aus, damit viele die Augen verdrehen, denn sie denken an Kosten, Bürokratie und Einschränkungen. Antje Münch sieht das ganz anders. Für die auf Datenschutz- und IT-Recht spezialisierte Anwältin und Partnerin der Wirtschaftskanzlei Heuking bringt ein hoher Datenschutz verbunden mit Cybersicherheit Unternehmen viele Vorteile: Sie werden widerstandsfähiger gegen Cyberkriminalität, wappnen sich gegen Schadensersatzansprüche bei Datenlecks und sind vertrauenswürdiger.
Frau Münch, viele Unternehmen empfinden Datenschutz als Bürde. Sie sind anderer Meinung. Warum?
Ich blicke aus der Perspektive von Kunden und Geschäftspartnern auf das Thema. Sie wollen sicher sein, dass ihre Daten vor dem unbefugten Zugriff Dritter und vor Missbrauch geschützt sind. Niemand stellt seine Daten zur Verfügung oder nutzt digitale Dienste, wenn er darauf nicht vertrauen kann. Insofern sind Datenschutz und Cybersecurity zwei Seiten einer Medaille und essenziell für die weitere Digitalisierung.
Was genau steckt denn hinter dem Begriff Datenschutz?
Es geht um den Schutz der personenbezogenen Daten jedes Einzelnen, wie Namen, Adresse, Ausweisnummer, Gesundheitsdaten und vieles mehr. Die rechtliche Grundlage ist die Datenschutzgrundverordnung, kurz DSGVO. Sie verpflichtet jedes Unternehmen, das solche Daten verarbeitet, diese durch technische und organisatorische Maßnahmen zu schützen, etwa durch Verschlüsselung, Firewalls und Geheimhaltungsvereinbarungen. Dazu gehört auch, diese Maßnahmen von Anfang an bei neuen Produkten oder Softwarelösungen zu integrieren – ein Ansatz, den wir als ‚Privacy by Design‘ kennen.
Um den Diebstahl von persönlichen Daten ging es kürzlich bei einem aufsehenerregenden Urteil des Bundesgerichtshofs …
…das zeigt, wie schwer der Kontrollverlust über personenbezogene Daten wiegt!
Worum ging es konkret?
Hacker hatten über die Kontakt-Import-Funktion mithilfe automatisierter Tools massenhaft zufällige Telefonnummern bei Facebook eingegeben, konnten diese Nutzerkonten zuordnen und so die damit verbundenen Daten abgreifen. Das nennt sich Scraping. Im Mittelpunkt des Verfahrens stand die Frage: Reicht allein der Kontrollverlust über die Daten für einen Schadensersatzanspruch nach der DSGVO, selbst wenn dem Kläger kein direkter Schaden entsteht? Der Bundesgerichtshof, kurz BGH, hat das bejaht. Ähnlich könnten Gerichte im Fall von Cyberangriffen entscheiden, wenn auf diese Weise personenbezogene Daten abhandenkommen.
Kann jetzt jeder, dessen Daten bei einem Unternehmen abgegriffen wurden, mit einem hohen Schadensersatz rechnen?
Der BGH hat in dem gerade geschilderten Fall 100 Euro für angemessenen erachtet. Das ist eine geringe Summe für den Einzelnen, für Unternehmen kann sie erheblich sein, wenn viele betroffen sind. Andererseits versucht der BGH natürlich durch die Geringhaltung des Anspruchs Klagewellen von den Gerichten abzuhalten.
Das Medienecho bei Cyberangriffen ist oft groß. Was raten Sie Unternehmen, wie sie am besten vorgehen mit Blick auf die Kommunikation gegenüber Kunden?
Wenn Unternehmen ohnehin nach der DSGVO ihre Kunden über einen Datenverlust informieren müssen, dann sollten sie so transparent und professionell wie möglich kommunizieren. Ansonsten verspielen sie Vertrauen und schaden ihrer Reputation.
Wenn ein Unternehmen seinen Datenschutz richtig aufsetzen möchte, womit fängt es am besten an?
Der erste Schritt ist eine Bestandsaufnahme: Welche Daten werden verarbeitet, wie und von wem? Damit lässt sich ein Verzeichnis der Verarbeitungstätigkeiten erstellen, das die DSGVO auch als Grundlagendokument fordert. Dieses Verzeichnis bildet die Grundlage für alle weiteren Maßnahmen. Wichtig ist, Datenschutz nicht als Einmalaufgabe zu betrachten. Unternehmen entwickeln sich ständig weiter, digitalisieren immer mehr Prozesse, die dann kontinuierlich überprüft und an neue Anforderungen angepasst werden müssen.
Welche Fehler begegnen Ihnen häufig in der Praxis?
Viele unterschätzen die Anforderungen noch immer und ernennen beispielsweise Mitarbeitende ohne Schulung zum Datenschutzbeauftragten. Diese Mitarbeiter sind oft fachlich nicht ausgebildet, um die Umsetzung der DSGVO erfolgreich durchzuführen. Manche Unternehmen handeln auch erst dann, wenn Behörden Fragen stellen, oder es zu einem Vorfall kommt. Das ist natürlich zu spät.
Was passiert, wenn die Datenschutzbehörde anklopft?
In der Regel erhalten Unternehmen eine Frist, um einen umfangreichen Fragenkatalog zu beantworten. Das ist eine Herausforderung, wenn Datenschutzmaßnahmen vernachlässigt wurden. Mich ärgert allerdings, dass viele Berater die Gefahr von hohen Bußgeldern übertrieben darstellen. In unserer Beratung erleben wir die Realität anders. Die Behörden verstehen sich auch als Sparringspartner, die lieber unterstützen, als Sanktionen zu verhängen. Was nicht heißen soll, dass Unternehmen das Thema schleifen lassen können. Oft ist es ratsam, externe Kompetenz hinzuzuziehen, wenn die Behörde tätig geworden ist.
Wann kommen Sie als Juristin beim Datenschutz ins Spiel?
Salopp formuliert begleiten wir den Datenschutz von der Wiege bis zur Bahre – also, von der Einführung der DSGVO-Compliance in einem Unternehmen bis hin zu Auseinandersetzungen vor Gericht. Wir unterstützen unsere Mandanten in vielerlei Hinsicht, sei es durch die datenschutzrechtliche Begleitung bei der Einführung neuer Produkte oder Prozesse, das Verfassen rechtlicher Texte oder der Vertretung gegenüber Behörden und Gerichten. Immer mehr spielt auch das Thema Cybersicherheit eine Rolle.
…was vermutlich noch mehr der Fall sein wird, wenn die europäische Richtlinie NIS-2 in Deutschland umgesetzt wird?
NIS-2 zielt darauf ab, Europa widerstandfähiger gegen Cyberbedrohungen zu machen. Da bisherige Schwellenwerte gesenkt und neue Sektoren hinzukommen werden, müssen neben Betreibern kritischer Infrastrukturen auch viele mittelständische Unternehmen strengere IT-Sicherheitsvorgaben einhalten. Der Kreis der Betroffenen wird steigen. Denn es gilt: Zwar fällt nicht jedes Unternehmen unter Cybersicherheitsregeln wie NIS 2, aber jedes Unternehmen ist zum Datenschutz verpflichtet und fast alle müssen in Informationssicherheit investieren – und beides ist auch Bestandteil einer Cybersicherheitsstrategie. Damit sind wir wieder bei den beiden Seiten einer Medaille.
Was raten Sie abschließend mittelständischen Unternehmen in Bezug auf Datenschutz und Cybersicherheit?
Sehen Sie beides als integralen Bestandteil Ihrer Geschäftsstrategie. Wer frühzeitig Prozesse und Strukturen etabliert, schützt nicht nur seine Daten, seine Unternehmensinfrastruktur und seine Kunden, sondern ist auch rechtlich auf der sicheren Seite.
Kommentar hinzufügen