Im Gespräch mit der Augsburg Business School spricht Anwalt und Datenschutzexperte Sascha Hesse über die folgenschwersten Veränderungen der neuen DSGVO, den spektakulärsten Datenschutzfall seiner Beraterkarriere und warum Datenschutzknowhow für jedes Unternehmen existenziell ist.
Was sind die größten bzw. folgenschwersten Veränderungen der ab Mai geltenden, neuen DSGVO?
Die erheblichen Bußgelderweiterungen mit bis zu 20 Millionen Euro oder 4% vom bemessenen Jahresumsatz Strafgeldern bei Datenschutzverstößen.
Die erhebliche Erweiterung der Betroffenenrechte und Klagemöglichkeiten für Betroffene.Die Forderung des aktiven Datenschutzmanagements in Unternehmen. Bei Unternehmen mit mehr als 10 Mitarbeitern ist die Einstellung eines Datenschutzbeauftragten gesetzlich vorgegeben. Aufsichtsbehörden setzen diese Regelung außer Vollzug. Allerdings gibt es hier Unterschiede, je nach Bundesland. Bayern beispielweise besteht als einziges Bundesland auf eine explizite Meldung bzw. Angabe des Datenschutzbeauftragten durch betroffene Unternehmen.
Was sind Worst Case Szenarien, wenn mit Datenschutzthemen im Unternehmen nachlässig umgegangen wird?
Neben den erwähnten, hohen Bußgeldern, ist meiner Meinung nach ein absolutes Worst Case Szenario der langfristige Imageschaden des Unternehmens. Gerät die Information über ein Datenleck an die Öffentlichkeit sind Shitstorms via Social Media und ein negatives mediales Echo in Tageszeitungen und den Nachrichten garantiert. Auch das geschädigte Vertrauensverhältnis zu Kunden oder Mitarbeitern durch nachlässigen Datenschutz kann extrem negative Auswirkungen auf das Unternehmen haben, wie zum Beispiel der Verlust langjähriger Kunden und Mitarbeiter.
Was aber eigentlich am schlimmsten ist, sind die Folgen eines Datenskandals. Das Unternehmen wird nach einem solchen Vorfall von den Behörden genötigt, erhebliche finanzielle Mittel aufzuwenden, um das Defizit im Datenschutz zu beheben und die technischen Ressourcen auszubauen. Das sind dann auf einen Schlag hohe Ausgaben für teure Berater, teure IT, teures Knowhow.
Welches Vorgehen empfehlen Sie Unternehmen bei sensiblen, datenschutzrelevanten Themen?
Das folgende Vorgehen empfehle ich persönlich sowohl kleinen als auch großen Unternehmen. Wichtig ist insgesamt, dass der Datenschutz ein zentrales Thema auf der Unternehmensagenda wird. Datenschutz ist kein reiner Selbstzweck, sondern muss als realer Risikofaktor in die Strategie integriert werden.
Zunächst sind die rechtlichen Risikofaktoren zu analysieren. Hier muss also externes Knowhow oder die interne Rechtsabteilung integriert werden.
Im Folgenden müssen die Mitarbeiter für diese Risikofaktoren sensibilisiert und über diese aufgeklärt und geschult werden. Grundlegend für eine gesamtheitliche Umsetzung ist dabei das Schaffen von Anlaufstellen mit fachlich versierten Ansprechpartnern, an die sich Mitarbeiter bei Unklarheiten wenden können.
Des Weiteren müssen diese Faktoren mithilfe eines fest integrierten Datenschutz- und Rechtsmanagements regelmäßig überprüft und an aktuelle, rechtliche Standards angepasst werden.
TIPP: Bei Unternehmen mit Bestellpflicht [die Pflicht, einen Datenschutzbeauftragten zu ernennen, Anm. d. Red.] empfiehlt es sich zudem neben dem Datenschutzbeauftragten, einen juristischen Beistand zu haben. Dieser Beistand fungiert als „Trouble Shooter“, der im echten Notfall hilft und auch gerichtliche Auseinandersetzungen stellvertretend für das Unternehmen austrägt.
Für mehr Informationen zu den Spotlights klicken Sie hier!
Mit welchem zeitlichen und finanziellen Aufwand müssen Unternehmen rechnen, um dem Datenschutzthema gerecht zu werden?
Diese Frage lässt sich nicht pauschal beantworten und ist grundsätzlich von der Größe des Unternehmens und der Kritikalität der im Unternehmen verarbeiteten Daten abhängig. Als grobe Orientierungsgröße rechne ich mit 1 Stunde Zeitinvestment pro Monat pro 10 Mitarbeiter. Das ist Zeit, die für Schulungen der Mitarbeiter, Datenschutz- und Rechtsmanagement, sowie Monitoring eingeplant ist. Für ein kleines bis mittelständisches Unternehmen würde ich mindestens 15 Stunden im Monat Zeitinvestment für Datenschutzmanagement einplanen.
Allgemein lässt sich sagen, dass die Tendenz was zeitlichen, wie finanziellen Aufwand anbelangt, steigend ist. Das hängt natürlich mit der neuen DSGVO und dem darauf resultierenden, steigenden Bedarf zusammen.
Was war der spektakulärste Fall, den Sie in Ihrer bisherigen Karriere als Datenschutzberater erleben durften?
Da fallen mir auf Anhieb so einige ein. Ein Fall, der besondere mediale Aufmerksamkeit auf sich gezogen hat, war der eines Dienstleistungsunternehmens aus der Telekommunikationsbranche, das im Rahmen der aufsehenerregenden Snowden-Affäre durch den Datenschutzbeauftragten des Bundes medienwirksam geprüft wurde. Gerade dieses öffentliche Interesse und die mediale Aufmerksamkeit machen meine Arbeit zu einer besonderen Herausforderung.
Wann halten Sie die Ernennung eines unternehmenseigenen Datenschutzbeauftragten für sinnvoll?
Unabhängig von der Bestellpflicht von Unternehmen ab 10 Mitarbeitern, würde ich die Ernennung eines Datenschutzbeauftragten jedem Unternehmer ans Herz legen. Als Unternehmer haftet man für sämtliche Datenschutzbelange und Nachlässigkeit kann hier großen Schaden anrichten. Auch wenn kleine Unternehmen nicht die Pflicht haben, einen Datenschutzbeauftragten einzustellen, so müssen sie sich dennoch an Gesetze halten. Und um hier auf der sicheren Seite zu sein, empfiehlt es sich, das entsprechende Knowhow ins Unternehmen zu holen. Das muss nicht immer ein eigener Posten eines Datenschutzbeauftragten oder ein externer Berater sein. Sinnvoll ist es, einen Mitarbeiter auszuwählen und diesen im Bereich Datenschutz weiterzubilden. Hier empfehle ich den Zertifikatskurs zum Datenschutzbeauftragten an der Augsburg Business School – praxisnahe Tipps, echte Unterstützung, Experten, die mit Rat und Tat zur Seite stehen und die Sicherheit, einen extremen Risikofaktor auf ein Minimum zu reduzieren! Und ganz nebenbei erfahren Sie von mir weitere spannende Worst Case Fälle aus meinem Berateralltag…
Neugierig?
Dann informieren Sie sich jetzt hier über unseren Zertifikatskurs zum Datenschutzbeauftragten und sichern Sie sich noch heute Ihren Platz.
Was schätzen Sie an der Zusammenarbeit mit der Augsburg Business School und welche Rolle spielen Sie?
Ausschlaggebend ist für mich ganz klar die Fokussierung auf die wirklich wichtigen Management-Aspekte im Allgemeinen, aber auch insbesondere im Hinblick auf die Datenschutzthemen. Ich habe in den letzten Jahren viele Ansätze für Wissensvermittlung in diesem Bereich verfolgt und zum Teil auch selbst schlechte Erfahrungen gemacht. Die ABS kommt mit dem vollen Knowhow einer Business School und webt diese Erfahrungen jetzt in den Bereich des Datenschutzes bzw. der Ausbildung mit ein. Das ist für mich die wahre Innovation: Die Erkenntnis, dass Datenschutzbeauftragte und Datenschutzberater am Ende „Manager“ sind. Diesen Aspekt hat meines Wissens noch keiner so in den Mittelpunkt der Ausbildung gestellt.
Neben meiner Rolle als Trainer und Dozent für Datenschutzthemen, bin ich als Akademischer Leiter des Bereichs Datenschutz auch für die Mitentwicklung neuer Ausbildungskonzepte für Datenschutzbeauftragte bzw. -manager verantwortlich. Ich liefere spannende Brancheninsights und neuen Input aus der Praxis und garantiere so stets topaktuelle und qualitative Inhalte.
WEITERBILDUNG ZUM DATENSCHUTZBEAUFTRAGTEN
Sie werden mit dem umfassenden Zertifikatskurs Datenschutzbeauftragter nicht nur Ihre Stellung intern stärken, sondern auch das Rüstzeug haben Change Prozesse im Unternehmen zu moderieren und Projekte zu finalisieren.
Sie erhalten Strategien, Methodologien, Best Practice Ansätze als auch hunderte von kleinen Hinweisen, wie Sie im Alltag Regelkonformität erreichen können.
Sie werden sich vernetzen und auch mit anderen Teilnehmerinnen und Teilnehmer Fallbeispiele austauschen und mit den besten Experten sich austauschen.