Interview zur DSGVO: Von Änderungen, Bußgeldern und Rechenschaft

Heute starte ich meine Artikelserie zur DSGVO mit einem Interview, das wir mit einem der renommiertesten Experten im Bereich der Datensicherheit und des Datenschutzes für Steuerkanzleien geführt haben, mit Dipl. Ök. Stephan Rehfeld.

Lesen Sie heute den ersten Teil unserer dreiteiligen Serie: 

Wie erleben Sie als einer der führenden Datenschutzberater im Umfeld der Steuerberatung die Wahrnehmung oder neudeutsch die „Awareness“ des Themas Datenschutzgrundverordnung (DSGVO)?

Stephan Rehfeld:  Da die DSGVO der bisher größte und tiefreichendste Eingriff in die EDV-Infrastruktur der Steuerberatungskanzleien darstellt, wundert es mich, wie stark dieses Thema verdrängt wird. Man versucht, ihm auszuweichen oder es zu schieben – eine Art ‚Vogel-Strauß-Mentalität‘ herrscht vor. Ein typisches Argumentationsmuster, dem ich begegne: Bei der DSGVO gebe es ein ‚Vollzugsdefizit‘. Soll heißen, die Verordnung kann aufgrund mangelnder Kapazitäten der Aufsichtsbehörden nicht durchgesetzt werden. Doch die Behörden im Bund und in den 16 Ländern stocken auf. So wird allein der Bundesbeauftragte für den Datenschutz in 2017 49 neue Stellen besetzen. Ähnlich wird die Personaldecke in den Bundesländern aufgebaut sowie europaweit. Eine weitere Argumentation lautet: Die Bußgelder seien unglaubwürdig hoch. Das könne doch gar nicht ernst gemeint sein.

Bei den Strafen haben die europäischen Gesetzesmacher einen neuen Maßstab gesetzt: Bußgelder von bis zu 20 Mio. bzw. bis zu 4% des Umsatzes signalisieren, dass Nichtbefolgung existenzbedrohend sein kann für ein Unternehmen. Hängt die Wirksamkeit nicht auch von der Handhabung in den einzelnen Ländern ab?

Stephan Rehfeld:  Die Aufsichtsbehörden verfolgen das Ziel, einen europaeinheitlichen Bußgeldrahmen herbeizuführen. Kürzlich haben die irischen Behörden bereits klar kommuniziert, dass sie bei den Bußgeldern bis an die Grenzen gehen werden. Solche Ansagen, auch wenn sie aus anderen EU-Ländern kommen, strahlen auf die ganze EU aus. Denn welches Land möchte bei diesem Thema als lax gelten? Es wird nicht passieren, dass sich Länder durch Schwäche bei der Durchsetzung des Datenschutzes profilieren. Eher wird das Gegenteil der Fall sein.

Bei der DSGVO geht es um den Schutz personenbezogener Daten, zum Beispiel zur Herkunft, Religion oder Gesundheit. Solche Daten, die in Steuerkanzleien in vielen Bereichen – in der Lohn- und Finanzbuchhaltung ebenso wie bei den Steuern – vorhanden sind, unterliegen auch bisher schon dem Datenschutz nach dem Bundesdatenschutzgesetz (BDSG). Worin bestehen die grundlegenden Unterschiede der DSVGO gegenüber dem BDSG?

Stephan Rehfeld:  Ein grundlegender Unterschied ist die Rechenschaftspflicht. Das ist ein ganz anderer Ansatz als bisher. Dadurch sind permanente Aktivitäten gefordert – Mitarbeiterschulungen, Dokumentationen, Risikoanalysen, jährliche Risikobewertungen, Sicherheitskonzepte, technisch-organisatorische Maßnahmen. Bisher ist die Praxis ja so, dass man sich auf eine angekündigte Prüfung vorbereiten konnte. Das wird nicht mehr möglich sein. Die Neuregelungen zu den Informationssicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten erfordern, dass die Einschätzung, die Eintrittswahrscheinlichkeit und die möglichen Auswirkungen von Risiken kontinuierlich dargelegt und Sicherheitsmaßnahmen permanent angepasst werden. Das ist nur mit einem professionellen Sicherheitskonzept möglich.

Lesen Sie in Teil 2, wie Stephan Rehfeld das „Recht auf Vergessenwerden“, die „Data Breach Notification“ und den Einsatz von Cloud-Lösungen unter den den Bedingungen der DSGVO erklärt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.