„DSGVO ohne Panik und Schritt für Schritt umsetzen“ Rechtsanwältin und Datenschutzexpertin Dr. Sylke Wagner-Burkard im Interview
Am 25. Mai läuft die Übergangsfrist für die Datenschutzgrundverordnung (DSGVO) aus. Auf den letzten Metern zum Stichtag, an dem die Verordnung in allen Teilen verbindlich wird, häufen sich die Fragen zur Umsetzung, zu Spielräumen, aber auch zu drohenden Sanktionen bei Nachlässigkeit. Im Interview gibt die im Datenschutz promovierte Rechtsanwältin Dr. Sylke Wagner-Burkard Antworten.
Die DSGVO scheint jetzt doch viele Menschen – insbesondere Unternehmer – überraschend eingeholt zu haben. Teilen Sie diesen Eindruck?
Dr. Sylke Wagner-Burkard: Den Eindruck teile ich zu 100 Prozent. Die DSGVO ist schon seit Mai 2016 in Kraft, aber erst jetzt scheint sie zur Kenntnis genommen zu werden. Brisant ist dabei, dass es wirklich jedes Unternehmen, jeden Verein, jede Praxis betrifft. Das Argument „Aber ich verarbeite doch keine personenbezogenen Daten“, das ich oft höre, greift nicht. Denn jedes Unternehmen mit Kundenkontakt tut das.
Wie erklären Sie sich diesen „Überraschungseffekt“?
Dr. Sylke Wagner-Burkard: Die Medien sind erst jetzt richtig rege geworden. Das könnte ein Grund sein.
Wie sollte aus Ihrer Sicht jetzt – kurz bevor die professionellen Abmahner an den Start gehen – mit dem Thema umgegangen werden?
Dr. Sylke Wagner-Burkard: Umgehen sollte man mit den Anforderungen möglichst überlegt und vor allem angstfrei und ohne Panik. Es gibt ein paar wichtige Schritte, die nun getan werden müssen. Diese Schritte müssen niemanden überfordern, aber ein gewisser Zeitaufwand ist notwendig. Wichtig ist aufgrund des Risikos der Abmahnung eine rechtskonforme Webseite zu haben, aber auch das ist machbar.
Werden die möglichen Sanktionen in den Medien überbetont, oder muss man sich tatsächlich auf sehr unangenehme Konsequenzen gefasst machen?
Dr. Sylke Wagner-Burkard: Die Sanktionen sind ernst zu nehmen. Gleichzeitig haben aber auch die Aufsichtsbehörden kein Interesse daran, Unternehmen, die die Umsetzung der DSGVO- Anforderungen in Angriff genommen haben, unmittelbar mit übermäßigen Sanktionen zu überziehen. Wichtig ist, dass das Unternehmen oder die Praxis seine Hausaufgaben erledigt hat. Ich habe die Aufsichtsbehörden dabei oft als hilfreichen Gesprächspartner und Ratgeber erlebt.
Wieviel Spielräume gibts denn überhaupt noch? Schützt im Zweifel Unwissenheit?
Dr. Sylke Wagner-Burkard: Leider nicht. Unwissenheit hat im rechtlichen Bereich noch nie geschützt. Und Spielräume gibt es natürlich in der Umsetzung der DSGVO viele. Viele Vorgaben sind auch den Aufsichtsbehörden noch nicht klar. Auch diese wurden in vielen Bereichen von den europäischen Regelungen vor vollendete Tatsachen gestellt.
Was machen Kleine und mittlere Unternehmen, die weder einen eigenen Datenschutzbeauftragten noch eine Rechtsabteilung haben?
Dr. Sylke Wagner-Burkard: In jedem Fall ist es ratsam, eine Person im Unternehmen zu finden, die für das Thema Datenschutz zuständig ist und sich in das Thema einarbeitet – auch dann, wenn kein Datenschutzbeauftragter zu benennen ist. Diese Person muss nun die Zeit aufwenden, sich über die Datenverarbeitungsprozesse im Unternehmen ein genaues Bild zu machen und dann Schritt für Schritt auf dieser Grundlage die Anforderungen der DSGVO gemeinsam mit der Unternehmensleitung sowie mit professioneller Hilfe umsetzen.
Warum sind Datenschutz und IT in einem Atemzug zu nennen?
Dr. Sylke Wagner-Burkard: Datenschutz funktioniert ohne IT in einem Unternehmen, das sich der IT bedient, nicht. Die Grundsätze der Datensicherheit müssen im Bereich der IT umgesetzt werden. Daten müssen im elektronischen Bereich gesichert sein, Übergriffen von außen muss begegnet werden. All dies funktioniert nur mit IT. Deswegen arbeite ich auch eng mit dem Fuldaer IT-Experten Andreas Golling zusammen. Ohne diese Zusammenarbeit wäre eine effiziente Beratung nicht möglich.
Die Komplexität kann verunsichern. Lässt sich die DSGVO für Unternehmen runterbrechen, beispielsweise auf Kernaufgaben?
Dr. Sylke Wagner-Burkard: Ja! Die DSGVO erscheint auch in der medialen Darstellung häufig als so komplex und undurchschaubar, dass man als Unternehmensinhaber zu Recht den Wald vor lauter Bäumen nicht mehr sieht. Wer sich durch die Internet-Veröffentlichungen zum Thema durcharbeitet, ist danach oft noch viel verwirrter als vorher. Aus meiner Sicht geht das viel einfacher: Es sind letztlich sechs Schritte oder Kernaufgaben zu selektieren, die Schritt für Schritt abzuarbeiten sind.
Wie schätzen Sie grundsätzlich den Beratungsbedarf in Sachen Datenschutz ein?
Dr. Sylke Wagner-Burkard: Der Beratungsbedarf ist immens und scheint von Tag zu Tag zu wachsen – proportional zur Erkenntnis der Unternehmen, an diesem Thema leider doch nicht vorbei zu kommen.
Sie selbst bieten Webinare zum Thema und praktische Umsetzungshilfen an. Wie genau sehen die denn aus?
Dr. Sylke Wagner-Burkard: Ich habe gemeinsam mit dem IT-Experten Andreas Golling ein Komplettpaket erarbeitet, das den Unternehmer an die Hand nimmt und durch die notwendigen Umsetzungsschritte der DSGVO begleitet. Auf der gut strukturierten Seite www.einfach-datenschutz.com haben wir alles zusammengefasst. Das Paket setzt sich zusammen aus Videos, die die einzelnen Schritte kurz und zielgerichtet erklären, Musterformularen und -verträgen, die zur Umsetzung pro Schritt notwendig sind, „Live Webinaren“ zur Klärung offener Fragen und der Direktansprache von mir sowie dem IT-Experten in einem zeitlich begrenzten Umfang.
BU: Rechtsanwältin Dr. Sylke Wagner-Burkard rät zu einem überlegten Umgang mit den Anforderungen der DSGVO
BU: Der Beratungsbedarf in Sachen Datenschutz ist hoch. Informationsveranstaltungen zum Thema sind stark nachgefragt.
Fotos: N. Dietzel