DSGVO
Verantwortliche und Auftrag­nehmer stecken im Haftungsdilemma

© Matthias Tüxen – MittelstandsWiki

Der zweite Teil des DSGVO-Interviews mit Dr. Sebastian Kraska setzt noch einmal beim Thema IT-Sicher­heit an und klärt u.a. die Frage, was die Daten­schutz-Grund­verordnung mit „Stand der Technik“ meint.

Anzeige

Dr. Kraska ist kein IT-Sicherheitsfachmann, aber externer Datenschutz­beauftragter, DSGVO-Experte und Gründer der Münchner IITR Datenschutz GmbH, die sich seit Jahren damit beschäftigt, Datenschutz auch für kleine und mittlere Unternehmen umsetzbar und finanzierbar zu machen. IT-Sicherheit ist dort deshalb ein wunder Punkt, weil mittelständische Unternehmen Cyber­gangstern und Ransomware-Erpressern zum einen „viel Geld und schöne Beute“ bieten, zum anderen aber digitalen Sicherheits­fragen meist weniger Aufmerksamkeit schenken. Im Selbstverständnis eigentümer­geführter Unternehmen gehört ein gewisses Risiko schlicht zum Geschäft. Ein berufenes Management wird dagegen eher hellhörig, wenn Dr. Kraska betont, dass IT-Sicherheit nicht nur im eigenen Interesse der Firma liegt, sondern auch ein heftiges Bußgeldrisiko birgt.

Dieses Risiko hat die DSGVO mit sich gebracht: „Die Schnittmenge zur Datenschutz-Grundverordnung“, sagt Dr. Kraska, ist die Art.-25-Forderung, dass sich die IT-Sicherheit eines Unternehmens am „Stand der Technik“ orientieren müsse. Was nach Gummi­paragraf klingt, lässt sich dennoch dingfest machen. Zum einen verweist Dr. Kraska auf entsprechende Publikationen (TeleTrust etc.), zum anderen ist die Definition ex negativo recht eindeutig:

„Es gibt nach unten eine Grenze, wo sich die Experten wohl dann schnell einig sind, was auf jeden Fall nicht mehr als ‚Stand der Technik‘ und branchen­üblich und bezahlbar anzusehen ist.“

Live-Systeme mit Windows 7 etwa, seien „nicht mehr vermittelbar“. Erschwerend kommt hinzu, dass sich dieses Haftungsrisiko auch nicht mehr delegieren lässt. Art. 32 DSGVO nimmt sowohl Verantwortliche als auch Auftrags­verarbeiter in die Pflicht. So entsteht, was Dr. Kraska als „Haftungsdilemma“ beschreibt:

„Das heißt, da ist ein Haftungsrisiko, das beide betrifft: Unternehmer wie IT-Systemhaus, das die Systeme wartet. Und dieses Haftungsrisiko, das können Sie auch nicht vertraglich wegbekommen.“

Erforderlich sind darum Maßnahmen, die dieses besondere Vertrauens­verhältnis zwischen dem beauftragenden Unternehmen und externen IT-Dienstleistern oder Systemhäusern so weit als möglich absichern, etwa durch eine unabhängige Datenschutz-Zertifizierung. Bisher sind zwar noch keine Fälle bekannt, in denen die Aufsichtsbehörden tatsächlich Art.-32-Bußgelder verhängt hätten, aber „das ist halt bei den Juristen so“, warnt Dr. Kraska. „Das wird dann zehn Jahre nicht exekutiert, und dann kommt einer um die Ecke und zieht doch diese Karte.“

Die häufigsten DSGVO-Schwachstellen gibt es laut Dr. Kraska derzeit „bei den formalen Themen, bei der Bindung von Drittdienstleistern und der ausreichenden Dokumentation der eigenen Verarbeitungstätigkeiten“. Dies sind zumindest die Befunde aus seiner Erfahrung und aus dem Fern-Audit-Tool namens PSE (Privacy Status Evaluation), das die IITR Cert GmbH für Unternehmen aufgesetzt hat, um ihnen die Möglichkeit zu geben, von außen ihren Datenschutz-Stauts überprüfen und zertifizieren zu lassen.

Konkrete DSGVO-Lösungen hat IITR mit zwei webbasierten, gut handhabbaren Datenschutz-Managementsystemen (DSMS) auf Lager. Das Datenschutz-Kit ist eine „kostengerechte Komplettlösung für kleinere Unternehmen“ inklusive E-Learning-Schulungsmaterial für die Mitarbeiter. Für Mittelstand und größere Unternehmen gibt es das gleichfalls webbasierte Compliance-Kit, das auf den ISO-Normstandars 27001 (IT-Sicherheit) und 27701 ( Datenschutz-Management) aufbaut.

Mehr Audio und Video zur DSGVO