DSGVO - Segen oder Fluch?

Foto von Peter Kleebauer
Peter Kleebauer, Senior Manager und verantwortlich für Cybersecurity & Privacy bei PwC © PwC

12.03.2019

Viele Unternehmen und auch Konsumenten klagen nach wie vor über die Belastung durch die Datenschutz-Grundverordnung und sehen darin eine Schikane. Doch Experten halten die negative Einschätzung für übertrieben. Peter Kleebauer, Senior Manager und verantwortlich für Cybersecurity & Privacy bei PwC präzisiert im Interview, welche Bedeutung die DSGVO hat und was Unternehmen zu beachten haben.

Die DSGVO hat bei vielen Unternehmen für Unmut wegen des Verwaltungsaufwandes, aber auch für Verunsicherung gesorgt. Haben sich die Wogen aus Ihrer Sicht geglättet?

Peter Kleebauer: Nach dem 25.05.2018 hat sich bei einigen sicherlich die Unruhe wieder gelegt, andere Unternehmen waren möglicherweise sogar enttäuscht, weil die Behörde grundsätzlich keine wahrnehmbaren Aktionen gesetzt hat. Die jüngeren Ereignisse zeigen aber, dass die Behörde sehr wohl aktiv ist und auch Prüfverfahren oder sogar Strafverfahren einleitet.
Zu den angesprochenen Verwaltungsaufwänden muss man allerdings anführen, dass es mittlerweile sehr viele Good Practices und Erfahrungswerte gibt, die eine Verunsicherung sicherlich zunehmend verschwinden lassen.

Was waren die Hauptprobleme bei der Umsetzung und wie sieht die Praxis in der Gegenwart aus. Alles halb so wild?

Peter Kleebauer: Das Hauptproblem war sicherlich, dass die DSGVO auf viele sehr abstrakt wirkt und der Gesetzestext schwer in einzelne Aufgaben oder Maßnahmen umzulegen ist. Dazu kommen noch die verschiedenen Öffnungsklauseln und die damit fehlenden konkreten Regelungen in vielen Bereichen. Auch die Ungewissheit zur Auslegung der Anforderungen durch die Datenschutzbehörde bei der Detailtiefe stellte manche Unternehmen vor Herausforderungen. Ein Dreivierteljahr nach ihrer Wirksamkeit kann man aber sagen, dass nicht alles so heiß gegessen wie gekocht wird, allerdings lässt sich schon beobachten, dass die Behörden in ganz Europa aktiver werden. Wichtig ist in diesem Zusammenhang, und das zeigen wiederum die aktuellen Beispiele aus den Medien, dass die Verarbeitung der personenbezogenen Daten sorgfältig betrachtet und somit rechtmäßig durchgeführt wird und weniger die Dokumentation bis in kleinste Detail. Daher ist das Nachbereiten von etwaigen Lücken in der initialen Umsetzung sicherlich ratsam.

Welche Vorteile hat die DSGVO für Unternehmen und ihre Kunden? Wo sehen Sie Nachteile?

Peter Kleebauer: Ein wesentlicher Vorteil für die Unternehmen ist, dass sie nach Jahren der Digitalisierung zu einer „Inventur“ gezwungen werden – zumindest in Bezug auf personenbezogene Daten. Bei allem Aufwand, den die DSGVO mit sich bringt, müssen die Verarbeitungen transparent abgebildet werden. Das führt schon bei einigen Unternehmen zu „Aha-Effekten“, weil sie nach und nach den Überblick verloren haben wo und zu welchem Zweck Daten verwendet werden. Insgesamt kann aber auch gerade die verstärkte Informationsflut für die Kunden über deren personenbezogene Daten auch zu einem Nachteil führen, da diese aufgrund der Menge an Informationen die Verarbeitung teilweise schulterzuckend hinnehmen und sich in der digitalen Welt nach einer Phase der Verunsicherung zunehmend verlorener fühlen und sicherlich auch in der Sensibilität abstumpfen.
Ich denke hier wird es gesellschaftspolitisch interessant zu beobachten sein, ob sich die Kunden tatsächlich bewusster in der digitalen Welt bewegen und Datensparsamkeit bei der Auswahl der Produkte belohnen oder nicht. Das erinnert ein bisschen an die aktuelle Diskussion mit Mehrwegverpackungen, wo auch strittig ist, ob die Kunden nun die umweltbewusste Mehrwegverpackung gegenüber der praktischen Einwegverpackung bevorzugen und dafür sogar höhere Preise zu zahlen bereit sind.

Stichwort Datenschutz: Ist die Cyberwelt durch die Grundverordnung sicherer und vor allen Dingen transparenter geworden?

Peter Kleebauer: Ich denke, dass sich durch die Datenschutzgrundverordnung sehr viele Unternehmen zum ersten Mal bewusst mit den vorhandenen Datensicherheitsmaßnahmen und eventuellen Risiken befasst haben. Darüber hinaus hat das Inkrafttreten der DSGVO bei vielen Menschen und Unternehmen ein Datenschutzbewusstsein geweckt oder zumindest verstärkt. Diese Kombination trägt sicherlich zu einer ständigen Verbesserung der Informationssicherheit bei.
Ich denke auch, dass die Verbraucherinnen und Verbraucher jedenfalls sensibilisiert worden sind und dass die begleitende Diskussion für mehr Aufmerksamkeit gesorgt hat. Damit ist auch ein wesentlicher Schritt in Richtung Cybersicherheit gelegt.

Mit welchen Fragen und Problemen sind Sie in Ihrer täglichen Praxis konfrontiert?

Peter Kleebauer: In den Monaten vor dem Inkrafttreten der DSGVO waren es vor allem Fragen über die Informations- und Dokumentationspflichten zur Datenerhebung, -speicherung und –verarbeitung sowie erforderliche Datenschutzprozesse – also vorwiegend konzeptionelle Fragestellungen. Aktuell beschäftigen sich viele unserer Kunden weniger mit Konzepten, sondern zunehmend mit der Automatisierung oder praktischen Umsetzung beispielsweise von den entwickelten Löschkonzepten oder der (Teil)-Automatisierung von Rechten der Betroffenen.
Tatsächlich ist es für gewachsene Unternehmen sehr schwierig die Vorgaben der DSGVO vollinhaltlich umzusetzen. Ich denke, dass die DSGVO grundsätzlich ein Dekadenprojekt ist, dass uns noch lange beschäftigen wird und die Umsetzung in Unternehmen im Sinne einer kontinuierlichen Verbesserung noch viel Zeit beanspruchen wird.

Wie sehen Sie die Zukunft beim Datenschutz? Müssen wir mit noch penibleren gesetzlichen Regelungen rechnen oder reichen die vorhandenen Instrumente aus?

Peter Kleebauer: Ich denke, Datenschutz bleibt auch in Zukunft spannend, neue Forderungen und Vorgaben kommen hinzu, gleichzeitig bieten Datenschutz-Technologien eine stärkere Unterstützung an. Die Betroffenen wollen die Vorteile der Digitalisierung und der neuen Technologiewelt nutzen, ohne dabei die Kontrolle und Selbstbestimmung für ihre Daten zu verlieren.
Ich denke auch, dass ein grundlegender gesetzlicher Rahmen für die Verarbeitung von personenbezogenen Daten innerhalb der europäischen Union geschaffen wurde und auch ausreicht. Allerdings wurden mit der DSGVO die eigentlich schwierigen Herausforderungen der Digitalisierung nicht thematisiert. Es fehlen Regelungen zu den Grundfunktionen von Big Data, Künstlicher Intelligenz, Autonomes Fahren oder Industrie 4.0. Also alles das, was neue technische Entwicklungen an neuen Herausforderungen für den Datenschutz mit sich bringen. Dazu wird es notwendig sein, zukünftig praxistaugliche Konkretisierungen für die Umsetzung von Datenschutz bei diesen Herausforderungen zu schaffen.

Im nächsten Newsletter wird Rechtsanwalt Dr. Michael M. Pachinger die Fragen aus juristischer Sicht beantworten.


Folgen Sie uns auch auf: