Die Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat bundesweit für Unsicherheit gesorgt. Sicher ist: Mit ihrem Inkrafttreten sind neue Pflichten für Manager entstanden – und neue Risiken. Das Zusammenspiel verschiedener Versicherungen hilft, die Risiken abzufangen. Auf der diesjährigen AVW-Fachveranstaltung veranschaulichten Experten, wie dies bestmöglich umsetzbar ist.
Vorstands- oder Aufsichtsratsmitglieder sowie Geschäftsführer tragen die Verantwortung für ihre Entscheidungen. Im Schadenfall haften sie unbeschränkt mit ihrem Privatvermögen. Zudem steht die persönliche Reputation auf dem Spiel. Die Einführung der DSGVO birgt zahlreiche neue Risiken für Unternehmensentscheider. Die diesjährige Fachveranstaltung der AVW für Geschäftsführer, Vorstände und juristische Entscheidungsträger der Immobilienwirtschaft stellte diese sowie Möglichkeiten der Absicherung in den Fokus.
Was ist neu durch die DSGVO?
Niels Christopher Litzka ist Senior Manager bei der Wirtschaftsprüfungsgesellschaft KPMG und tätig im Bereich Compliance & Forensic. Er fasste die Anforderungen der DSGVO zusammen und verdeutlichte die damit einhergehenden neuen Risiken für Unternehmensleiter und Verantwortliche. Wichtigster Punkt: Es ist zu einer Beweislastumkehr gekommen. Das heißt, die Datenverarbeiter – also die Unternehmen – müssen durch entsprechende Dokumentation beweisen können, dass sie sämtliche Datenschutzvorgaben rechtmäßig einhalten. Diese Rechenschaftspflicht erfordert umfangreiche Neuerungen und Adjustierungen von Organisation, Prozessen und Maßnahmen. Wer nicht nachweisen kann, dass eine technisch und organisatorisch entsprechend ausgerichtete Datenschutzorganisation im Unternehmen vorhanden ist, setzt sich dem Risiko empfindlicher Bußgelder aus.
Was bedeutet das für meine IT?
Dr. Stefan Steinkühler von FINLEX sprach in seinem Vortrag über die Haftung der Geschäftsleitung für Organisationspflichtverletzungen im Bereich Datenschutz und IT-Sicherheit. Er betonte: Das größte Thema in Verbindung mit der DSGVO ist das Löschen von Daten. Hier stehen viele Unternehmen vor der Herausforderung, ältere Daten auf Papier vorliegen zu haben. Dadurch kann man sie schwerer identifizieren, extrahieren und zur Verfügung stellen. Zudem lässt sich die Vollständigkeit der Daten nicht immer garantieren. Und hier wartet die nächste „Welle“ auf die Unternehmen: Personen, die von ihrem Auskunftsrecht Gebrauch machen und ihre Daten erhalten, erheben Einspruch, dass diese nicht vollständig sind. Insofern lautet die Empfehlung: Dokumentieren Sie intern, warum gegebenenfalls manche Daten nicht rausgegeben werden können, zum Beispiel aufgrund von Daten Dritter, die in den Unterlagen enthalten sind. Sollte die Aufsichtsbehörde eines Tages vor der Tür stehen, erleichtert das die Argumentation.
Niels Christopher Litzka empfiehlt den Unternehmen ein Datenschutzmanagement-System einzurichten und dieses regelmäßig zu aktualisieren. Das System sollte Unternehmensprozesse, Reporting und Sensibilisierung der Mitarbeiter beinhalten. Und regelmäßig die Frage aufwerfen: „Wie lange brauche ich die Daten wirklich?“
Was kann bei einem Datenschutzvorfall passieren?
Neben den materiellen Schäden, die durch Datendiebstahl entstehen können, sind die sogenannten immateriellen Schäden ein Risiko. Bislang werden Ansprüche, die sich auf immaterielle Schäden…
