Die Digitalisierung beschäftigt die Industrie und die Bevölkerung in den letzten Monaten mehr denn je und auch die Aufsichtsbehörden schalten sich vermehrt in die Diskussionen ein. Erst kürzlich bekam die notwendige Digitalisierung in Schulen „grünes Licht“, die Industrie- und Handelskammern schulen intensiv und die BaFin veröffentlichte die bereits im August 2018 gegebene Digitalisierungsstrategie zu Beginn 2019. Als Selbständiger oder klein- und mittelständisches Unternehmen kann man sich jetzt zu Recht fragen, inwieweit ist man denn von einer Aufsicht betroffen, die regelmäßig für Finanz- und Versicherungsunternehmen sowie FinTechs zuständig ist. Nun, die BaFin gibt mit der Digitalisierungsstrategie gleichermaßen eine mögliche Zielsetzung der nationalen Aufsichtsbehörde aus: die Vereinheitlichung der IT-Aufsicht und –Sicherheit in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
In der Konsequenz sieht die BaFin über eine ausdrückliche Verwaltungsvereinbarung die Zusammenarbeit mit dem BSI vor. Das bedeutet wiederum konkret, dass Einflüsse in Form von bspw. Anforderungen und Gesetzen aus dem Finanz- und Versicherungsgewerbe über das BSI hinsichtlich der Informations-, IT- und Cybersicherheit bis auf Selbständige und klein- und mittelständische Unternehmen durchschlagen können. Am Beispiel der derzeitigen Meldevorgänge wird schnell ersichtlich, dass sich auch die Aufsichtsbehörden wesentliche Vorteile (z.B. Abbau von Bürokratie, Verschlankung) verspricht.
Abbildung 1: „Ausschnitt aus den Datenflüssen zwischen Meldepflichtigen, BaFin und anderen Institutionen und Behörden“
Quelle: Digitalisierungsstrategie der BaFin, https://www.bafin.de/DE/DieBaFin/ZieleStrategie/Digitalisierungsstrategie/digitalisierungsstrategie_artikel.html, abgerufen am 05.03.2019.
Die „Eierlegendewollmilchsau“ kann im Bereich Digitalisierung nicht gefunden werden. Ihr ahnt es bereits: eine individuelle Betrachtung Eurer Prozesse, Vorgänge, Maßnahmen, etc. kann nur zielführend sein. #DSGVOlässtgrüßen Ein praktisches Beispiel aus der letzten Woche: Ein mittelständisches Unternehmen mit einem Jahresumsatz von ca. 2 Millionen EUR versucht, die DSGVO 1:1 umzusetzen. Um sich abzusichern, sollte ich die bestehende Dokumentation und die Prozesse prüfen. Was ist also das Wichtigste, dass ich regelmäßig zu Beginn mache? Mit den Mitarbeitern sprechen. Kernfragen können hier bspw. sein, wie mit Daten umgegangen wird und sind interne / externe Anforderungen wie Arbeitsanweisungen bekannt? Eine der zentralen Fragestellungen, die bislang immer zu einem Aha-Erlebnis geführt hat: Simulieren Sie bitte einen Datenschutzverstoß und wie mit diesem umgegangen wird. Spätestens hier wurde deutlich, dass eine 1:1-Umsetzung der DSGVO weit über das Ziel der DSGVO selbst hinausgeschossen ist. Eine wörtliche und non-individuelle Umsetzung hat zu so viel Unsicherheit in der Belegschaft geführt, dass mit der Umsetzung der DSGVO die praktische Arbeit der Einzelnen quasi zum Erliegen gekommen ist. Jeder wollte sich absichern, keine Entscheidungen mehr treffen, keine Handlungsspielräume ermöglichen – das genaue Gegenteil, was eine sinnvolle Umsetzung der (aufsichts-) rechtlichen Anforderungen zum Ziel hat. Mit dem Leitspruch „Ich bin gerne Teil der Lösung, nicht des Problems“ wurde also das DSGVO-Projekt in einer Woche (!) neu strukturiert, Gaps analysiert und mit den Entscheidungsträgern umgesetzt. Toller Nebeneffekt: neben einer Aktualisierung der internen Dokumentation und der Kundenkommunikation konnte ein Mentalitätswandel hinsichtlich Entscheidungsbewusstsein herbeigeführt werden.
Was mir regelmäßig bei Beratungen begegnet, ist auch in 2019 selbst für die Aufsichtsbehörden verwunderlich – wurde jedoch jetzt durch einen aktuellen Artikel der dpa mit den NRW-Datenschutzbeauftragten bestätigt und ist in gewisser Weise nachvollziehbar. Weiterhin sind viele Datenschutzerklärungen auf Internetseiten, interne Dokumentationen, notwendige Prozesse und Verzeichnisse nicht DSGVO-konform (vgl. Legal Tribune Online unter https://www.lto.de/recht/nachrichten/n/dsgvo-nrw-daten-pannen-vertrauliche-informationen-meldungen-unternehmen/?utm_source=www.compliance-manager.net, abgerufen am 06.03.2019). Viele Unternehmen und Selbständige haben über 2018 und die Umsetzungsfristen der DSGVO hinaus weiterhin nur begrenzte oder keine Kapazitäten, sich um die (aufsichts-) rechtlichen Anforderungen zu kümmern. Was gerade im Bereich der Digitalisierung genau auf dieser aufsichtsrechtlichen Ebene passiert, hat man in ähnlichem Umfang bereits feststellen können. Der ursprüngliche Betroffenenkreis des BDSG wurde um ein Vielfaches erweitert und sorgt auch jetzt noch für Verunsicherungen in der Umsetzung der (aufsichts-) rechtlichen Anforderungen wie das neueste Urteil gegen Apple (AZ 23 U 196/13) zeigt.
Die aktuellen Entwicklungen stellen daher wie zu erwarten auch weiterhin für Unternehmer*Innen einen nicht zu unterschätzenden Aufwands- und Erfolgsfaktor dar. Die Umsetzung der Anforderungen des Gesetzgebers kann für rechtliche Sicherheit sorgen, Prozesse verschlanken, Aufwände reduzieren und Erträge steigern – kurz gesagt: profitiert jetzt von der Digitalisierungsrendite!
Ihr wisst nicht, von welchen Gesetzen, Richtlinien und Anforderungen ihr betroffen seid? Ihr möchtet eine (aufsichts-) rechtliche Konformität sicherstellen? Oder möchtet Ihr von der Digitalisierungsrendite profitieren, Aufwände reduzieren und Erträge langfristig steigern?
Jetzt kostenfreie Erstberatung unter [email protected] sichern.