In Kürze wird der Schutz persönlicher Daten in der Europäischen Union massiv gestärkt. Die neue Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai in 28 EU-Mitgliedstaaten in Kraft. Millionen Unternehmen in ganz Europa müssen bis dahin ihre Hausaufgaben erledigt haben, sonst drohen empfindliche Strafen. Martin Möllenbeck, 48, ist Geschäftsführer beim mittelständischen IT-Unternehmen 5 Minds IT-Solutions, das Software für Kunden maßschneidert. Die Firma aus Gelsenkirchen im Ruhrgebiet befindet sich auf der Zielgeraden ihrer Vorbereitungen.
SZ: Herr Möllenbeck, ist Ihre Firma gut für den 25. Mai vorbereitet ?
Martin Möllenbeck: Grundsätzlich schon. Wir haben zurzeit einen externen Berater, der mit uns Punkt für Punkt durchspricht und auf Mängel hinweist. Aber es bleibt ein bisschen Unsicherheit, weil der Datenschutz so komplex ist und wir heute noch nicht wissen, wo mögliche Lücken auftauchen werden. Wir wollen vermeiden, dass uns die Behörden eines Tages darauf aufmerksam machen. Man kann auch nie ausschließen, dass jemand bewusst nach Lücken sucht, um uns zu verklagen.
Ist das nicht die Aufgabe des Beraters, diese Lücken zu schließen?
Der Berater hat seine Checkliste, aber er kennt die Interna unseres Unternehmens nicht. Datenschutz gilt künftig für die allerkleinsten Bereiche. Da kann es passieren, dass du morgens den Laptop aufklappst und dir etwas vor die Füße fällt, woran du bislang gar nicht gedacht hast. Beispielsweise wenn dich eine alte E-Mail daran erinnert, dass die Personalabteilung neulich Briefmarken übers Internet bestellt hat, was eigentlich kein riskanter Vorgang in der Organisation ist. Aber die Post ist damit zu einem unserer Zulieferer geworden, für den die Datenschutzvereinbarungen genauso gelten wie für jeden anderen auch.
Was ändert sich konkret?
Jeder Arbeitsschritt, der mit Kunden und Zulieferern zu tun hat, muss praktisch vor der neuen Datenschutzverordnung neu bewertet werden. Wir müssen penibel darauf achten, dass wir jeden Partner unserer Firma mit der Nase darauf stoßen, wo Gefahren lauern, aber auch, wo seine Rechte bei der Übertragung von persönlichen Daten liegen. Und wir müssen uns absichern, dass wir im Bedarfsfall nachweisen können, dass wir das auch wirklich getan haben. Es ist ein bisschen so wie bei den Herstellern von Mikrowellen, die ihren Kunden sagen müssen, dass man keine lebenden Tiere grillen soll.
Aber Sie entwickeln Software, Sie sammeln keine Daten. Macht es das nicht einfacher?
Bedingt. Die Komplexität bleibt bestehen. Wenn es nötig ist, dass sich die Mitarbeiter eines Kunden in unserer Daten-Cloud anmelden, haben wir ihre E-Mail-Adressen, die unter die personenbezogenen Daten fallen. Damit stecken wir mittendrin in der neuen Verordnung.
Klingt so, als müssten alle Eventualitäten jeweils einmal in der Praxis durchgespielt werden, und man hat seine Pflicht getan.
Eben nicht. Das Thema wird uns dauerhaft beschäftigen. Wir müssen den Behörden gegenüber nachweisen, dass auch unsere Mitarbeiter immer auf dem aktuellsten Kenntnisstand sind. Auch neue Mitarbeiter müssen genauso informiert sein. Für unsere Hardware gilt, dass wir alle zwei Jahre unsere Laptops wechseln müssen. Alle Programme darauf müssen auf dem neuesten Stand sein. Es ist ein fortlaufender Prozess.
Das sind zusätzliche Belastungen .
Daran besteht kein Zweifel. Und in Zukunft wird es noch mehr. Noch sind wir mit 46 Mitarbeitern ein überschaubar großes Unternehmen. Aber wir planen, kontinuierlich zu wachsen. Es wird der Tag kommen, an dem auch wir einen Datenschutzbeauftragten einstellen müssen. Nämlich wenn mindestens zehn Mitarbeiter Zugriff auf personenbezogene Daten haben. Der- oder diejenige wird dann eigens für diese Aufgabe bezahlt.