365 Tage DSGVO – sind wir wirklich weiser?
Am 25. Mai feierte die EU-DSGVO ihren 1. Wirk-Geburtstag. Offiziel trat sie ja bereits 2016 in Kraft, entfaltete aber wegen gezogener Schonfrist-Option erst im Mai 2018 ihre volle Wirkung. Es ist daher Zeit für einen Rück- und Ausblick: Was hat sie für den Datenschutz in Deutschland und Europa in dieser Zeit bewirkt, wo geht die weitere Reise hin?
Sagen wir es frei heraus: Trotz vieler Aufbau- und Aktualisierungs-Projekte, zahlreicher Neu- & Erst-Mandatierungen für (externe) Datenschutzbeauftragte, jeder Menge durchgeführter Datenschutz-Schulungen und Kongresse und innerbetrieblicher Abstimmungen und Dokumentationen stehen wir (erwartungsgemäß) immer noch am Anfang. Eine Schätzung für einen wie auch immer gemessenen „Umsetzungsgrad des Datenschutzes“ ist kaum möglich, ein solcher Wert wird aber sicherlich im sehr niedrigen zweistelligen Bereich liegen. Die große Mehrzahl der mittleren und kleineren Unternehmen hat bislang nur wenige bis keine Aspekte des Datenschutzmanagements bei sich implementiert. Auch bei den Großen tun sich die Fachabteilungen nachweislich schwer mit einer effektiven Umsetzung der Vorgaben aus den Datenschutz-Stabsstellen.
Wo ist das Problem?
Die Schuld für diese anscheinend „schleppende“ Umsetzung ist nicht bei der DSGVO selbst zu suchen sondern hat unseres Erachtens andere wesentliche Ursachen:
- Das Thema Datenschutz ist eigentlich bereits seit mehreren Jahrzehnten gesetzlich bei uns verankert und die inhaltlichen Abweichungen der DSGVO zum bisherigen Datenschutz-Recht in Deutschland sind offensichtlich auch nicht allzu groß (im Wesentlichen mehr Informationspflichten, leicht ausgeweitete Betroffenenrechte und natürlich höhere potenzielle Bußgelder). Das Problem ist, dass diese Regelungen in der Vergangenheit nie wirklich verinnerlicht und implementiert wurden, da bis zur DSGVO kein echtes (Kosten-) Risiko drohte. Daher war und ist das Aufsetzen einer DSGVO-konformen Struktur auch für deutsche Unternehmen eine echte Herkulesaufgabe – und die benötigt eben Zeit.
- Gerade unterstützende Wirtschafts-Organisationen im Markt – allen voran Verbände und berufsständische Vertretungen – haben nicht oder erst recht spät dafür gesorgt, die in Teilen durchaus komplizierten Regelungen der DSGVO branchengerecht für ihre Mitglieder zu „übersetzen“ und konkrete Handlungsempfehlungen darzustellen. Viele Unternehmen haben dann nach einer als nicht hilfreich empfundenen ersten Anfrage das Thema für sich wieder herunterpriorisiert (sprich: fallengelassen).
- Die gesetzgebenden Stellen und deren „verlängerter Arm“ (Datenschutzbehörden, Ministerien usw.) haben bisweilen unglücklich kommuniziert: „Verschärfung“, „erhöhte Bußgelder“, „Prüfungen“, „Rechts-Verfahren“ – das verwendete Vokabular hat häufig auf die negativen Aspekte einer gesetzlichen Neuregelung abgehoben, weniger auf die Chancen, die sich aus der Reform ergeben (erhöhte Transparenz im Markt, Angleichung von Wettbewerbsbedingungen innerhalb der EU, besseres Verständnis der eigenen Prozesslandschaft für viele Unternehmen – um nur einige mögliche zu nennen).
Neutrale Berichterstattung zur DSGVO – Fehlanzeige
Die DSGVO hat somit einen durchaus belasteten Start gehabt, da ist es nicht fair zu erwarten, dass man nach einem Jahr „glanzvoll“ dasteht (welche gesetzliche Regelung kann das generell von sich behaupten?).
In die mediale Öffentlichkeit gelangten daneben meist nur überzogene Informationen als Auswirkung der neuen Verordnung:
- Vereinsvorstände traten gesammelt zurück ob des „unabwägbaren Risikos“ einer persönlichen Haftung
- Die österreichische „Klingelschild-Posse“ hat für fast schon panische Reaktionen in der Wohnungswirtschaft gesorgt
- Massenhafte E-Mail-Fluten mit der Bitte um diverse Einwilligungen überschwemmten im Frühjahr 2018 die Postfächer der Kunden (und derjenigen die schon lange keine mehr waren) – viele davon waren selbst nicht Datenschutz-konform, unnötig und im Ergebnis eher kontraproduktiv, da sie den Weg für andere Rechtsgrundlagen verbaut haben
Eine neutrale Berichtserstattung mit fachlich fundierten Aussagen ist leider auch heute noch oft noch Mangelware.
Und die ausgesprochenen Bußgelder?
Als ein greifbares Ergebnis sind die bisher ausgesprochenen Bußgelder der zuständigen Landes-Datenschutz-Aufsichtsbehörden zu nennen. In etwa 75 Fällen wurden Zahlungsaufforderungen verschickt, in einer Gesamthöhe von knapp 450.000 EUR – das sind 6.000 EUR im Schnitt. Vor dem Hintergrund der im Vorfeld des Mai 2018 in allen Medien gern zitierten „bis zu 20 Mio. EUR und mehr pro Vorfall“ sind diese faktischen Beträge durchaus als nicht existenzbedrohend zu nennen, auch wenn einzelne betroffene Unternehmen angesichts einer Einzelstrafe von bis zu 80.000 EUR sicher nicht begeistert sein werden. Anzumerken ist hier, dass nur sechs der 16 Aufsichtsbehörden überhaupt solche Strafen ausgesprochen haben, und dies auch durchaus mit ungleicher Häufigkeit (allein 36 Bußgelder in NRW).
Thematisch ist aus den ausgesprochenen Strafen ein Fokus auf die zentralen Datenschutz-Aspekte herauszulesen: Technische Schutzmaßnahmen waren unzureichend, Vereinbarungen zur Auftragsverarbeitung fehlten, Verarbeitungsverzeichnisse waren nicht vorhanden – also durchaus eine erwartbare Ausrichtung. Derartiges kann in der Datenschutzpraxis durchaus bestätigt werden: Sobald es in komplexere Sachverhalte geht oder Detailfragen gestellt sind, wird seitens der Behörden primär beraten oder zuweilen auch auf Grund einer noch unklaren auslegenden Rechtssprechung auf einen späteren Zeitpunkt verwiesen. Die Strafe ist (noch) nicht das erste Mittel bei Lücken.
Ein Grund die Anstrengungen im Datenschutz nun einzustellen?
Mitnichten. Denn zum einen muss es grundsätzlich Ziel des unternehmerischen Risikomanagements sein, offene Flanken je nach Schadenspotenzial so schnell wie möglich zu schließen (die neuen Datenschutz-Regelungen und -Sanktionen gelten ja nun auch schon ein Jahr). – Zum zweiten wird die künftige Rechtssprechung eher nicht für eine starke Abmilderung der Anforderungen sorgen, sondern vielmehr für eine Konkretisierung in der Auslegung – aufgeschoben wir definitiv nicht aufgehoben sein.
Wohin sollte aber nun der Fokus gelegt werden?
Natürlich kann es hier keine abschließende „Shortlist“ an ToDos geben, mit denen man sich maximale Sicherheit verschaffen kann, jedoch sollten unseres Erachtens die folgenden Themen kurz- bis mittelfristig in Ihrem Unternehmen eine Rolle spielen:
Natürlich kann es hier keine abschließende „Shortlist“ an ToDos geben, mit denen man sich maximale Sicherheit verschaffen kann, jedoch sollten unseres Erachtens die folgenden Themen kurz- bis mittelfristig in Ihrem Unternehmen eine Rolle spielen:
- Umfassende Aktivitäten nach Plan: Setzen Sie sich Umsetzungsziele für die Kern-Felder des Datenschutzes und stellen Sie einen Aktions-Plan auf – fehlende Strukturierung ist eine der größten Hürden für effektiven Datenschutz
- Saubere Datenschutzerklärung auf der Website: Ihre digitale Präsenz ist das erste Einfallstor für etwaige Abmahnungsaktivitäten. Hier lohnt sich demnach eine Investition in eine textliche Darstellung, die die individuellen technischen Module der Website genauso abdeckt wie die Datenschutz-rechtlichen Formal-Erfordernisse. Einfaches Copy-Paste ist keine Option.
- Möglichst vollständiges und aktuelles Verzeichnis der Verarbeitungen: In dieser Übersicht dürfen keine zentralen Geschäftsprozesse und Systeme mit Bezug zu personenbezogenen Daten fehlen. Sollten einzelne Angaben jedoch noch ausstehen oder die eigenen Bewertungen nicht 100%ig den Vorstellungen einer prüfenden Behörde entsprechen, ist das direkte Strafpotenzial minimal: Durch Nachbesserung wird in den allermeisten Fällen Abhilfe geschaffen werden können. Wenn das Verzeichnis gänzlich fehlt, sind Bußgelder jedoch programmiert.
- Löschkonzepte entwickeln: Für die zentralen Verarbeitungsprozesse und -systeme muss nicht nur dokumentiert sein, wie personenbezogene Daten darin verarbeitet werden, sondern auch mit welchen Regeln und technischen Prozessen diese daraus wieder entfernt (sprich: gelöscht) werden. Bei einer detaillierten Analyse fallen häufig „Regelungs-Schlupflöcher“ auf, die dann gezielt geschlossen werden können.
- Betroffenenrechte-Prozess etablieren: Um Datenschutz-konform zu arbeiten, ist die angemessene Beantwortung von Betroffenen-Anfragen unabdingbar. Und damit die Organisation nicht bei jeder Anfrage auf Neue in Aktivismus verfällt, sollten die Abläufe und Zuständigkeiten im Vorfeld klar festgelegt werden. Dann weiß jeder, was er wann zu tun hat, wodurch wiederum die Reaktionszeiten kurz gehalten werden können.
- Auftragsverarbeitungen stabil regeln: Dort wo sie nötig sind (Hinweis: sie sind es nicht überall!), müssen saubere Vereinbarungen zur Auftragsverarbeitung abgeschlossen werden. Seien Sie streng zu sich selbst: Wenn eine solche Vereinbarung mit Ihrem Dienstleister nicht in angemessener Zeit erfolgt (weil dieser sich bspw. weigert), dann suchen Sie sich eine Alternative! Eine solche konsequente Haltung hat schon manchen zur Einsicht gebracht…
- Technische & organisatorische Maßnahmen (TOMs) auf den aktuellen Stand bringen: Sie speichern Kundenkennworte noch unverschlüsselt ab? Sie haben keine schriftlichen internen Regelungen zur IT-Nutzung? E-Mail-Verschlüsselung ist für Sie generell ein Fremdwort? Dann sollten Sie schleunigst nachjustieren. Stellen Sie die zentralen Systeme auf den Prüfstand und passen Sie dort an, wo Sie den Stand der Technik nicht erfüllen.
Fazit
Vieles ist noch ungewiss und obliegt der eigenen Einschätzung und Risikoorientierung. Mit der EU-DSGVO wird es aber ein bisschen wie mit den eigenen Kindern sein: Je „reifer“ sie in den nächsten Jahren wird, desto planbarer wird auch der Umgang mit ihr werden. Bleiben Sie dran!
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!