EU Datenschutz aus juristischer Sicht: Kommen wir 2018 „durch den TÜV“?

0

Jüngst war Jahrestag jener Verordnung (EU Datenschutz), die nächsten Mai bereits mit rotem Ausrufezeichen in Ihrem Kalender stehen sollte: Ab dann wird amtlich geprüft, ob Ihnen der Nachweis real gelingt, sprich, ob jene Maßnahmen rund um personenbezogene Daten als angemessen durchgehen. Um die Balance zwischen juristischem Verständnis und IT-Realitäten zu finden, habe ich mit Arnd Böken gesprochen, Anwalt für Datenschutzrecht bei Graf von Westphalen in Berlin und Autor von BITKOM-Leitfäden. Er hat die Datenschutzreform seit dem Jahr 2012 begleitet.

Die Verordnung ist nun schon ein Jahr in Kraft: Wo stehen die deutschen Unternehmen bei der Umsetzung?
Es gibt zahlreiche Unternehmen, vor allem große Unternehmen, die bereits mitten in der Umsetzung der DSGVO sind. Eine aktuelle Umfrage des BITKOM Arbeitskreises Datenschutz hat aber gezeigt, dass viele Unternehmen noch zögern und die Umsetzung nur halbherzig betreiben. Das wird kritisch, denn langsam wird die Zeit knapp. Die Umstellung greift in zahlreiche Prozesse im Unternehmen ein, das dauert seine Zeit.

Woran liegt diese zögerliche Umsetzung? Wird am Ende doch nicht alles so „heiß gegessen“, wie es im Gesetz gekocht wurde?
Manche Unternehmen unterschätzen die Bedeutung der Datenschutz-Grundverordnung, vor allem die Höhe der künftigen Bußgelder. Auch das Prinzip der Rechenschaftspflicht wird falsch eingeschätzt. Unternehmen müssen künftig genau dokumentieren, dass sie das Datenschutzrecht einhalten. Viele Unternehmen unterschätzen auch den zeitlichen Aufwand der Umstellung und meinen, es sei ja noch ausreichend Zeit. Das wird dann kritisch. Wir haben in einem aktuellen Rundschreiben gerade noch einmal die Schritte der Umsetzung beschrieben, denn als Anwalt ist es angenehmer, im Vorfeld zu beraten als nach dem Mai 2018 Bußgeldverfahren zu führen.

Verfahrensverzeichnis oder „Verzeichnis von Verarbeitungstätigkeiten“ – das klingt nach Wein & Schläuchen, unkt manch Datenschutzbeauftragter … Reicht es ab 2018 noch aus, weiterhin Selbstauskünfte aus Formularen zu katalogisieren? Also ohne Monitoring der realen IT-Verfahren, quasi ein Aufschreiben ohne Nachmessen?
Das Verzeichnis von Verarbeitungstätigkeiten hat künftig eine ganz andere Bedeutung. Zum einen sind Mängel des Verzeichnisses künftig mit einem Bußgeld bedroht. Das ist aber nicht der wichtigste Punkt. Das Verarbeitungsverzeichnis ist künftig das zentrale Dokument, das den Verantwortlichen im Unternehmen dabei hilft, den Überblick über die IT-Prozesse im Unternehmen zu behalten. Am besten sind hier IT-gestützte Lösungen, die einen Gesamtüberblick liefern und gleichzeitig den Zugriff auf Details ermöglichen. Nur so wird es die Geschäftsleitung schaffen, die Datenschutzpflichten zu erfüllen.

Das BDSG-Nachfolgegesetz liegt vor. Wie schätzen Sie das ein? Wo wird das EU-Recht aufgeweicht?
Im Bereich der Privatwirtschaft waren die Spielräume des deutschen Gesetzgebers minimal. Der Gesetzgeber konnte einige Punkte klarstellen. An den großen Herausforderungen kann er nichts ändern. Nehmen Sie als Beispiel die Informationspflicht für Unternehmen. Wenn Unternehmen künftig Daten erheben, müssen sie dem Betroffenen umfangreiche Informationen zukommen lassen, müssen ihm sagen, was das Unternehmen künftig mit den Daten tut, auf welcher Rechtsgrundlage das geschieht und wann die Daten wieder gelöscht werden. Das ist eine große Herausforderung. Erst einmal muss man feststellen, bei welchen Prozessen überhaupt Daten erhoben werden, dann muss das Unternehmen ein Musterschreiben erstellen und dafür sorgen, dass es in allen Fällen beim Kunden ankommt. Der deutsche Gesetzgeber konnte hier einige kleinere Punkte klarstellen. An der großen Herausforderung, die diese Informationspflicht darstellt, kann er aber nichts ändern.

Die Beschränkungen im „Profiling“ verunsichern die Data Scientists, scheinen ihre Big-Data-Analysen massiv zu behindern: Soll man etwa alles pseudonymisieren? Oder sich besser „nicht erwischen lassen“?
„Profiling“ wird künftig schwieriger. Das elfte Gebot „Lass Dich nicht erwischen“ ist hier keine Lösung, da die Bußgelder von bis zu 20 Mio. EUR oder 4 % des weltweiten Unternehmensumsatzes eine gefährliche Höhe haben. Beim „Profiling“ helfen zwei Dinge. Zum einen eine Datenschutzfolgeabschätzung, die die Probleme aufzeigt und Lösungen bietet. Zum anderen IT-Anwendungen, die eine datensparsame Analyse zulassen, d. h. granulare Lösungen, die bestimmte Zugriffe technisch ausschließen können. Dann sieht jeder Nutzer nur das, das er auch sehen soll. Manche Datenfelder bleiben weiß. Unternehmen, die so vorgehen, können auch in Zukunft Big-Data-Analysen durchführen.

Thema „Datenschutz als Teil der Marke“: Insbesondere Medienunternehmen planen bereits, proaktiv auf ihre Kunden zuzugehen – im Sinne der Botschaft „Bei uns sind Ihre Daten bestens aufgehoben!“ Wird der Verbraucher das honorieren? DSGVO-Nachweis als Wettbewerbsvorteil?
Ja, in Deutschland sind Verbraucher datenschutzsensitiv. Sie honorieren es, wenn Unternehmen mit ihren Daten verantwortungsvoll umgehen. Genauso wichtig ist dies aber aus Unternehmenssicht. Daten, d. h. das gespeicherte Wissen über Kunden und Märkte, sind ein wichtiges Unternehmens-Asset. Wenn ein Unternehmen rechtliche Fehler bei der Datenerhebung begeht und später große Teile seiner Datenbestände nicht mehr nutzen darf, so ist das ein großer Wettbewerbsnachteil. Da hat es der Wettbewerber besser, der über gut gepflegte und rechtlich einwandfrei erhobene Datenbestände verfügt.

Sie haben ja Kontakte zu den Datenschutzbehörden: Wie rüsten sich diese für den Mai 2018? Wie streng werden sie agieren?
Den Datenschutzbehörden ist bewusst, dass künftig mehr Aufgaben auf sie zukommen. Im Moment stellen sie Personal ein, um die Aufgaben zu bewältigen. Datenschutzbehörden werden ab dem 25. Mai 2018 zügig Signale setzen. Es gibt bestimmte Bereiche, die Datenschutzbehörden seit Langem ein Dorn im Auge sind, z. B. Mängel bei Dienstleistungsverträgen (Auftragsdatenverarbeitung), wie im Cloud Computing. Auch der Datenexport in Ländern außerhalb Europas gehört hierzu. Hier werden ab Mai 2018 auch empfindliche Bußgelder verhängt. Die Behörden wissen, dass dies die effektivste Methode ist, um Änderungen im Verhalten durchzusetzen.

Sie beraten ja Ihre Mandanten bei Datenschutzprojekten. Was sind Best Practices? Wo sollten die Unternehmen jetzt stehen? Welche Herausforderungen sind die größten?
Unternehmen müssen wissen, dass ein paar Änderungen nicht ausreichen, um die Datenschutzreform zu bewältigen und für Mai 2018 gerüstet zu sein. Unternehmen sollten bereits eine Projektgruppe eingerichtet und eine Bestandsaufnahme durchgeführt haben. Im Moment ist es die richtige Zeit, die wichtigen Schritte umzusetzen wie bspw. die Prozesse zur Informationspflicht und zu anderen Betroffenenrechten. Auch die Analyse der vorhandenen Verträge auf die Vereinbarkeit mit dem künftigen Datenschutzrecht ist eine Herausforderung.

Neben Vorprojekten „auf dem Papier“ und Self-Assessments – wie wäre es mit einem toolbasierten „Quickstart“, um eine erste unternehmensweite Landkarte zu zeichnen, die aufzeigt, wo risikobehaftete Verarbeitung real stattfindet?
Ein solcher toolbasierter „Quickstart“ ist ein gutes Instrument, um den Umsetzungsbedarf zu ermitteln und die ersten Schritte zügig einzuleiten. Wie bei allen Projekten so ist es auch beim Projekt „Umsetzung der Datenschutzreform bis Mai 2018“ sinnvoll, die wichtigsten Schritte zuerst zu unternehmen und die Bereiche mit höheren Risiken besonders intensiv zu behandeln. Es ist auch wichtig, Datenverarbeitung unternehmensweit zu betrachten. In Zukunft geht es nicht mehr, nur Einzelbereiche zu untersuchen und hier Checklisten anzulegen, sondern die gesamte Datenverarbeitung im Unternehmen muss der Datenschutz-Grundverordnung entsprechen, und das Unternehmen muss dies nachweisen können.

Haben nach Ihrer Einschätzung die Unternehmen die notwendigen Technologien für die geforderten technischen Maßnahmen? Sind diese auf dem „aktuellen Stand der Technik“ (Art. 25, EWG 91)?
Die Datenschutz-Grundverordnung führt das Prinzip „Privacy by design“ ein. IT-Anwendungen sollen von Anfang an datenschutzfreundlich gestaltet werden. Das ist eine neue Herausforderung für Unternehmen. Die notwendigen Technologien sind in Unternehmen noch nicht verbreitet. Da Unternehmen aber zunehmend erkennen, dass Datenschutz immer wichtiger wird, werden auch immer mehr Unternehmen bei IT-Anwendungen darauf achten, dass der Datenschutz „eingebaut“ ist, also die IT-Anwendung bei Analysen bestimmte Datenfelder auskoppelt, um Datensparsamkeit zu gewährleisten.

Zum Abschluss: Was möchten Sie dem Leser noch mitgeben?
Daten sind ein wichtiges Asset im Unternehmen. Bei allem Aufwand, den die Datenschutz-Grundverordnung mit sich bringt, sollte man eines nicht vergessen. Data Analytics sind wichtige Instrumente für Unternehmen, um mehr über ihre Kunden zu erfahren. Welche Produkte oder Dienste wollen die Kunden, wie kann man Dienste oder Produkte entsprechend ändern, welche neuen Produkte sind nötig? Ein Unternehmen, das diese Fragen beantworten kann, leistet aktiven Dienst am Kunden und hat am Markt Erfolg.

Share

About Author

Michael Herrmann

Sr Solutions Architect

Michael Herrmann ist Sr Solutions Architect und Data Management Consultant bei SAS. Er berät Finanzdienstleister rund um Risiken, Governance und ihre „Vermeidung“, Presaler, PoC-Macher und Metadaten-Fan, bekehrter COBOL-Anwendungsentwickler mit abgebrochenem IT-Studium, Rheinländer im Exil, orientiert an Edward Tufte bis Scott & Douglas Adams, staunt über Deep Learning, Tabellenkalkulationen und Attributionsfehler.

Related Posts

Leave A Reply

Back to Top