Zwischenfazit zur EU-DSGVO
Alle Einfallstore schließen!
Mit der EU-DGSVO ist eine Regelung wirksam geworden, deren Umfang auf den ersten Blick kaum zu erkennen ist. Der Teufel liegt im Detail und jedes Unternehmen ist gut beraten, sich spätestens jetzt intensiv mit dem Thema zu beschäftigen. Denn: Die Abmahnbüros stehen bereits in den Startlöchern.
Es ist nicht lange her, da fand die zweijährige Übergangsregelung ein Ende und die neue EU-Datenschutzgrundverordnung trat in Kraft – europaweit für jedes Unternehmen, unabhängig von Branche und Größe. Kleine und mittlere Unternehmen, selbst Konzerne haben sich lange Zeit gelassen, die notwendigen Maßnahmen zu ergreifen. Noch immer sind viele Unternehmen längst nicht rechtskonform aufgestellt. Schon beginnt das Bangen vor den Abmahnbüros, die sich mit diesen Nachlässigkeiten eine goldene Nase verdienen wollen.
Am meisten Kopfzerbrechen bereiten vielen Organisationen momentan wohl die internen Maßnahmen im Kontext der DSGVO. Neben den technischen Lösungen und der Umsetzung in komplexen IT-Strukturen sind notwendige vollständige Dokumentationen wie zum Beispiel korrekte Löschkonzepte und IT-Sicherheitsrichtlinien wie auch das Verfahrensverzeichnis wichtig. Nicht zuletzt muss eigentlich jeder einzelne Mitarbeiter mit Bezug zu personenbezogenen Daten an praktischen Beispielen geschult werden – häufig fehlen dafür die notwendige Erfahrung und das Verständnis. Gleichzeitig ist sehr schwer festzustellen, ob das Unternehmen weiß, welche personenbezogenen Daten wo liegen und wann sie von wem und aus welchem Grund genutzt werden.
Kritische Themen fokussieren
Oft stehen Fragen im Vordergrund: Wie lange darf das Service Center Daten von Kunden oder Interessenten am PC sehen und nutzen? Wie sieht es mit der Kontaktdatenverwaltung auf den Endgeräten der im Unternehmen beschäftigten Mitarbeiter aus? Darin besteht noch eine große Ungewissheit, weil auch die meisten Geräte mit einem geschlossenen Betriebssystem mit einer privaten ID-Adresse verwaltet werden und das Unternehmen nicht eingreifen kann beziehungsweise sich erst die ID und das Passwort des Mitarbeiters geben lassen müsste. Wo also beginnen? Klar ist, für Abmahnbüros ist die Webseite mit der Datenschutzerklärung eines der ersten Einfallstore. Aber auch die Aufforderung eines Betroffenen, eine Löschung durchzuführen, kann rasch geltend gemacht werden – und damit zu einem echten Problem avancieren. Denn wenn nicht innerhalb eines Monats die Umsetzung und Beantwortung erfolgt, liegt bereits ein DSGVO-Verstoß vor. Als Fallstrick kann sich ebenfalls die unvollständige Einwilligung oder unkorrekte Widerrufsmöglichkeit etwa bei der Abmeldung von Newslettern entpuppen. Ein Abmahnbüro muss sich nur zu allen Newslettern eines Unternehmens anmelden und kurze Zeit später die Abmeldung aktivieren. Hat ein Unternehmen mehrere Newsletter-Varianten auf verschiedenen Systemen organisiert, die via IT nicht systemisch miteinander verknüpft sind, kann das dazu führen, dass die Abmeldung eines Newsletters nicht zwingend zur Abmeldung in den anderen Systemen führt. Auf diese Weise findet das Abmahnbüro im Zweifel schnell heraus, dass ein Verstoß vorliegt. Um drohenden Strafzahlungen zu entgehen, sollten Unternehmen ihre Datenschutzdokumentation deswegen dahingehend überprüfen, ob diese auch in der Praxis technisch umgesetzt werden kann und die Mitarbeiter ausreichend geschult sind.
Die größte Problematik besteht jedoch weiterhin darin, dass vieles in der EU-DSGVO nicht abschließend geklärt ist. Beim Thema „Datenportabilität“ etwa gewährt es die Verordnung jedem Bürger in der EU, seine Daten von einem Unternehmen zu einem anderen „mitzunehmen“, also zu übertragen. Es fehlt jedoch an einem geeigneten, technischen Standard. In geschlossenen Systemen wie bei Apple ist dies beispielsweise überhaupt nicht möglich. Das wirft freilich die Frage auf, wie Unternehmen mit solch einem Begehren umgehen sollen.
Für weitere Ungewissheit sorgt die fehlende exakte Definition, was ein „angemessener“ Schutz von personenbezogenen Daten überhaupt ist. Hier werden Unternehmen im Unklaren darüber gelassen, ob, wo und wie sie personenbezogene Daten in ihren IT-Systemen schützen können. Darüber hinaus ist die Anwendbarkeit der DSGVO vielen global vernetzten Unternehmen außerhalb der EU nicht bekannt oder bewusst. Das führt dazu, dass externe Kooperationsunternehmen und Lieferanten außerhalb der EU für ihre Dienstleistungen sowie die Verarbeitung oder Zulieferung von Produkten bereits Daten von EU-Bürgern erhalten. Ihnen ist indes jedoch nicht bewusst, dass hier eventuell eine zusätzliche Vereinbarung wie zum Beispiel nach den EU Standardvertragsklauseln zugrundeliegen müsste.
- Alle Einfallstore schließen!
- Externe Kompetenzen nutzen
- Checkliste: Hier wird es besonders kritisch
Lesen Sie mehr zum Thema
