Am meisten Kopfzerbrechen bereiten vielen Organisationen momentan wohl die internen Maßnahmen im Kontext der DGSVO. Neben den technischen Lösungen und der Umsetzung in komplexen IT-Strukturen, sind notwendige vollständige Dokumentationen wie zum Beispiel korrekte Löschkonzepte und IT-Sicherheitsrichtlinien wie auch das Verfahrensverzeichnis wichtig. Nicht zuletzt muss eigentlich jeder einzelne Mitarbeiter mit Bezug zu personenbezogenen Daten an praktischen Beispielen geschult werden – häufig fehlen hier die notwendige Erfahrung und das Verständnis. Gleichzeitig ist sehr schwer festzustellen, ob das Unternehmen weiß, welche personenbezogenen Daten wo liegen und wann sie von wem und aus welchem Grunde genutzt werden.

Es werden dringend Antworten auf diese scheinbar einfachen Fragen gesucht: Wie lange darf das Service Center Daten von Kunden oder Interessenten am PC sehen und nutzen? Wie sieht es mit der Kontaktdatenverwaltung auf den Endgeräten der im Unternehmen beschäftigten Mitarbeiter aus?

Hier besteht noch eine große Ungewissheit, weil auch die meisten Geräte mit einem geschlossenen Betriebssystem und mit einer privaten ID-Adresse verwaltet werden und das Unternehmen hier nicht eingreifen kann bzw. sich erst die ID und das Passwort des Mitarbeiters geben lassen müsste.

Wie können sich Organisationen nun dauerhaft rechtssicher durch das Labyrinth von Unklarheiten bewegen? Jede Organisation, die mehr als zehn Mitarbeiter hat, muss und sollte sich zunächst einmal einen Datenschutzbeauftragten mit ausreichender Erfahrung an Bord holen – und nicht nur formal einen Mitarbeiter benennen, der sich theoretisch um das Thema kümmert. Bei der Überprüfung, ob technische und organisatorische Maßnahmen aber auch wirksame Löschkonzepte und IT-Sicherheitsrichtlinien greifen, kann die eigene IT bis zu einem gewissen Grad bemüht werden.

In der Regel helfen hier jedoch die erfahrenen Augen externer Experten schneller und kostengünstiger. Beratungshäuser, wie beispielsweise die expertplace compliance services GmbH, testen die Rechtssicherheit der getroffenen Maßnahmen auf Herz und Nieren und erstellen mit ihren Kunden gemeinsam tragfähige Konzepte, die nicht nur heute, sondern auch morgen praktikabel umsetzbar und vor allem rechtssicher sind.

Insbesondere im Kontext internationaler Aktivitäten sollte jedes Unternehmen zudem die richtigen Lösungen zur Einhaltung des Datenaustauschs durchleuchten. Oftmals entstehen Verstöße schon durch den Einsatz einer elektronischen Umfrage-Website, die außerhalb der EU liegt. Wenn eine Marketingabteilung dort beispielsweise alle E-Mail Adressen eingibt, um eine Umfrage via Monkey Survey zu initiieren, muss vorher geprüft werden, welche Datenschutzvorgaben dieser Anbieter erfüllt. Maßnahmen wie etwa Investitionen in regelmäßige Schulungen der Mitarbeiter und IT-Sicherheitslösungen helfen zudem dabei, Organisationen auch dauerhaft rechtskonform zu halten. Bei mittelständischen Unternehmen wird die Gewährleistung eines umfassenden und rechtskonformen Datenschutzkonzepts aus Kostensicht allerdings durchaus zu einer ökonomischen Herausforderung. Hier kann das Budget durch externe Unterstützung geschont werden, weil interne Ressourcen ohne ausreichende Erfahrung nicht eingebunden werden müssen.

Wo also beginnen? Klar ist, für Abmahnbüros ist die Homepage mit der Datenschutzerklärung eines der ersten Einfallstore. Aber auch die Aufforderung eines Löschbegehrens eines Betroffenen kann rasch geltend gemacht werden – und damit zu einem echten Problem avancieren. Denn wenn nicht innerhalb eines Monats die Umsetzung und Beantwortung erfolgt, liegt bereits ein DSGVO-Verstoß vor. Als Fallstrick kann sich ebenfalls die unvollständige Einwilligung oder unkorrekte Widerrufsmöglichkeit etwa bei der Abmeldung von Newslettern entpuppen. Ein Abmahnbüro muss sich nur zu allen Newslettern eines Unternehmens anmelden und kurze Zeit später die Abmeldung aktivieren.

Hat ein Unternehmen mehrere Newsletter Varianten auf verschiedenen Systemen organisiert, die via IT nicht systemisch miteinander verknüpft sind, kann das dazu führen, dass die Abmeldung eines Newsletters nicht zwingend zur Abmeldung in den anderen Systemen führt. Auf diese Weise findet das Abmahnbüro im Zweifel schnell heraus, dass ein Verstoß vorliegt. Um drohenden Strafzahlungen zu entgehen, sollten Unternehmen ihre Datenschutz-Dokumentation deswegen dahingehend überprüfen, ob diese auch in der Praxis technisch umgesetzt werden kann und die Mitarbeiter ausreichend geschult sind. Auch die richtige technische Umsetzung sollte dabei adäquat überprüft werden.

Die größte Problematik besteht jedoch weiterhin insbesondere darin, dass vieles in der EU-DSGVO nicht abschließend geklärt ist. Beim Thema „Datenportabilität“ etwa gewährt die DSGVO jedem Bürger in der EU seine Daten von einem Unternehmen zu einem anderen „mitzunehmen“, also zu übertragen. Es fehlt jedoch an einem geeigneten, technischen Standard. In geschlossenen Systemen wie bei Apple ist dies beispielsweise überhaupt nicht möglich. Das wirft die Frage auf, wie Unternehmen mit solch einem Begehren umgehen sollen. Für weitere Ungewissheit sorgt die unbestimmte Definition was ein „angemessener“ Schutz von personenbezogenen Daten überhaupt bedeutet.

Hier werden Unternehmen im Unklaren darüber gelassen, ob, wo und wie sie personenbezogene Daten in ihren IT-Systemen schützen können. Auch außerhalb der EU ist die Anwendbarkeit der DSGVO vielen global vernetzten Unternehmen nicht bekannt oder bewusst. Das führt dazu, dass externe Kooperationsunternehmen und Lieferanten außerhalb der EU für ihre Dienstleistungen sowie die Verarbeitung oder Zulieferung von Produkten bereits Daten von EU-Bürgern erhalten. Ihnen ist indes jedoch nicht bewusst, dass hier eventuell eine zusätzliche Vereinbarung wie zum Beispiel nach den Standardvertragsklauseln zugrunde liegen müsste.

• Einwilligung, Widerruf und Widerspruch richtig sortiert und technisch korrekt angelegt.
• Verfahrenstätigkeit und vollständige Übersicht aller Datenverarbeitungsprozesse.
• Technische und organisatorische Maßnahmen tatsächlich überprüft.
• Richtige Verschlüsselung.
• Löschkonzept und tatsächliches Löschen gewährleistet.

• Penetrationstest für eine ausreichende IT Sicherheit in regelmäßigen Abständen durchgeführt.
• Externer IT Dienstleister eines Unternehmens mit geeigneter ISO Zertifizierung versehen.
• Auswahl des geeigneten Datenschutzbeauftragten.
• Alle internationalen Aktivitäten auf DSGVO-Konformität prüfen

Die DSGVO ist bei näherer Betrachtung sicherlich nicht mehr das Schreckgespenst, das es zu sein schien, vorausgesetzt die Thematik wird konstruktiv, vollumfänglich und zeitnah behandelt. Nur auf diese Weise ist sie wirklich beherrschbar. Fakt ist auch, es gibt kein Patentrezept. Viel zu viele Grauzonen bedürfen einer weiteren Klärung. Am Ende des Tages helfen auch Checklisten lediglich dabei mögliche Herausforderungen zu erkennen und wenn notwendig frühzeitig gegenzusteuern.

Dabei sollte jedem Verantwortlichen klar sein, dass nicht alle Anforderungen intern gelöst werden müssen. Externe Erfahrungsträger schaffen hier mitunter schneller und im Endeffekt kostengünstigere, rechtssichere Perspektiven für die eigene Datenschutzkonformität.

Autor: Anastasios Papadopoulos, Managing Director, expertplace compliance services GmbH