Umsetzung der DSGVO in der Praxis10 Punkte für das sichere Scheitern (ein nicht ganz ernstes Fazit)
Die DSGVO ist jetzt seit etwa drei Monaten durch. Und gefühlt haben auch die meisten Unternehmen damit abgeschlossen. Doch auch, wenn man zum Stichtag alle Voraussetzungen für die DSGVO erfüllt hatte, so ist das kein Garant dafür, dass man die nächsten fünf Jahre nichts mehr von der DSGVO hört, geschweige denn zum Thema Datenschutz. Denn nichts ist in unserer modernen Welt so beständig wie die Unbeständigkeit. Unter dem Motto „10 Punkte für das sichere Scheitern“ hat Martin Aschoff hier noch mal die wichtigsten Fakten zusammengetragen, damit Sie auch längerfristig im Einklang mit dem Datenschutz leben. Wir wünschen viel Spaß mit unserer ironischen 10 Punkte Checkliste DSGVO.
Unsere Empfehlungen zum sicheren Scheitern
1. Lesen aber nicht hinterfragen oder nachprüfen
Die Strategie einfach mal das zu tun, was man mal irgendwo gelesen hat oder was selbst ernannte Experten empfehlen, kann schnell zum Scheitern verurteilt sein. Denn Berichte und Anleitungen gibt es mittlerweile zur Genüge für die DSGVO. Doch leider sind darunter viele Halbwahrheiten und Mythen. Schnell passiert es, dass man fünf Artikel gelesen hat und danach genau so schlau ist wie zuvor, weil in jedem Artikel etwas anderes steht bzw. eine andere Empfehlung gegeben wird. Dazu kommt, dass von bestimmten Stellen, wie Beratern und Kanzleien, absichtlich eine gewisse Panik erzeugt wird, um sich das Geschäft für die nächste Zeit zu sichern.
Aber wie weiß man, was stimmt und was nicht? Als Erstes sollte man überprüfen, woher bestimmte Artikel und Empfehlungen überhaupt stammen. Gerade bei Online-Artikel handelt es sich oft nicht um Informationen aus erster Hand, sondern um Beiträge, die von größeren Medien stammen. Dabei kann es schnell passieren, dass ein Zusammenhang nicht mehr ganz richtig dargestellt wird. Daher sollte, wenn möglich, immer die Primärquelle gelesen werden. Vergessen Sie dabei auch nicht, die Seriosität der Quelle. Ein Fachmagazin ist sicher kompetenter als die Zeitung mit den vier großen Buchstaben. Wenn Sie eine in diesem Fachgebiet kompetente Anwaltskanzlei rufbereit haben, bekommen Sie sicher die verbindlichsten Antworten. Eine weitere Möglichkeit ist der Austausch mit anderen Betroffenen (Unternehmen). Was für Erfahrungen haben diese gesammelt? Wie sind diese an die Sache herangegangen? So können Sie von den Erfahrungen anderer profitieren.
2. Mein Anwalt kümmert sich um das Thema
Klar kann man seinem Anwalt die wichtigsten Sachen zur Prüfung geben, aber die DSGVO ist nicht nur ein Thema, das allein der Anwalt bewältigen kann. Zum einen sind die fachkundigen Anwälte, gerade sehr ausgelastet, was durchaus zu Verzögerungen führen kann. Zum anderen kann es passieren, dass Sie Empfehlungen bekommen, die nicht mit Ihrer Unternehmenspraxis vereinbar sind oder schon weiter greifen als erforderlich. Das Thema DSGVO muss zudem im gesamten Unternehmen umgesetzt werden. Das fängt schon damit an, dass keine Kundendaten offen herumliegen dürfen oder personenbezogene Daten unverschlüsselt per E-Mail versendet werden. Das kann Ihr Anwalt nicht für Sie übernehmen.
3. Meine Auftragsverarbeiter kümmern sich um das Thema
Wenn sich Ihr Auftragsverarbeiter in Deutschland oder zumindest in der EU befindet, dürften Sie guten Gewissens mit der Aussage durchkommen. Aber wie sieht es aus, wenn dieser nicht in der EU ist? Da wird die Sache schon komplizierter. Denn ein Unternehmen, das beispielsweise in der Türkei sitzt, wird das EU-Recht relativ wenig interessieren und selbst wenn man Ihnen hier entgegenkommt, ist die ausreichende rechtliche Sicherheit wohl eher fraglich. Ein weiterer Unsicherheitsfaktor ist das Noch-EU-Land Großbritannien. Denn sollte es tatsächlich zum Brexit kommen, ist fraglich, ob die Briten die DSGVO für sich übernehmen. Und natürlich gibt es noch die USA, die mit ihrem CLOUD Act großes Konfliktpotenzial mit der DSGVO produziert. Übrigens sind Sie in dem Fall nicht nur betroffen, wenn Sie einen US-Autragsverarbeiter nutzen, dies gilt ebenso für deren ausländische Tochtergesellschaften.
Mehr zum Thema CLOUD Act finden Sie hier.
4. Datenschutz interessiert meine Kunden nicht (die teilen eh alles)
Wer das wirklich glaubt, geht nicht nur sehr naiv mit dem Thema Datenschutz um, sondern handelt grob fahrlässig. Sicher gibt es immer einige, die keinen allzu großen Wert auf das Thema legen, aber davon darf nicht im Allgemeinen ausgegangen werden. Gerade im Zuge der immer wiederkehrenden Datenskandale sind die meisten deutlich sensibler für das Thema Datenschutz geworden. Klar gibt es auch die Leute, die ihr gesamtes Leben über Social Media ausbreiten, aber in der Regel wird eher nur die Schokoladenseite präsentiert, also ganz gezielt ausgewählte Informationen. Zudem erzeugt ein verantwortungsvoller und transparenter Umgang mit Daten Vertrauen und das ist die Grundlage, damit Ihr Kunde auch weiterhin Ihr Kunde bleibt.
5. Einwilligungen durch Bestechung oder Erpressung erkaufen
Ganz clevere Anbieter könnten versucht sein, die Einwilligung ihrer Interessenten und Kunden durch Bestechung (z.B. in Form von Gutscheinen) zu erreichen oder sogar subtile Techniken der Erpressung anzuwenden (z.B. gewisse Zahlungsarten nur gegen Einwilligung).
Dies ist aber mit der EU-DSGVO ganz klar nicht mehr möglich (Artikel 7, Absatz 4). So klagt beispielsweise Maximilian Schrems (ein österreichischer Datenschutzaktivist) gerade gegen Facebook, weil er der Meinung ist, dass Facebook für die Eröffnung eines Kontos zu viele Einwilligungen vom Nutzer fordert, die für den Betrieb eines Facebook-Kontos nicht unbedingt erforderlich wären.
Es gibt allerdings Grauzonen, was noch als überzeugendes Argument für eine Einwilligung und noch nicht als Bestechung angesehen werden kann. Hier fragen Sie am besten Ihren Anwalt oder warten auf die ersten Gerichtsurteile zum Thema, denn die werden kommen (siehe Facebook).
6. Auf das Recht auf Auskunft nicht vorbereitet sein
Haben Sie schon erste Auskunftsanfragen über die von Ihnen gespeicherten Kundendaten erhalten? Nein? Dann haben Sie bisher Glück gehabt! Denn nach der DSGVO hat jeder das Recht, Auskunft darüber zu erhalten, welche Daten von einem gespeichert sind – selbst dann, wenn keinerlei Daten gespeichert wurden.
Klar bekommen Sie es hin, mal eine einzelne Anfrage zu beantworten, aber was ist, wenn es mehr werden? Bevor es so weit kommt, sollte dringend darüber nachgedacht werden, wie man im Unternehmen einen möglichst automatisierten Auskunftsprozess implementieren kann und das am besten gestern wie morgen. Denn gerade bei mehreren Anfragen ist ein Monat, den Sie laut DSGVO zur Auskunft Zeit haben, nicht lang. Daher sollte so viel wie möglich digitalisiert und automatisiert ablaufen, schon allein um die eigenen personellen Ressourcen nicht mit unnötigen Aufgaben zu belasten. Die an den Anfragenden übermittelten Daten müssen übrigens digital verarbeitbar sein.
7. Widersprüche und Löschaufträge gedankenlos umsetzen
Alles könnte so einfach sein… Wenn einer sagt, wir sollen seine Daten löschen, dann löschen wir eben alle seine Daten… Doch so einfach ist es leider nicht. Denn bei den Daten muss unterschieden werden, ob diese eventuell unter bestimmten Voraussetzungen nochmals benötigt werden oder auch nicht. Benötigt werden können bestimmte Daten z.B. noch für die Erfüllung von rechtlichen Verpflichtungen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. In diesen Fällen ist somit eine Löschung der Daten nicht erforderlich und damit der Verarbeitungswiderspruch oder ein Löschauftrag ungültig.
8. Glauben, dass man mit der DSGVO-Umsetzung fertig ist
Es gibt Sachen, die haben nie ein Ende. Die Umsetzung von Datenschutzrichtlinien gehört mit dazu. Denn immer wieder kann es zu kleinen rechtlichen Änderungen kommen oder der Stand der Technik ist nicht mehr der aktuellste und muss überholt werden. Zudem muss jeder ein Verzeichnis seiner Verarbeitungstätigkeiten führen und dieses pflegt sich leider auch nicht von selbst. So kommt es hier immer wieder zu Änderungen, wie z.B. Auftragsverarbeiter, die neu hinzukommen.
9. Meldungen an die Aufsichtsbehörde „vergessen“
Schon mal vorab: das „Sorry, hab ich leider vergessen“ kommt hier nicht so gut. Damit es nicht zu Eskalationen kommt, sollte am besten schon vorher ein Notfallplan für die Datenausspähung aufgestellt werden. Sollte es zu meldepflichtigen Vorfällen kommen, ist immer zuerst einmal der betriebliche Datenschutzbeauftragte zu informieren. Danach sollte geprüft werden, ob eine “Verletzung voraussichtlich nicht zu Risiken für die Rechte und Freiheiten von Personen führt”. Denn in diesem Fall müsste die Datenschutzbehörde nicht informiert werden.
10. EU-DSGVO so weit wie möglich ignorieren, denn Datenschützer haben die „Großen im Visier“
Im Prinzip ist diese Aussage nicht ganz falsch. Denn in erster Linie geht es den Datenschützern darum, gerade Unternehmen wie Facebook, Google & Co. zu treffen und zum Umdenken zu bewegen. Diese haben bisher keinen großen Wert darauf gelegt, wo irgendwelche Daten landen. Das ist aber kein Freifahrtschein. Denn Aufsichtsbehörden müssen jeder Beschwerde nachgehen, egal ob es sich dabei um einen Großkonzern oder um eine 10-Mann-Firma handelt. Übrigens: Wer den Behörden in der Vergangenheit bereits aufgefallen ist, sollte besonders vorsichtig sein, denn solche Unternehmen werden sicher zuerst geprüft.
Haben Sie sich hier wieder gefunden und brauchen vielleicht auch noch Unterstützung bei der rechtskonformen Umsetzung der DSGVO? Dann besuchen Sie uns doch auf der dmexco. Hier zeigen wir Ihnen, wie es mit dem DSGVO-konformen E-Mail-Marketing klappt.
Weitere Beiträge zum Thema Datenschutz und DSGVO finden Sie hier: