Erkenntnisse und Erfahrungen nach einem Jahr DSGVO

Kaum ein Gesetz dürfte in den letzten Jahren so viel Hysterie verursacht haben wie die Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 nach einer von fast allen Marktteilnehmern selig verschlafenen Übergangszeit von zwei Jahren endlich Anwendung fand. Dabei war, gerade in Deutschland, nicht einmal alles völlig neu. Die betrieblichen Datenschutzbeauftragten blieben ebenso erhalten wie die Grundprinzipien des Datenschutzes und das Konzept des Verbots mit Erlaubnisvorbehalt. Trotzdem brachte das neue Recht eine ganze Menge Neuerungen, die sich stark auf den IT-Bereich auswirken.

Eine Bestandsaufnahme im Datenschutz

Zu den Aufgaben, die jedes Unternehmen längst hinter sich gebracht haben sollte, gehört eine umfangreiche Bestandsaufnahme der im Betrieb vorhandenen personenbezogenen Daten und der Prozesse, in deren Rahmen diese Informationen genutzt werden. Ziel dabei ist das Erstellen der „Verzeichnisse von Verarbeitungstätigkeiten“, die in Art. 30 DSGVO gefordert werden. Auch das ist nicht gänzlich neu und idealerweise können Unternehmen hierbei auf die bisherigen Verarbeitungsverzeichnisse zurückgreifen, die jedoch ergänzt werden müssen.

Die daraus entstehende Dokumenta­tion, deren Umfang je nach Unternehmensgröße zwischen Reclamheft und Schrankwand liegen kann, ist die zwar gnadenlos bürokratische, aber dennoch unverzichtbare Basis des Datenschutzes im Unternehmen. Die daraus entstehenden Unterlagen bilden die Grundlage für das Datenschutzmanagement, das jedes Unternehmen ab einer bestimmten Größe einführen sollte. Ziel dabei ist es, die gesetzlichen Anforderungen von DSGVO und Co. systematisch zu planen, zu organisieren, zu steuern und zu kontrollieren.

Hier lassen sich zudem die „Kronjuwelen“ des eigenen Datenbestandes identifizieren, die es technisch und organisatorisch besonders zu schützen gilt, also etwa Kundeninformationen. In diesem Bereich gilt es zugleich, der „Schattendatenhaltung“ den Kampf anzusagen, die berüchtigten halbgeheimen Excel-Listen den Fachabteilungen zu entreißen und beispielsweise einem zentralen und gut gesicherten CRM zuzuführen.

Ebenfalls längst fertig sein sollte die Überarbeitung der eigenen Website. Hierzu gehört als zentrale Aufgabe vor allem das Erstellen der neuen Datenschutzerklärung, deren Umfang sich bei den meisten Anbietern regelmäßig vervielfacht. Beim Formulieren der Erklärung helfen Generatoren oder spezialisierte Anwälte. Ebenfalls wichtig ist das Anpassen von Einwilligungstexten und Opt-ins, etwa bei der An­meldung zu Newslettern oder in Shops.

Rechtsunsicherheit um Cookies und Tracker

Sehr viel Rechtsunsicherheit herrscht derzeit rund um die Verwendung von Cookie-­Bannern und Trackern. Rein praktisch kommt die Nutzung solcher Angebote einer Verarbeitung personenbezogener Daten gleich. Erfasst werden mit IP-Adressen oder Cookie-Kennungen Informationen, die in den Anwendungsbereich des Datenschutzes fallen. Um sie überhaupt verarbeiten zu dürfen, muss entweder eine Einwilligung des Betroffenen vorliegen oder eine Interessenabwägung zugunsten des Verwenders vorausgehen.

An eine saubere Umsetzung einer solchen Einwilligung für ein Cookie-Banner stellt der Datenschutz allerdings sehr hohe Anforderungen. So untersuchte die bayerische Datenschutzbehörde Anfang 2019 40 Websites größerer Anbieter hinsichtlich der Verwendung von Tracking-Tools. Das Ergebnis ist ernüchternd: Nicht ein Anbieter erfüllt alle strengen Anforderungen der Behörde, sodass schlussendlich keiner der Anbieter eine wirksame Einwilligung eingeholt hat.