deen
Nexia Ebner Stolz

DSGVO: Eine erste Zwischenbilanz – kein Grund zum Ausruhen

Am 25.5.2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Die vielfach befürchtete Welle von Abmahnungen sowie die Einleitung aufsichtsrechtlicher Untersuchungsverfahren oder die Verhängung von Bußgeldern durch die Datenschutzaufsichtsbehörden ist bislang ausgeblieben.

Dies bedeu­tet jedoch nicht, dass eine Umset­zung nicht mehr erfor­der­lich ist. Die DSGVO ist gel­ten­des Recht. Unter­su­chungs­ver­fah­ren, Buß­gel­der und Abmah­nun­gen blei­ben des­halb wei­ter­hin mög­lich. Die Hände in den Schoß zu legen oder sämt­li­che Imp­le­men­tie­rungs­maß­nah­men ein­zu­s­tel­len, kann des­halb nach wie vor weit­rei­chende Kon­se­qu­en­zen nach sich zie­hen. Ver­fol­gen Sie in einem Vor­trag von Frau Dr. Chris­tiane Bie­re­ko­ven, wie Sie Haf­tungs­ri­si­ken nach der DSGVO ver­mei­den kön­nen.

DSGVO: Eine erste Zwischenbilanz – kein Grund zum Ausruhen© Unsplash

Erfah­run­gen aus DSGVO Pro­jek­ten

Die Erfah­run­gen der letz­ten Monate haben gezeigt, dass ins­be­son­dere in den Unter­neh­men, die bis­lang die Anfor­de­run­gen des alten BDSG nicht oder nur zum Teil imp­le­men­tiert hat­ten, die Bestands­auf­nahme der Daten­ver­ar­bei­tung­s­pro­zesse, ins­be­son­dere abtei­lungs- oder gesell­schafts­über­g­rei­fend sowie das Map­ping der Daten­ver­ar­bei­tung­s­pro­zesse mit der IT-Land­schaft und den unter­neh­mens­weit ein­ge­setz­ten IT-App­li­ka­tio­nen äußerst schwie­rig und auf­wän­dig war. Der hier­für erfor­der­li­che zeit­li­che und per­so­nelle Auf­wand war viel­fach unter­schätzt wor­den.

Not­wen­dig­keit der Bestands­auf­nahme

Ohne Bestands­auf­nahme kann jedoch ande­rer­seits weder ein Ver­zeich­nis der Ver­ar­bei­tung­s­tä­tig­kei­ten noch ein Lösch­kon­zept, Mel­de­ver­fah­ren für Daten­schutz­ver­let­zun­gen oder ein Pro­zess zur Sicher­stel­lung der Betrof­fe­nen­rechte imp­le­men­tiert oder kön­nen die daten­schutz­recht­li­chen Infor­ma­tio­nen for­mu­liert wer­den. Die Umset­zung die­ser Maß­nah­men, ins­be­son­dere zur Erstel­lung und Imp­le­men­tie­rung eines Lösch­kon­zep­tes, bedeu­ten noch­mals einen erheb­li­chen pro­zes­sua­len, tech­ni­schen und orga­ni­sa­to­ri­schen Auf­wand.

Anfor­de­run­gen an die Imp­le­men­tie­rung

Mit Inkraft­t­re­ten der DSGVO am 25.5.2018 ist das Risiko auf­sichts­be­hörd­li­cher Prü­fun­gen oder die Ver­hän­gung von Buß­gel­dern jedoch nicht besei­tigt, auch wenn bis­lang der Ein­druck ent­ste­hen mag, es sei „nichts pas­siert“.

Ange­sichts der Kom­ple­xi­tät der Imp­le­men­tie­rung der DSGVO und des hier­für erfor­der­li­chen zeit­li­chen, orga­ni­sa­to­ri­schen und per­so­nel­len Auf­wan­des emp­fiehlt es sich des­halb, die Bestands­auf­nahme umge­hend ein­zu­lei­ten, die Umset­zung bereits ein­ge­lei­te­ter Imp­le­men­tie­rungs­maß­nah­men fort­zu­set­zen und die ergrif­fe­nen Maß­nah­men zu doku­men­tie­ren. Sollte eine Prü­fung durch die zustän­dige Daten­schutz­auf­sichts­be­hörde ein­ge­lei­tet wer­den, ist es wesent­lich, nach­wei­sen zu kön­nen, dass die Imp­le­men­tie­rung der DSGVO ernst gemeint ist.

Chan­cen nut­zen

Auf der ande­ren Seite haben unsere Erfah­run­gen gezeigt, dass durch die Bestands­auf­nahme zahl­rei­che über­flüs­sige und unnö­t­ige Pro­zesse und Daten­ver­ar­bei­tun­gen sowie Sicher­heits­lü­cken iden­ti­fi­ziert wur­den, die im Rah­men der Imp­le­men­tie­rungs­phase abge­s­tellt, ver­schlankt, neu orga­ni­siert und auf­ge­setzt sowie abge­si­chert wer­den kön­nen.

Zug­leich bot die Bewer­tung der iden­ti­fi­zier­ten Daten­ver­ar­bei­tung­s­pro­zesse die Gele­gen­heit, daten­schutz­recht­li­che Anfor­de­run­gen, wie ins­be­son­dere die­je­ni­gen im Bereich Online-/Off­line-Wer­bung und Direkt­mar­ke­ting neu zu bewer­ten und die darin lie­gende Chance zu nut­zen, diese Pro­zesse wo mög­lich zu ver­ein­fa­chen und neu auf­zu­set­zen.

Vor­be­rei­tung auf künf­tige Prü­fun­gen

Ins­ge­s­amt emp­fiehlt es sich für alle Unter­neh­men, die noch nicht oder nur zum Teil mit der Imp­le­men­tie­rung der DSGVO begon­nen haben, dies kon­se­qu­ent in Angriff zu neh­men oder fort­zu­füh­ren. Es steht zu erwar­ten, dass Prü­fun­gen der Daten­schutz­auf­sichts­be­hör­den noch im Ver­laufe die­ses Jah­res ein­ge­lei­tet wer­den. Untä­tig­keit kann zur Ein­lei­tung weit­rei­chen­der Unter­su­chungs­maß­nah­men füh­ren, sch­limms­ten­falls zur Unter­sa­gung von Daten­ver­ar­bei­tung­s­pro­zes­sen und zusätz­lich zur Ver­hän­gung von Buß­gel­dern.

Auf der ande­ren Seite sollte jedoch auch der posi­tive Effekt einer sol­chen Imp­le­men­tie­rung nicht unter­schätzt wer­den. Es bie­tet sich hier­mit die Chance, die Pro­zess­land­schaft auf­zu­räu­men, zu ver­schlan­ken, abzu­si­chern und die Chan­cen der Neu­be­wer­tung daten­schutz­recht­li­cher Vor­gänge und ihrer Ver­ein­fa­chung zu nut­zen.

Maß­nah­men­ka­ta­log

Fol­gende Maß­nah­men soll­ten umge­setzt wer­den:

  1. Bestand­auf­nahme sämt­li­cher Daten­ver­ar­bei­tung­s­pro­zesse
  2. Erstel­lung eines Ver­zeich­nis­ses der Ver­ar­bei­tung­s­tä­tig­kei­ten und eines Lösch­kon­zep­tes
  3. Imp­le­men­tie­rung von Mel­de­ver­fah­ren bei Daten­schutz­ver­let­zun­gen
  4. Imp­le­men­tie­rung eines Pro­zes­ses zur Sicher­stel­lung der Betrof­fe­nen­rechte
  5. Auf­stel­lung sämt­li­cher inter­ner und exter­ner Auf­trags­ver­ar­bei­ter
  6. Aktua­li­sie­rung und Neu­er­stel­lung von Ver­ein­ba­run­gen zur Auf­trags­ver­ar­bei­tung
  7. Prü­fung der Anfor­de­run­gen an das Direkt-Mar­ke­ting und Ein­wil­li­gung­s­er­klär­un­gen
  8. Prü­fung und gege­be­nen­falls Anpas­sung von Infor­ma­ti­ons­sch­rei­ben an Kun­den, Lie­fe­r­an­ten und Beschäf­tigte
  9. Prü­fung und Anpas­sung der tech­nisch orga­ni­sa­to­ri­schen Maß­nah­men
  10. Daten­schutz­fol­gen­ab­schät­zung
  11. Über­prü­fung der Anfor­de­run­gen von Pri­vacy-by-Design/-Default

Fazit

Die Imp­le­men­tie­rung der DSGVO ist noch nicht abge­sch­los­sen. Sämt­li­che vor ihrem Inkraft­t­re­ten dis­ku­tier­ten und befürch­te­ten Maß­nah­men, wie daten­schutz­auf­sichts­recht­li­che Unter­su­chungs­ver­fah­ren, die Ver­hän­gung von Buß­gel­dern und Abmah­nun­gen, blei­ben mög­lich. Des­halb ris­kiert, wer untä­tig bleibt, emp­find­li­che Sank­tio­nen und gege­be­nen­falls Abmah­nun­gen. Zug­leich wird so die Mög­lich­keit ver­passt, Pro­zesse zu ver­schlan­ken, neu auf­zu­set­zen, abzu­si­chern und die Chan­cen der daten­schutz­recht­li­chen Neu­be­wer­tung zu erken­nen und zu nut­zen.


nach oben