DSGVO: Eine erste Zwischenbilanz – kein Grund zum Ausruhen

Dies be­deu­tet je­doch nicht, dass eine Um­set­zung nicht mehr er­for­der­lich ist. Die DS­GVO ist gel­ten­des Recht. Un­ter­su­chungs­ver­fah­ren, Bußgelder und Ab­mah­nun­gen blei­ben des­halb wei­ter­hin möglich. Die Hände in den Schoß zu le­gen oder sämt­li­che Im­ple­men­tie­rungsmaßnah­men ein­zu­stel­len, kann des­halb nach wie vor weit­rei­chende Kon­se­quen­zen nach sich zie­hen. Ver­fol­gen Sie in einem Vor­trag von Frau Dr. Chris­tiane Bie­re­ko­ven, wie Sie Haf­tungs­ri­si­ken nach der DS­GVO ver­mei­den können.

© Unsplash

Erfahrungen aus DSGVO Projekten

Die Er­fah­run­gen der letz­ten Mo­nate ha­ben ge­zeigt, dass ins­be­son­dere in den Un­ter­neh­men, die bis­lang die An­for­de­run­gen des al­ten BDSG nicht oder nur zum Teil im­ple­men­tiert hat­ten, die Be­stands­auf­nahme der Da­ten­ver­ar­bei­tungs­pro­zesse, ins­be­son­dere ab­tei­lungs- oder ge­sell­schaftsüberg­rei­fend so­wie das Map­ping der Da­ten­ver­ar­bei­tungs­pro­zesse mit der IT-Land­schaft und den un­ter­neh­mens­weit ein­ge­setz­ten IT-Ap­pli­ka­tio­nen äußerst schwie­rig und aufwändig war. Der hierfür er­for­der­li­che zeit­li­che und per­so­nelle Auf­wand war viel­fach un­ter­schätzt wor­den.

Notwendigkeit der Bestandsaufnahme

Ohne Be­stands­auf­nahme kann je­doch an­de­rer­seits we­der ein Ver­zeich­nis der Ver­ar­bei­tungstätig­kei­ten noch ein Löschkon­zept, Mel­de­ver­fah­ren für Da­ten­schutz­ver­let­zun­gen oder ein Pro­zess zur Si­cher­stel­lung der Be­trof­fe­nen­rechte im­ple­men­tiert oder können die da­ten­schutz­recht­li­chen In­for­ma­tio­nen for­mu­liert wer­den. Die Um­set­zung die­ser Maßnah­men, ins­be­son­dere zur Er­stel­lung und Im­ple­men­tie­rung ei­nes Löschkon­zep­tes, be­deu­ten noch­mals einen er­heb­li­chen pro­zes­sua­len, tech­ni­schen und or­ga­ni­sa­to­ri­schen Auf­wand.

Anforderungen an die Implementierung

Mit In­kraft­tre­ten der DS­GVO am 25.5.2018 ist das Ri­siko auf­sichts­behörd­li­cher Prüfun­gen oder die Verhängung von Bußgel­dern je­doch nicht be­sei­tigt, auch wenn bis­lang der Ein­druck ent­ste­hen mag, es sei „nichts pas­siert“.

An­ge­sichts der Kom­ple­xität der Im­ple­men­tie­rung der DS­GVO und des hierfür er­for­der­li­chen zeit­li­chen, or­ga­ni­sa­to­ri­schen und per­so­nel­len Auf­wan­des emp­fiehlt es sich des­halb, die Be­stands­auf­nahme um­ge­hend ein­zu­lei­ten, die Um­set­zung be­reits ein­ge­lei­te­ter Im­ple­men­tie­rungsmaßnah­men fort­zu­set­zen und die er­grif­fe­nen Maßnah­men zu do­ku­men­tie­ren. Sollte eine Prüfung durch die zuständige Da­ten­schutz­auf­sichts­behörde ein­ge­lei­tet wer­den, ist es we­sent­lich, nach­wei­sen zu können, dass die Im­ple­men­tie­rung der DS­GVO ernst ge­meint ist.

Chancen nutzen

Auf der an­de­ren Seite ha­ben un­sere Er­fah­run­gen ge­zeigt, dass durch die Be­stands­auf­nahme zahl­rei­che überflüssige und unnötige Pro­zesse und Da­ten­ver­ar­bei­tun­gen so­wie Si­cher­heitslücken iden­ti­fi­ziert wur­den, die im Rah­men der Im­ple­men­tie­rungs­phase ab­ge­stellt, ver­schlankt, neu or­ga­ni­siert und auf­ge­setzt so­wie ab­ge­si­chert wer­den können.

Zu­gleich bot die Be­wer­tung der iden­ti­fi­zier­ten Da­ten­ver­ar­bei­tungs­pro­zesse die Ge­le­gen­heit, da­ten­schutz­recht­li­che An­for­de­run­gen, wie ins­be­son­dere die­je­ni­gen im Be­reich On­line-/Offline-Wer­bung und Di­rekt­mar­ke­ting neu zu be­wer­ten und die darin lie­gende Chance zu nut­zen, diese Pro­zesse wo möglich zu ver­ein­fa­chen und neu auf­zu­set­zen.

Vorbereitung auf künftige Prüfungen

Ins­ge­samt emp­fiehlt es sich für alle Un­ter­neh­men, die noch nicht oder nur zum Teil mit der Im­ple­men­tie­rung der DS­GVO be­gon­nen ha­ben, dies kon­se­quent in An­griff zu neh­men oder fort­zuführen. Es steht zu er­war­ten, dass Prüfun­gen der Da­ten­schutz­auf­sichts­behörden noch im Ver­laufe die­ses Jah­res ein­ge­lei­tet wer­den. Untätig­keit kann zur Ein­lei­tung weit­rei­chen­der Un­ter­su­chungsmaßnah­men führen, schlimms­ten­falls zur Un­ter­sa­gung von Da­ten­ver­ar­bei­tungs­pro­zes­sen und zusätz­lich zur Verhängung von Bußgel­dern.

Auf der an­de­ren Seite sollte je­doch auch der po­si­tive Ef­fekt ei­ner sol­chen Im­ple­men­tie­rung nicht un­ter­schätzt wer­den. Es bie­tet sich hier­mit die Chance, die Pro­zess­land­schaft auf­zuräumen, zu ver­schlan­ken, ab­zu­si­chern und die Chan­cen der Neu­be­wer­tung da­ten­schutz­recht­li­cher Vorgänge und ih­rer Ver­ein­fa­chung zu nut­zen.

Maßnahmenkatalog

Fol­gende Maßnah­men soll­ten um­ge­setzt wer­den:

1. Be­stan­dauf­nahme sämt­li­cher Da­ten­ver­ar­bei­tungs­pro­zesse
2. Er­stel­lung ei­nes Ver­zeich­nis­ses der Ver­ar­bei­tungstätig­kei­ten und ei­nes Löschkon­zep­tes
3. Im­ple­men­tie­rung von Mel­de­ver­fah­ren bei Da­ten­schutz­ver­let­zun­gen
4. Im­ple­men­tie­rung ei­nes Pro­zes­ses zur Si­cher­stel­lung der Be­trof­fe­nen­rechte
5. Auf­stel­lung sämt­li­cher in­ter­ner und ex­ter­ner Auf­trags­ver­ar­bei­ter
6. Ak­tua­li­sie­rung und Neu­er­stel­lung von Ver­ein­ba­run­gen zur Auf­trags­ver­ar­bei­tung
7. Prüfung der An­for­de­run­gen an das Di­rekt-Mar­ke­ting und Ein­wil­li­gungs­erklärun­gen
8. Prüfung und ge­ge­be­nen­falls An­pas­sung von In­for­ma­ti­ons­schrei­ben an Kun­den, Lie­fe­ran­ten und Be­schäftigte
9. Prüfung und An­pas­sung der tech­ni­sch or­ga­ni­sa­to­ri­schen Maßnah­men
10. Da­ten­schutz­fol­gen­ab­schätzung
11. Überprüfung der An­for­de­run­gen von Pri­vacy-by-De­sign/-De­fault

Fazit

Die Im­ple­men­tie­rung der DS­GVO ist noch nicht ab­ge­schlos­sen. Sämt­li­che vor ih­rem In­kraft­tre­ten dis­ku­tier­ten und befürch­te­ten Maßnah­men, wie da­ten­schutz­auf­sichts­recht­li­che Un­ter­su­chungs­ver­fah­ren, die Verhängung von Bußgel­dern und Ab­mah­nun­gen, blei­ben möglich. Des­halb ris­kiert, wer untätig bleibt, emp­find­li­che Sank­tio­nen und ge­ge­be­nen­falls Ab­mah­nun­gen. Zu­gleich wird so die Möglich­keit ver­passt, Pro­zesse zu ver­schlan­ken, neu auf­zu­set­zen, ab­zu­si­chern und die Chan­cen der da­ten­schutz­recht­li­chen Neu­be­wer­tung zu er­ken­nen und zu nut­zen.