Seit dem 25.05.2018 ist es um die Datenschutz-Grundverordnung DSGVO recht ruhig geworden. War alles nur Panikmache und heiße Luft? Oder kommt der große Knall erst?

Im Interview mit Thiemo Sammern werden die wichtigsten Fragen beantwortet und Irrtümer aufgeklärt:

War der Hype um die Datenschutz-Grundverordnung DSGVO nur heiße Luft? Wie ist denn jetzt der Stand?
Muss tatsächlich automatisch gelöscht werden?
Wozu braucht man einen Datenschutzbeauftragten und was macht so einer eigentlich den ganzen Tag?
Wie berechnen sich die Bußgelder?
Was haben richtige Daten mit der Datenschutz-Grundverordnung DSGVO zu tun?
Was bedeutet eigentlich „Stand der Technik“?

Thiemo Sammern ist zertifizierter Datenschutzbeauftragter, Autor und Vortragender. Er und seine Kollegen beraten Unternehmen verschiedener Größe (von 10 bis 10.000 Mitarbeiter) in Österreich und Deutschland bei der Umsetzung der Datenschutzgrundverordnung.

Unser besonderes Angebot für Leser des DEEynamics-Blogs:

Bei direkter Kontaktaufnahme mit Thiemo Sammern oder durch Ausfüllen des Kontaktformulares erhalten Sie durch Nennung des Angebotscodes „DEEynamics“ eine kostenlose Datenschutzeinschätzung ihrer Website (Startseite) sowie der darauf befindlichen Datenschutzerklärung.

More...

Dennstedt: Datenschutz-Grundverordnung DSGVO war das „Unwort des Jahre 2018“. Wie geht es Ihnen dabei, wenn Sie so etwas hören bzw. lesen?

Sammern: Auf der einen Seite schmerzt es natürlich, denn ich finde Datenschutz aus einer Vielzahl von Gründen sehr wichtig. Auf der anderen Seite verstehe ich es, denn auch ich bin teilweise völlig genervt von der Unmenge an Einwilligungen und Datenschutzerklärungen, den Cookie-Bannern, etc. mit denen man sich als normaler Konsument tagtäglich beschäftigen soll.

Dazu kommt noch, dass sich sehr viele Unternehmen nur sehr oberflächlich mit der DSGVO auseinandergesetzt haben und vieles davon entweder gar nicht notwendig wäre oder viel kundenfreundlicher umgesetzt werden könnte. Darum ist die Erstellung von Datenschutzerklärungen nur ein Punkt auf unserer Checklist der DSGVO-Vorbereitungen.

Dennstedt: Wieso „Einwilligungen sind nicht notwendig“? Man liest doch sehr oft, dass für jede Verarbeitung eine Einwilligung vorhanden sein muss.

Sammern: Über die DSGVO wurde viel Unwissen und Halbwissen verbreitet. Die Einwilligung ist nur eine von sechs möglichen Rechtsgrundlagen und sehr oft nicht die beste, denn es ist gar nicht so leicht eine gültige Einwilligung zu bekommen, die alle Kriterien des Artikel 7 DSGVO erfüllt.

Die Grundprinzipien der DSGVO sind recht schnell erklärt. Der Teufel liegt dann halt oft im Detail. Viele Unternehmen haben die zweijährige Übergangsfrist nicht genutzt, sondern erst in den letzten Monaten vor dem 25.05.2018 verschiedene Datenschutzerklärungen und Dokumentationen erstellt, die dahinter liegenden Prozesse jedoch meist nicht angepasst. Es besteht ein relativ großes Risiko, dass sich das rächt.

Dennstedt: Von Bußgeldern hört man aber gerade in Österreich recht wenig.

Sammern: Das stimmt, aber das bedeutet nicht, dass es keine Bußgelder gibt. Es ist nicht unbedingt die Aufgabe einer Aufsichtsbehörde einen öffentlichen Pranger aufzubauen. Daher werden Fälle nur dann bekannt, wenn sie entweder weit verbreitete Praktiken betreffen oder besonders in der Öffentlichkeit stehende Unternehmen betreffen, wie im Fall der Österreichischen Post, welcher ein Bußgeld von 18,5 Mio. EUR auferlegt worden ist. In Deutschland wird das etwas anders gesehen. Die Fälle von 1&1 (Bußgeld 9,95 Mio. Euro; Anm.) oder der Wohnungsgesellschaft „Deutsche Wohnen“ (Bußgeld 14,5 Mio. Euro; Anm.) sollen natürlich auch eine Signalwirkung haben.

Außerdem darf man nicht vergessen, dass es oft viele Monate dauert, bis aus einer Beschwerde bei der Aufsichtsbehörde alle Informationen zu einem Fall vorliegen, alle Seiten gehört sind und eine Entscheidung gefällt wird.

Über Österreich und Deutschland verteilt laufen derzeit tausende Verfahren, die erst Stück für Stück abgeschlossen werden.

Dennstedt: Und wie berechnen sich die Bußgelder eigentlich?

Sammern: Die Datenschutzbehörden in Deutschland wenden seit einigen Wochen ein gemeinsam erdachtes Berechnungsmodell an, das recht kontrovers diskutiert wird. Es soll auch dazu eine europaweite Harmonisierung geben, denn es sollte ja nicht sein, dass ein und dasselbe Vergehen in Griechenland andere Konsequenzen hätte als in Deutschland oder Spanien. Der zentrale Wert ist der Jahresumsatz der betroffenen Unternehmensgruppe.

Davon wird, vereinfacht gesagt, der 360igste Teil genommen, um einen „Tagessatz“ zu haben. Der wird dann, je nach Schwere des Vergehens, mit einem Faktor bis 14,4 multipliziert und dann werden noch erschwerende oder straferleichternde Begleitumstände berücksichtigt.

Man kann sich dadurch recht schnell die „Gefahr“ einer DSGVO-Verletzung ausrechnen, bei 1 Million Jahresumsatz wären das schon bis zu 40.000 EUR. Für die Abschätzung des tatsächlichen Risikos fehlt dann noch das Wissen um die Eintrittswahrscheinlichkeit. Auch die ist recht hoch, denn prinzipiell reicht ja schon eine qualifizierte Beschwerde einer betroffenen Person, um ein Prüfungsverfahren der Behörde auszulösen.

Dennstedt: Warum beschränkt man diese ganzen aufwändigen Gesetzesbestimmungen eigentlich nicht auf die Unternehmen, die viel mit Daten arbeiten? 99% der Unternehmen haben doch ohnehin nichts Böses im Sinn und Facebook, Google & Co. mussten auch noch keine Strafen zahlen.

Sammern: Es ist nicht einfach hier eine Grenze zu ziehen. Die Unternehmensgröße ist jedenfalls keine. Cambridge Analytica hatte nur ca. 200 Mitarbeiter, viele Datenanalyse-Unternehmen haben noch weniger. Auch gegen Facebook und Google laufen schon viele Verfahren, aber es gibt noch keine Entscheidungen. Teils, weil die dafür zuständige Aufsichtsbehörde in Irland personell nicht gerade üppig besetzt ist und teils, weil diese großen Unternehmen natürlich auch viele sehr gute Anwälte und Anwältinnen beschäftigen, die Verfahren auch gerne in die Länge ziehen. Wenn ein Monat Verzögerung eine Milliarde Gewinn bedeutet, kann das durchaus sinnvoll sein.

Es geht darum ein Bewusstsein dafür aufzubauen, was heutzutage alles mit Daten gemacht wird und gemacht werden kann, wie wir durch Datenverarbeitung beobachtet und auch manipuliert werden. Auch im privaten Bereich gehen die meisten Menschen viel zu sorglos mit ihren Daten um. Es ist ihnen nicht bewusst, welche Menge von Daten sie alleine schon mit der Nutzung eines Smartphones und einigen Apps von sich preisgeben und wie diese Daten verwendet werden können.

Daher veranstalten wir auch (meist ehrenamtlich) Vorträge und Workshops an Schulen, um schon Jugendliche dafür zu sensibilisieren. Aber auch viele Unternehmen setzen unbewusst Verarbeitungen ein, die leicht missbraucht werden können oder Daten an Dritte weitergeben, mit denen diese dann Geschäfte machen. Ohne eine tatsächliche Bestandsaufnahme aller Verarbeitungsprozesse im Unternehmen gibt es keine Chance herauszufinden, ob man sich tatsächlich richtig verhält. Bei unserer Tätigkeit als Datenschutzbeauftragte erleben wir hier oft Überraschungen, die sich für das Unternehmen auch sehr positiv auswirken.

Dennstedt: Die Datenschutz-Grundverordnung DSGVO kann also auch Geld sparen?

Sammern: Indirekt ja. Häufig finden wir Prozesse, die in sehr ähnlicher Form in verschiedenen Abteilungen stattfinden, Systeme, die schon längst leicht ersetzt werden könnten und von denen niemand mehr sagen kann, wofür sie eigentlich genutzt werden. Wenn an die CRM-Datenbank die DSGVO-Prinzipien der Richtigkeit und der Speicherbegrenzung angewendet werden, erhöht man die Zielgenauigkeit von Marketing-Maßnahmen, etc.

Dennstedt: Richtigkeit bedeutet ERP Stammdatenbereinigung, oder? Was ist „Speicherbegrenzung“?

Sammern: Ja, Richtigkeit bedeutet, dass Maßnahmen gesetzt werden sollen um die Genauigkeit und Aktualität der Daten, besonders der ERP Stammdaten sicherzustellen.

Manche Unternehmen setzen dafür mit eher durchwachsenem Erfolg Ferialpraktikanten ein, aber automatische Prozesse können das einfacher, billiger und genauer. Auch dabei können wir unterstützen.

Speicherbegrenzung bedeutet schlicht, dass Daten gelöscht werden müssen, wenn sie nicht mehr benötigt werden. Das ist für viele Unternehmen ein komplett neues Konzept, denn bisher herrschte meist das Paradigma, dass Daten endlos aufbewahrt werden.

Dennstedt: Aber man hat doch in vielen Fällen eine Verpflichtung zur Aufbewahrung der Daten, z.B. für die Finanzbehörden. Spießt sich diese Forderung nicht mit der Datenschutz-Grundverordnung DSGVO?

Sammern: Das ist richtig, aber auch diese Aufbewahrungspflichten sind in den meisten Fällen nach sieben (Österreich) oder zehn (Deutschland) Jahren vorbei. Und es gibt Vieles, für das es gar keine Aufbewahrungspflichten gibt, bspw. Daten von Interessenten, bei denen es zu keinem Geschäftsabschluss gekommen ist.

Wie lange beschickt man so eine Person noch mit Werbung und dürfte man das eigentlich? Was macht Sinn?

Das kommt auf die Branche an. Pullover werden anders verkauft als Heizkessel. Wenn wir in Datenschutzerklärungen den Standardtext lesen, dass Daten „nach Ablauf der gesetzlichen Aufbewahrungspflichten gelöscht werden“ und es keine weiteren Angaben gibt, wissen wir mit ziemlicher Sicherheit, dass sich bisher niemand im Unternehmen Gedanken über die Speicherfristen gemacht hat. Auch eine Beschwerde wegen fehlender Transparenz und Verständlichkeit der Datenschutzerklärung wäre dann natürlich einfacher.

Dennstedt: Und diese Löschung von Daten, auch von kaufmännischen Daten, muss automatisiert im Sinne der Datenschutz-Grundverordnung DSGVO erfolgen?

Sammern: Nicht unbedingt, aber eine manuelle Löschung ist meist viel aufwändiger und auch fehleranfälliger. Wir erstellen mit dem Unternehmen ein Löschkonzept, binden die technischen Dienstleister mit ein, dokumentieren das Konzept für die Behörden und machen Vorschläge für eine Adaptierung der Texte in der Datenschutzerklärung.

Dennstedt: Und wenn die Software gar keine Löschung im Sinne der Datenschutz-Grundverordnung DSGVO zulässt?

Sammern: Das ist für die Aufsichtsbehörden keine Entschuldigung. Dann muss eben eine neue Software oder eine neue Version der bestehenden Software zum Einsatz kommen. Oder man versucht den Ausweg der Anonymisierung, d.h. man überschreibt alles, was einen Rückschluss auf die Person erlaubt. Das ist aber auch oft einfacher gesagt als getan.

Dennstedt: Wie kann ein kleines oder mittleres Unternehmen eigentlich diese ganzen Datenschutz-Grundverordnung DSVGO - Vorgaben erfüllen?

Sammern: Ohne intensive Beschäftigung mit dem Thema geht es nicht. Der Einsatz eines externen Datenschutzbeauftragten zur Sicherstellung der Datenschutz-Grundverordnung DSGVO hat den Vorteil, dass er aus seiner bisherigen Praxis schon viel gesehen hat und natürlich auch am neuesten Stand hinsichtlich der laufenden rechtlichen Diskussionen ist. Intern stehen diese personellen Ressourcen meist nicht zur Verfügung.

Ein Datenschutzbeauftragter ist im Idealfall ein Allrounder, der Kenntnisse in Recht, Geschäftsprozessen und IT besitzt. Die jeweiligen Schwerpunkte sind dabei von Person zu Person unterschiedlich, aber ein einzelnes Fachgebiet reicht nicht aus, um tatsächlich brauchbare Aussagen zu treffen. Auch als Datenschutzbeauftragte sind wir aber darauf angewiesen, entsprechend in die Organisation eingebettet zu sein.

Wir sind die Ansprechperson sowohl für die Aufsichtsbehörde als auch für die Fachabteilungen und für Mitarbeiter zu allen Fragen des Datenschutzes.

In Österreich gibt es in den meisten Fällen keine Verpflichtung für die Bestellung eines Datenschutzbeauftragten, aber sie kann freiwillig erfolgen.

In Deutschland wurde per Gesetz festgelegt, dass Unternehmen einen Datenschutzbeauftragten bestellen müssen, wenn sie mindestens 20 Mitarbeiter haben. Früher war diese Grenze bei 10 Mitarbeitern. Das bedeutet aber nicht, dass sich die kleineren Unternehmen nun nicht mehr an die Datenschutz-Grundverordnung DSGVO halten müssten. Sie haben nur niemanden mehr, der ihnen sagt, was geht und was man lieber bleiben lassen sollte. Es ist ähnlich, wie wenn man bei Autos Sicherheitsgurte weglässt. Die Kosten sinken etwas, aber das Risiko steigt.

Dennstedt: Und was macht ein Datenschutzbeauftragter dann eigentlich den ganzen Tag?

Sammern: Sehr viel lesen. Das Datenschutzrecht ist seit dem 25.05.2018 nicht stehen geblieben. Täglich kommen Entscheidungen von Gerichten, Meinungen von Aufsichtsbehörden, neue Angriffsmöglichkeiten auf IT-Infrastruktur werden bekannt. Hier müssen wir uns auf dem Laufenden halten und kommen dann mit unseren Überlegungen auf unsere Mandanten zu.

So gab es z.B. im Sommer 2019 einige wichtige Entscheidungen des Europäischen Gerichtshofs hinsichtlich der Gültigkeit von Einwilligungen und im Bereich des Online-Marketings. Die Auswirkung ist eine teils massive Veränderung von Webseiten oder Marketing-Maßnahmen. Das Gute daran: so manche Cookie-Banner werden dann nicht mehr benötigt.

Dazu kommt natürlich die Behandlung von Anfragen unserer Mandanten zu bestimmten Situationen, die Aktualisierung und Prüfung der Dokumentation, die stichprobenweise Kontrolle von technischen Maßnahmen,…; es ist alles in Allem eine sehr vielseitige und abwechslungsreiche Tätigkeit, auch wenn es ein scheinbar sehr trockenes Thema betrifft.

Dennstedt: Sie prüfen also auch die IT-Security im Zuge der Datenschutz-Grundverordnung DSGVO?

Sammern: Wir sehen uns stichprobenartig an, ob die in der Dokumentation genannten Maßnahmen auch tatsächlich so gelebt werden und funktionieren. Der „Stand der Technik“, grob definiert durch die ISO-Norm 27002 sowie „good practice“, entwickelt sich laufend weiter und erfordert dann und wann eben auch neue Maßnahmen zum Schutz der Daten. Manchmal wird es dadurch auch einfacher.

So wird der früher propagierte häufige Wechsel von Kennwörtern als nicht mehr zeitgemäß angesehen, da er mehr geschadet als genutzt hat und es heutzutage bessere Möglichkeiten zur Authentifizierung gibt. Bei solchen Themen hilft es dann auch, dass wir einen zertifizierten ISMS Auditor in unserem Team haben.

Zusätzlich zu unserem langjährigen Know-How in der Software-Entwicklung, können wir dadurch mit der IT auf Augenhöhe kommunizieren.

Dennstedt: Vielen Dank für das Gespräch.