Weihnachten kommt bald – die EU-Datenschutz-Grundverordnung (EU-DSGVO) auch

Aus der Erfahrung betreuter Unternehmen wie auch Vortragsveranstaltungen ist dem Autor bekannt, dass sich Unternehmen zwar grundsätzlich der Thematik der EU-Datenschutz-Grundverordnung (EU-DSGVO) bewusst sind, das Thema gleichwohl doch sehr zurückhaltend angegangen wird.

Bei verantwortlicher Betrachtung der verbleibenden Zeit muss einem jedoch bewusst werden, dass die Zeit bis Weihnachten rund sechs Wochen beträgt und dann nach den Weihnachtsferien und unter Berücksichtigung der Osterferien bis zum 25. Mai 2018 nicht mehr viel Zeit bleibt.

Wenngleich einige Autoren tatsächlich die Meinung vertreten, dass sich nicht so viel ändern würde, sollte doch allen Verantwortlichen bekannt sein, dass nicht nur im Frontend-Bereich gegenüber Kunden sich die Informationspflichten erweitern (vgl. Art. 14 und 15 EU-DSGVO). Beispielsweise ist der Betroffene vor Erhebung von personenbezogenen Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache gem. Art. 12 Abs. 1 EU-DSGVO zu informieren. Auch hat sich der Umfang der Informationspflicht inhaltlich erweitert.

Bestandsaufnahme sämtlicher Prozesse und Verfahren

Dies ist es allerdings nicht alleine und betrifft in der Regel vor allem Webshops. Viel spannender und letztlich aufwändiger ist die erforderliche Bestandsaufnahme sämtlicher Prozesse und Verfahren, in denen personenbezogene Daten verarbeitet werden. Denn im Rahmen einer solchen Bestandsaufnahme dient eine Gap-Analyse meist nicht nur dazu, dass Prozesse und Strukturen neu geplant bzw. angepasst werden und die Datenschutzkommunikation auch noch „Optimierungsbedarf“ aufweist.

Angesichts der Bußgelder von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Unternehmensjahresumsatzes, wird man sich über die Gap-Analyse hinaus auch noch einmal mit sämtlichen datenschutzrelevanten Themen beschäftigen müssen. So zeigt die Erfahrung aus Mandantenprojekten, dass das in der Vergangenheit ein oder andere vielleicht etwas stiefmütterlich behandelte Thema im Zuge eines solchen Projektes mit aufgearbeitet werden muss.

Neben den klassischen Stichwörtern, um nicht „Buzzwords“ zu sagen, wie Privacy by Design und Privacy by Default, geht es auch und vor allem um die Definition der geeigneten technischen und organisatorischen Maßnahmen (TOM) und des nach Art. 30 EU-DSGVO erforderlichen Verzeichnisses für die Verarbeitungstätigkeiten. Gemäß Art. 24 Absatz 1 EU-DSGVO hat der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken (…) geeignete technische und organisatorische Maßnahmen sicherzustellen und den Nachweis dafür zu erbringen, dass die Verarbeitung datenschutzkonform erfolgt.

Gerade dieser Nachweis beinhaltet die entsprechende Dokumentation, die genauso wichtig ist, wie die prozessseitige Umsetzung. In diesem Zuge wird es dann häufig auf Details und die kaufmännische Entscheidung darüber ankommen, wie bestimmte Anforderungen, nicht zuletzt auch sich aus den Erwägungsgründen zur EU-DSGVO ergebend, zu bewerten sind; allen voran diskutiert wird hier die Anforderung an Cookies, die sich bislang nach den Richtlinien aus den Jahren 2002 und 2009 ergaben und die zukünftig von der e-Privacy-Verordnung verdrängt werden. Die e-Privacy-Verordnung ist bislang nicht in Kraft getreten, sodass die allgemeinen Regelungen der EU-DSGVO direkte Wirkung entfalten, wonach die Verarbeitung personenbezogener Daten unter Erlaubnisvorbehalt steht. Dies bedeutet für den Einsatz von Cookies, dass eine Opt-Out-Regelung nicht mehr möglich sein dürfte, bei der ein Nutzer nachträglich seine Einwilligung in den Einsatz von Cookies zurücknimmt, sondern vielmehr muss der Verwender vor dem Einsatz von Cookies eine Einwilligung einholen, sofern die Verwendung von Cookies nicht für die Erbringung der Leistung unabdingbar  sind. Hier gilt es, die aktuelle Gesetzgebung auf europäischer Ebene zu beobachten, ob und inwieweit sich Änderungen aus der zukünftigen e-Privacy-Verordnung ergeben. Ob die e-Privacy-Verordnung als lex specialis rechtzeitig vor Mai 2018 kommt, muss stark bezweifelt werden.

Vor allem aber zeigt die Praxis, dass das Thema Auftragsdatenverarbeitung, das die neuen Anforderungen sowohl an die technischen und organisatorischen Maßnahmen, vor allem aber an die Dokumentation, regelmäßig erheblichen Änderungsbedarf nach sich zieht.

Wer sich dann die verbleibende Zeitlinie, die sich unter Berücksichtigung des Vorgesagten und der dahinter stehenden Arbeiten und Prozesse zur operativen Umsetzung vergegenwärtigt, wird merken, dass die große Welle am Horizont schon ersichtlich ist. Noch ist Zeit, nicht von dieser Welle kalt erwischt zu werden.

Gerne stehen wir für Beratung und Umsetzung zur Verfügung.

Beiträge zur EU-DSGVO