Seit dem 25. Mai 2018 wird die EU-DSGVO nach zweijähriger Umsetzungsfrist nun angewendet. Eine der anspruchsvollsten Herausforderungen der ersten 100 Tage, mit der sich jedes Unternehmen auseinandersetzten muss, ist der hohe Dokumentationsaufwand, den die erweiterten Rechenschaftspflichten der EU-DSGVO mit sich bringen. Um eine Datenschutz-Compliance erreichen zu können, muss jedes Unternehmen prüfen, welche Daten innerhalb der Organisation überhaupt vom Anwendungsbereich der EU-DSGVO umfasst sind. Denn die Verordnung gilt ausschließlich für personenbezogene Daten.

Personenbezogene Daten sind solche Informationen, die sich auf eine identifizierte oder identifizierbare lebende natürliche Person beziehen. Anhand dieser Definition muss jedes Unternehmen seinen Datenbestand prüfen, um überblicken zu können, an welchen Stellen die Vorgaben der EU-DSGVO eingehalten werden müssen. Die Abgrenzung eines personenbezogenen Datums von einem nicht personenbezogenen ist in Zeiten allgegenwärtiger Datenverarbeitung (Internet of Things, Connected Card, Big Data und Co.) nicht leicht. Denn durch immer leistungsfähigere und kostengünstige Sensor- und Speichertechnik wächst der Umfang der Datenverarbeitung innerhalb eines Unternehmens stetig. Neue Methoden der Datenanalyse (Big Data) und die zunehmende Bedeutung softwarebasierter Problemlösungen (Artificial Intelligence) führen zu einem zunehmenden Bedarf nach Datensammlung zur Datennutzung.  

Unternehmen müssen sich seit den 25. Mai auch mit den erweiterten Betroffenenrechten auseinandersetzen. Betroffenenrechte sind die Rechte der Personen, deren Daten verarbeitet werden. Hierzu zählen die Rechte auf umfassende Information, auf Auskunft, Löschung und Einschränkung, Widerspruchs- und Widerrufsrechte sowie das völlig neue Recht auf Datenportabilität. Trotz zweijähriger Umsetzungsfrist waren viele Unternehmen am Stichtag der Anwendung nicht ausreichend vorbereitet. Die Gründe hierfür liegen wohl in den teilweise unscharfen rechtlichen Anforderungen einerseits sowie andererseits in der rückwärtsgewandten Risikobewertung in Bezug auf die Datenschutz-Compliance. Vor allem zeigt sich aber ein fehlender Überblick der Unternehmen über den eigenen Datenbestand. Oft mangelt es ihnen an Fachpersonal, Methoden bzw. entsprechenden Software-Lösungen, um die Vorgaben effizient erfüllen zu können. Die Zahl der bei den Aufsichtsbehörden eingegangenen Beschwerden hat sich allerdings seit der Anwendung der EU-DSGVO vervierfacht. Um dieser steigenden Zahl der Betroffenenanfragen entsprechen zu können, müssen Unternehmen ihre bisherigen Prozesse überprüfen, anpassen und erweitern. Diese Anpassungen sind unbedingt notwendig. Denn Verbraucherverbände, Bürgerinitiativen und Aufsichtsbehörden stellen den Betroffenen Tools und Templates zur Verfügung, um sie bei der Geltendmachung des Auskunftsrechts zu unterstützen. Ihre Beschwerden wegen nicht erfüllter Auskunftsansprüche stehen oft am Anfang eines behördlichen Ermittlungsverfahrens. Mit Blick auf die verschärften Sanktionen besteht hier dringender Handlungsbedarf: Unternehmen, die gegen die Datenschutzgrundverordnung verstoßen, müssen nicht nur mit empfindlichen finanziellen Strafen rechnen, sondern insbesondere auch mit Reputations- und Vertrauensverlusten.

Obwohl bisher noch keine großen Bußgelder verhängt wurden, ist zukünftig damit zu rechnen, dass mehr behördliche Maßnahmen gegenüber Unternehmen ergriffen werden. Denn auch die Aufsichtsbehörden müssen sich zunächst personell und fachlich auf das neue europäische Recht einstellen. Hier darf also keine Entwarnung ausgesprochen werden. So berichtet die Berliner Landesdatenschutzbeauftragte, dass in den Monaten Mai bis Juli 2018 ihre Behörde 1.380 Datenschutzbeschwerden von Bürgerinnen und Bürgern erreichten. Im gleichen Vorjahreszeitraum gab es lediglich 344 solcher Eingaben. Die Datenschutzbehörden anderer Länder berichten von einem ähnlichen Anstieg der Beschwerden. Diese Erfahrung hat auch Matthias Horn in seiner Beratungspraxis bei Deloitte gemacht. So verzeichnet der Datenschutzbeauftragte einer seiner Klienten, ein deutsches Medienunternehmen mit ca. 1.800 Mitarbeitern im In- und Ausland, einen Anstieg der Betroffenenanfragen um ca. 200 %. Ein effektiver Umgang mit dem Auskunftsanspruch ist hier nur möglich, wenn ein Unternehmen einen vollständigen geordneten Überblick über den eigenen Datenbestand hat. Hätte das Unternehmen mit der Unterstützung des Beraters nicht noch rechtzeitig ein softwarebasiertes Datenverzeichnis installiert sowie eine entsprechende Anpassung der unternehmensinternen Prozesse vorgenommen, wäre das es heute nicht in der Lage, der Flut von Auskunftsansprüchen zu entsprechen. Nach Einschätzung des Datenschutzbeauftragten des Unternehmens konnten so eine Vielzahl von Kundenbeschwerden bei Aufsichtsbehörden vermieden werden.

Bei einem weltweit agierenden Süßwarenhersteller bestand die Herausforderung für Matthias Horn in seiner Funktion als Berater zunächst darin, dem Unternehmen einen Überblick über den eigenen Datenbestand zu verschaffen und ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 EU-DSGVO) zu erstellen. Mit einem kleinen Team aus Juristen und IT-lern konnte in enger Zusammenarbeit mit dem Unternehmensmitarbeitern ein solches Verzeichnis innerhalb von zwei Wochen erstellt werden. Auf dieser Grundlage kann das Unternehmen nun seine Prozesse anpassen. Dies geschieht nach Maßgabe einer parallel durchgeführten „Gap-Analyse“. Im Rahmen einer solchen Analyse identifiziert Matthias Horn die datenschutzrechtlichen Compliance Lücken („Gaps“) eines Unternehmens. Die gefundenen Lücken werden risikobasiert dargestellt sowie bewertet und es werden Umsetzungsempfehlungen zur Beseitigung des entsprechenden Risikos aufgezeigt.

Neben den hohen Dokumentationspflichten zählen die umfangreichen Informationsverpflichtungen, insbesondere über Zweck, Art und Umfang der Datenverarbeitung zu weiteren großen Herausforderungen für Unternehmen. Erfreulicherweise blieben „Abmahnwellen“, etwa wegen falscher oder ungenauer Information, entgegen vielfacher Befürchtungen bisher aus. Aus Furcht vor derartigen Sanktionen hatten viele Webseiten-Betreiber außerhalb der Europäischen Union, wie amerikanische Newssites der LA Times, den Zugriff aus Europa gesperrt. Dieser Umstand gehört wohl zu den unerfreulichsten Folgen der EU-DSGVO.

Ebenfalls nicht zu unterschätzen, ist der Aufwand, ein den Anforderungen der EU-DSGVO entsprechendes Löschkonzept zu erstellen, im Unternehmen zu implementieren und sich hierbei die verstärkten Möglichkeiten einer umfangreicheren und intensiveren Datennutzung nicht zu versperren. Eine der zur Verfügung stehenden Methoden, zu der Matthias Horn hierbei Unternehmen rät, ist der graduelle Entzug des Personenbezugs der Daten. Mithilfe von Pseudonymisierungs- und Anonymisierungstechniken können Unternehmen Methoden nutzen, die sowohl die Rechte der Betroffenen wahren, aber auch eine umfangreiche Datennutzung mit entsprechenden Erkenntnisgewinnen ermöglichen. Diesen Umstand müssen die betroffenen Stellen bei der Erstellung und Pflege des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO, eine der wichtigsten Dokumentationsverpflichtungen der EU-DSGVO, berücksichtigen. Hier müssen noch weitere Methoden und Werkzeuge entwickelt werden, um den strengen Vorgabe des Rechts entsprechen zu können.

Das Datenschutzrecht verpflichtet Unternehmen dazu, personenbezogene Daten, für die keine datenschutzrechtliche Legitimation (mehr) besteht, unverzüglich zu löschen. Auf der anderen Seite bestehen für bestimmte Daten auch Aufbewahrungs- und Archivierungspflichten, etwa nach dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO). Für diese divergierenden Pflichten zum einen entsprechende Lösch- aber auch zum anderen Aufbewahrungskonzepte zu entwickeln, welche eine zukünftige Verwendung der Daten ermöglichen, stellt gerade für Unternehmen eine große Herausforderung dar.

Dabei müssen sie je Datenbestand und Datennutzungsbedarf zugeschnittene Lösungen entwickeln. Matthias Horn hat Unternehmen bei der Bestimmung von zugeschnittenen Löschklassen und deren Implementierung beraten. So konnte er sie dabei unterstützen, die entsprechenden Unternehmensprozesse zum Löschen der Daten so effizient wie möglich zu gestalten. Um den Aufwand bei der Umsetzung der Konzepte zu begrenzen, empfiehlt er, Enterprise Content Management-Systeme zu verwenden, die die Möglichkeiten zum Klassifizieren von Daten nach Maßgabe des Aufbewahrungs- und Löschkonzeptes bieten. So lässt sich eine entsprechende Konzeption auch technisch umsetzen. Die ECM-Software Doxis von SER bietet beispielsweise Funktionalitäten zur Datenklassifizierung, die es Unternehmen ermöglichen, ihre datenschutzrechtlichen Pflichten für alle erhobenen Informationen softwareseitig umzusetzen sowie entsprechende Aufbewahrungs- und Löschfristen auch automatisiert zu verwalten.

Die Anforderungen an Unternehmen steigen weltweit. In Kalifornien wurden mit dem „California Consumer Act“ vor kurzem strengere Vorgaben für Unternehmen verabschiedet und auch auf Bundesebene wird ein „Federal Data Protection Law“ diskutiert. In Europa wird mit der ePrivacy-Verordnung aktuell eine speziell auf die mobile Kommunikation ausgerichtete Datenschutzregelungen erwogen, die insbesondere den zulässigen Rahmen für personalisiertes Marketing konkretisieren soll. Über allem steht die Frage nach einer Definition der Verfügungsbefugnis über Daten. Der deutsche sowie der europäische Gesetzgeber arbeiten an einer Antwort auf eine der wichtigsten Fragen der Informationsgesellschaft: „Wem gehören die Daten?“. Es bleibt also spannend.