„Die Datenschutzerklärung auf der Website ist nur der Anfang“ – was Unternehmen bei der Umsetzung der DSGVO beachten müssen

Unbeantwortete Auskunftsersuche der Datenschutzaufsichtsbehörde, Verwendung von Daten für Werbezwecke ohne Genehmigung, nicht datenschutzkonformer Einsatz von Cookies: All das sind Verstöße gegen die Datenschutzgrundverordnung. Im Mai 2018 endete die Frist für die Umsetzung der DSGVO. Inzwischen steigt nicht nur Anzahl der verhängten Bußgelder, auch die Prüfungen durch die verantwortlichen Datenschutzbehörden nehmen weiter zu. Warum angewandter Datenschutz ein nie abgeschlossenes Projekt ist und welche Aspekte in Unternehmen häufig übersehen werden, darüber haben wir mit Hans-Jürgen Schwarz der GADE GmbH, einer Kooperationsgemeinschaft für angewandten und gelebten Datenschutz, gesprochen.

In den letzten Monaten häufen sich die geahndeten Verstöße in Zusammenhang mit der DSGVO. Was ist jetzt anders als vor zwei Jahren und welche Art von Verstößen ist am häufigsten?

Die Datenschutzbehörden führen verstärkt Prüfungen durch, um damit insbesondere die Dringlichkeit des Datenschutzes hervorzuheben. Das ist auch ein Grund, warum die Bußgelder für Datenschutzverstöße erhöht wurden. Das Recht auf Schutz der persönlichen Daten ist ein Menschenrecht, Verstöße dagegen werden deshalb strafrechtlich verfolgt und geahndet. Die häufigsten Verstöße hängen mit der unrechtmäßigen Nutzung von privaten Daten wie zum Beispiel E-Mail-Adressen zusammen. Diese wurden beispielsweise im Rahmen eines Gewinnspiels gesammelt, werden dann aber genutzt, um auf eine andere Kampagne aufmerksam zu machen. Wenn das nicht explizit in den Datenschutzbestimmungen genannt wird, verstößt das gegen die DSGVO. Inzwischen machen Privatpersonen auch häufiger Gebrauch von Auskunftsanfragen bei Unternehmen. Denn laut DSGVO sind Unternehmen dazu verpflichtet, innerhalb von 30 Tagen eine Auskunft darüber zu geben, welche persönlichen Daten sie von der Person gespeichert haben.

Wissen Unternehmen darüber Bescheid, welche Schritte sie in solch einem Fall einleiten müssen?

Das ist tatsächlich in den wenigsten Unternehmen klar geregelt. Das hängt auch damit zusammen, dass viele Unternehmen sich zwar irgendwie mit dem Thema Datenschutz beschäftigen, ihnen aber oft nicht bewusst ist, was alles zum Datenschutz dazugehört und welche Aspekte beachtet werden müssen. Deshalb weicht die Selbsteinschätzung der Unternehmen beim Thema Datenschutz oft von der Realität ab. Unternehmen realisieren erst durch unser gezieltes Nachhaken, was angewandter Datenschutz bedeutet. Zum Beispiel wenn wir nach Auftragsverarbeitungsverträgen fragen; oder danach, wer im Unternehmen eigentlich Zugang zum Aktenschrank mit vertraulichen Daten hat, und dabei auffällt, dass der Schlüssel für jeden zugänglich ist. So etwas erleben wir immer wieder. Auch die Anpassung der Cookie-Consent-Banner an neue DSGVO-Richtlinien wird oft vergessen. Diese Fälle zeigen, dass die Datenschutzerklärung auf der Website nur der Anfang der DSGVO ist. Datenschutz muss im Unternehmen gelebt werden, was bedeutet, dass man sich laufend damit beschäftigen und immer wieder handeln muss.

Bei welchen Datenschutzthemen haben Unternehmen nach wie vor den größten Nachholbedarf?

Die größte Schwachstelle ist immer noch die Dokumentationspflicht, diese umfasst beispielsweise ein Verzeichnis für alle Verfahren, bei denen persönliche Daten verarbeitet werden. Ein typisches Beispiel wäre das Versenden eines Newsletters. Hierfür braucht es laut DSGVO ein Verfahrensverzeichnis, das festhält, welche persönlichen Daten beim Versand verarbeitet werden. Auch ein Datenschutzhandbuch, das regelt, wie im Falle einer Datenschutzpanne vorzugehen ist, fehlt in vielen Unternehmen. Dabei sind der Datenschutz und der Umgang damit etwas, was wirklich jeder lernen kann.

Apropos lernen: Ab September bietet GADE wieder Datenschutzseminare an. An wen richten sie sich und welche Inhalte werden abgedeckt?

Unser Seminarangebot ist dreistufig aufgebaut und orientiert sich dadurch am Wissensstand der Teilnehmer. Wir haben Seminare für Einsteiger ohne Vorwissen. Dort werden zunächst die Grundlagen zum Datenschutz erläutert. Das Einstiegsseminar gibt einen Überblick, was die ersten notwendigen Schritte sind und wie man diese umsetzt. Uns ist wichtig, dass die Teilnehmer umfassendes Informationsmaterial bekommen, mit dessen Hilfe sie den Status quo in Sachen Datenschutz im Unternehmen prüfen und direkt erste Maßnahmen ableiten können. Die zweite Stufe bilden dann mehrtätige Seminare für diejenigen, die im Unternehmen im Bereich Datenschutz mehr Verantwortung haben und dementsprechend auch in der Pflicht sind, sich eingehender damit zu befassen und stets auf dem Laufenden zu bleiben. Und im letzten Schritt gibt es auch die Möglichkeit, sich zum Datenschutzbeauftragten ausbilden zu lassen. Für die Ausbildung benötigt es dann Vorwissen und die Bereitschaft, sich in juristische Themenfelder einzuarbeiten.