Ein Jahr mit der EU-Datenschutzgrundverordnung
In einem ersten Schritt stand oftmals das äußere Erscheinungsbild und der Unternehmensauftritt im Vordergrund. Ausgehend von einem Unternehmen mittlerer Größe, in dem moderne Medien und IT-Strukturen zum Einsatz kommen, waren hierbei schwerpunktmäßig Themen rund um die Datenschutzerklärung, die Bestellung eines Datenschutzbeauftragten, Auftragsverarbeitungsverträge mit Dritten sowie der gesamte Außenauftritt, insbesondere Werbung mitsamt Newsletter, Einladungen etc. im Vordergrund.
Die Datenschutzerklärung musste nicht nur im Hinblick auf die neuen Paragraphen aus der DSGVO überarbeitet werden. In der Beratung unserer Mandanten stellte sich heraus, dass die Datenschutzerklärung durchaus fehleranfällig sein kann. Es kommt vor, dass in der Datenschutzerklärung „versehentlich" Datenschutzverstöße dokumentiert werden oder es werden Datenverarbeitungsvorgänge beschrieben, die im Zusammenhang mit der Webseite für die die Datenschutzerklärung gelten soll gar nichts zu tun haben. Wichtig war es hier insofern, genau zu prüfen, welche Verarbeitungsvorgänge auf welche Rechtsgrundlage gestützt werden können.
Gleiches galt auch im Kontext des übrigen Unternehmensauftrittes nach außen. Mandanten fragten oft bereits vor dem 25. Mai 2018, wie sie ihren Verteiler für Einladungen und Newsletter „retten" könnten. Man befürchtete, dass die DSGVO eine Nutzung zu Werbezwecken nunmehr gänzlich unmöglich machte. In der Folge dieser Befürchtungen waren die Postfächer von Nutzern plötzlich mit „Einwilligungs-E-Mails" überfüllt. Hierbei rieten wir unseren Mandanten jedoch oftmals zu einer anderen Strategie, denn die Quote der aufgrund dieser E-Mails Einwilligenden lag in den meisten Fällen nicht über 5 Prozent. Die Erfahrung zeigte insofern, dass Unternehmen, die die Rechtmäßigkeit der Verarbeitung ihrer bestehenden Kontakte gewissenhaft unter Zugrundelegung anderer Rechtfertigungstatbestände als der Einwilligung überprüften, eine weitaus höhere Quote erreichten.
Auch die Frage nach der Erforderlichkeit der Benennung eines Datenschutzbeauftragten rückte in den Fokus unserer Beratung. Nach der DSGVO muss der Datenschutzbeauftragte den Aufsichtsbehörden gemeldet werden. Dies resultierte in einem neuen Markt für externe Datenschutzbeauftragte, der sich schlagartig etablierte. Externe Datenschutzbeauftragte spielen, wohl insbesondere aufgrund der Komplexität und Haftungsrisiken seit Geltung der DSGVO, eine deutlich größere Rolle als zuvor. Probleme treten hier insbesondere aufgrund von Interessenskonflikten auf. Anwälte, die neben ihrer regelmäßigen Beratung als externe Datenschutzbeauftragte oder interne Datenschutzbeauftragte, die eine exponierte Position im Unternehmen haben, leiden oft unter einem verkannten Interessenkonflikt, der für die Verantwortlichen im Ergebnis im schlimmsten Fall zur Folge haben kann, dass kein Datenschutzbeauftragter im Sinne des Gesetzes bestellt wurde.
Darüber hinaus war in vielen Fällen eine Überprüfung sämtlicher Zusammenarbeit mit dritten Parteien erforderlich. Die Erfahrung zeigt, dass kaum ein Unternehmen ernsthaft von sich behaupten kann, man setze keine Auftragsverarbeiter ein. Nur beispielhaft seien hier externe IT-Services oder Cloudanbieter genannt. Hier mussten neue Auftragsverarbeitungsverträge geschrieben oder alte überarbeitet werden.
Nachdem diese ersten Hürden genommen waren, fokussierte man sich im weiteren Verlauf auf die internen Prozesse und Abläufe. Hier spielten Themen wie das Erstellen von Datenschutzfolgenabschätzungen, der Abschluss von Betriebsvereinbarungen mit Arbeitnehmern sowie die Etablierung interner Abläufe zur Dokumentierung, Einhaltung von Speicher- und Löschfristen oder Meldung von Datenpannen eine Rolle.
Insgesamt bleibt positiv festzuhalten, dass das Bewusstsein für den Datenschutz deutlich gestiegen ist. Der Weg bis hin zur Rechtssicherheit im europäischen Datenschutz ist jedoch noch weit. Die Interpretationen der verschiedenen Einrichtungen und Aufsichtsbehörden in Deutschland und Europa variiert bisweilen in einigen Bereichen stark. Ziel muss eine einheitliche Praxis sein, die letztlich auch von Gerichtsentscheidungen abhängt. Das Thema Datenschutz wird uns insofern auch in der Zukunft weiterhin beschäftigen.
Nun wünschen wir aber erst einmal: Herzlichen Glückwunsch, DSGVO!