25.05.2020 (kfr)
4.1 von 5, (8 Bewertungen)

2 Jahre DSGVO: Noch wird zu viel lamentiert

  • Inhalt dieses Artikels
  • 2 Jahre DSGVO: Noch wird zu viel lamentiert
  • Bitkom zieht durchwachsene Bilanz
  • Intrafind: So können Unternehmen wichtige Wissenslücken schließen
  • Looker: Notwendigkeit einer datengetriebenen Kultur
  • ZEW: Viele Unternehmen stellen DSGVO schlechtes Zeugnis aus
  • Owncloud: »Wir brauchen endlich klare Ansagen der Datenschützer«

Die Datenschutz-Grundverordnung (DSGVO) tritt vielfach immer noch auf der Stelle. Vor zwei Jahren lamentierten viele Unternehmen wo sie die Ressourcen hernehmen sollten, diese Verordnung umzusetzen. Zum heutigen 25. Mai 2020 jährt sich die DSGVO nun zum zweiten Mal und in Umfragen wird die Stimmung eher schlechter als besser. So vermeldet der Digitalverband Bitkom, die Wirtschaft nehme die Datenschutzregeln zunehmend als Herausforderung war. Derzeit betrachten acht von zehn Unternehmen (79 Prozent) Datenschutzanforderungen als die größte Hürde beim Einsatz neuer Technologien. Im Vorjahr sagten dies erst drei Viertel (74 Prozent), im Jahr 2018 nicht einmal zwei Drittel (63 Prozent).

DSGVO: »Weniger lamentieren, mehr verinnerlichen«

Regelmäßige speicherguide.de-Leser wissen, unser Chefredakteur ist zertifizierter Datenschutzbeauftragter und in dieser Eigenschaft unterstützt Karl Fröhlich als Mitglied der Datenschutz-Yogis einige Kleinunternehmer und kleine Firmen. Aus seiner Sicht gibt es keinen Grund gegen die DSGVO zu maulen:

Karl Fröhlich: »Weniger lamentieren, die DSGVO und dn Datenschutz mehr verinnerlichen«Karl Fröhlich: »Weniger lamentieren, die DSGVO und dn Datenschutz mehr verinnerlichen«»Eins vorweg: Zwei Jahre nach Geltung der DSGVO gibt es wirklich viele Firmen und engagierte Datenschutzbeauftragte die akribisch an der Umsetzung der DSGVO arbeiten. Definitiv. Dies belegen regelmäßige Gespräche und Kontakte mit Kollegen. Leider finden diese nur wenig Gehör bzw. treten nur selten in die Öffentlichkeit.

Ja, der Datenschutz ist kein Selbstläufer, aber alle die behaupten, die DSGVO sei eine Hürde beim Einsatz neuer Technologien, haben die falschen Prioritäten. Firmen, die nicht alles dafür tun, die ihnen anvertrauten persönlichen Nutzerdaten bestmöglich zu schützen und zu verwalten, halte ich für unseriös. Freilich gilt zu bedenken, dass vor allem Tech-Giganten jahrzehntelang schalten und walten durften wie sie wollten und dies hat zu einem digitalen Wildwuchs ohne Rechenschaftspflicht geführt. Das durfte nicht so weitergehen. Gleichzeitig braucht so ein Umdenken auch Zeit.

Google weiß quasi alles über jeden einzelnen PC-Anwender. Apple hat gnadenlos via Siri, Smartphone und Tablet seine Nutzer abgehört. Der Ansatz Fehler zu beseitigen und die Systeme zu verbessern mag sinnvoll gewesen sein, aber ohne das Wissen und der Einwilligung der Anwender, war dies grobes Unrecht. Eigentlich müsste es hier einen öffentlichen Aufschrei ohnegleichen geben. Mit diesem Hintergrund sind iPhones als Firmen-Handy eigentlich untragbar. Stattdessen, nichts…

DSGVO: Unperfekte Leitplanke in die richtige Richtung

Die DSGVO ist natürlich nicht perfekt. Ich sehe es, wie der geschätzte Kollegen Marc Dauenhauer, Datenschutzbeauftragter und IT-Consultant: »Die DSGVO ist nicht nur als eine Sammlung von mehr oder weniger vernünftigen Regelungen zu sehen, sondern als das, was sie zuvorderst sein sollte: Eine Leitplanke, die von allen, die beruflich personenbezogene Daten verarbeiten, Rechenschaft verlangt, woher die Daten kommen, was mit den Daten passiert, wo sie hingehen und wann sie wieder gelöscht werden.«

Wer die DSGVO als Hindernis sieht, sollte sich vielmehr an die eigene Nase fassen, weil er selbst jahrelang nicht mitgewirkt hat, Produkte und (IT-)Services auch mit Blick auf den Datenschutz zu entwickeln bzw. einzukaufen. Hätten wir damit früher beginnen müssen, ja, selbstverständlich. Aber diese Diskussion brauchen wir heute nicht zu führen. Wichtig ist, die aktuellen Leitplanken in die richtige Richtung zu führen.

Datenschutz muss verständlicher werden

Dass vieles nicht perfekt ist, zeigt das »Geschiss« um die Cookies. Von den Nutzern hat nahezu keiner Verständnis für diese Gewese und die nun damit verbundenen Folgen. Die Cookie-Banner sind absolut verhasst, die Dinger sind nur im Weg. Ab dem 28. Mai, wenn das BGH das Urteil des EuGHs bestätigt, werden Cookie-Consent-Boxen zur Pflicht. Auf speicherguide.de und unserer Schwesterseite ECMguide.de haben wir diese bereits seit Januar im Einsatz. Ist nicht schön, aber unumgänglich. Und das ist gut so.

Was ich vermisse, ist eine konsequente und verständliche Aufklärung der Landes- und Bundesbehörden. Ich hätte mir gewünscht, dass sich einer hinstellt und erklärt, dass diese unsäglichen Cookie-Banner Quatsch sind und die gerne wieder abgeschalten werden dürfen. Gleichzeitig sollte das eigentliche Problem klargestellt werden. Das heißt, dass es zu viele Webseitenbetreiber gibt, die schonungslos Daten tracken und abgreifen und gegen die nun die entsprechenden Maßnahmen ergriffen wurden. Schlechte Beispiele gäbe es ja genug.

Ich möchte aber nicht nur poltern. Um etwas Eigenwerbung zu betreiben: Auf verschiedenen Social-Media-Kanälen haben wir es uns als Datenschutz-Yogis zur Aufgabe gemacht, den Datenschutz verständlicher zu machen und für Aufklärung zu sorgen. Hier stehen wir noch am Anfang, freuen uns aber über jede Unterstützung. Das heißt, folgen Sie uns gerne auf einem der von Ihnen bevorzugten Plattformen, aktuell sind dies Instagram, LinkedIn und Youtube, und stellen Sie uns Fragen. Wir versuchen diese dann, so gut es geht, für die Allgemeinheit zu beantworten.

Was mir am Herzen liegt, die DSGVO ist wie gesagt nicht perfekt, aber auch kein Hexenwerk und für jeden machbar – auch für kleine Unternehmen. Lassen Sie sich auch nicht abschrecken, wenn es heißt, das geht aus Datenschutzgründen nicht. Im Grunde verbietet der Datenschutz wenig, verlangt aber eine solide Grundlage und die gilt es herauszuarbeiten und zu definieren. Dann ist alles möglich. Seinen Mitarbeitern, Geschäftspartnern und Kunden einen umfassenden Datenschutz zu garantieren ist ein Wettbewerbsvorteil!

Bitkom zieht durchwachsene Bilanz

Unternehmen und Organisation haben mit der DSGVO unter anderem erweiterte Informationspflichten, müssen Verarbeitungsverzeichnisse für Personendaten erstellen sowie Datenschutz schon in Produktionsprozessen berücksichtigen. Dazu erklärt Bitkom-Präsident Achim Berg:

Achim Berg, BitkomAchim Berg, Bitkom »Die Corona-Krise zeigt, welche herausragende Bedeutung der Datenschutz in Deutschland inzwischen hat. Dabei dominiert der Datenschutz selbst in dieser Krisensituation viele weitere Rechte wie das Recht auf körperliche Unversehrtheit, Versammlungsfreiheit, Gewerbefreiheit oder den Zugang zu schulischer Bildung. So werden einerseits weitgehende Einschränkungen von Grundrechten akzeptiert, gleichzeitig scheiterte die Veröffentlichung einer von vielen Einschränkungen befreienden Tracing-App an Datenschutzbedenken. Schulen können ihren Unterrichtsbetrieb nicht wieder aufnehmen und verlieren zu vielen Schülern einen funktionierenden Kontakt, gleichzeitig wird Lehrern der Einsatz vieler gut funktionierender Videoplattformen mit Hinweisen auf Datenschutzprobleme kategorisch verboten. Offenkundig ist das bislang gut ausbalancierte System an Freiheits- und Schutzrechten mit der DSGVO aus den Fugen geraten.

Das Gesetzgebungsverfahren zur Datenschutz-Grundverordnung war eines der aufwändigsten in der Geschichte der Europäischen Union. Die Bilanz der DSGVO ist hingegen bestenfalls bescheiden. Das allgemeine Bewusstsein für das Thema Datenschutz hat stark zugenommen, und das ist in jedem Fall positiv. Von einem EU-weit einheitlichen Datenschutzniveau sind wir in der Praxis aber noch weit entfernt – dafür ist die Auslegung in den Mitgliedsstaaten zu unterschiedlich. Auch zwei Jahre nach Geltungsbeginn der DSGVO haben viele Unternehmen noch nicht alle Anforderungen umgesetzt. Nicht wenige sind der Meinung, eine komplette Umsetzung der DSGVO sei nicht möglich. Die Aufsichtsbehörden sind ihrerseits mit einer nicht zu bewältigenden Flut an Anfragen konfrontiert. Im Ergebnis stehen auf allen Seiten hohe personelle und finanzielle Aufwände.

Nach der geplanten Evaluierung der Datenschutzregeln muss die EU den grundsätzlichen Geburtsfehler beseitigen: Die DSGVO reglementiert jeden einzelnen Datenverarbeitungsvorgang und jede Datenerhebung. Vereine, Startups und Großkonzerne werden über denselben Kamm geschoren und nicht differenziert behandelt. Die in der DSGVO vorgesehenen Ausnahmen für kleinere Unternehmen kommen in der Praxis so gut wie nie zum Tragen. Dabei sollten Art und Umfang der Datenverarbeitungen ausschlaggebend für die Verpflichtungen sein, auch sollte man die Regeln grundsätzlich vereinfachen. In der Forschung sollten der Datennutzung weniger Hürden in den Weg gestellt werden – insbesondere für EU-weite Projekte im Gesundheitsbereich.«

Intrafind: So können Unternehmen wichtige Wissenslücken schließen

Franz Kögl, IntrafindFranz Kögl, IntrafindNach zwei Jahren DSGVO haben viele Unternehmen immer noch mit dem Aufspüren personenbezogener Informationen in ihren Datenbeständen zu kämpfen. IntraFind erläutert, wie ihnen Enterprise-Search-Technologie helfen kann.

Am 25. Mai 2020 ist die DSGVO seit genau zwei Jahren in Kraft. In vielen Unternehmen nimmt man dieses Jubiläum mit eher gemäßigter Begeisterung zur Kenntnis, denn es ist für sie oft immer noch eine große Herausforderung, die Vorgaben der europäischen Datenschutzverordnung zu erfüllen. Das wiegt umso schwerer, als die Behörden nach dem einjährigen Jubiläum der DSGVO ihre anfängliche Zurückhaltung aufgaben. Sie kündigten an, verstärkt Strafen zu verhängen und setzten diese Ankündigung auch in die Tat um.

Zu den größten Problemen der Unternehmen zählt dabei, angesichts der ständig wachsenden Datenflut, das Aufspüren personenbezogener Informationen. In ERP- oder CRM-Systemen mit ihrer strukturierten Datenhaltung sind diese Informationen recht einfach identifizierbar; in Quellen wie Fileshare-Dateiablagen, Wikis oder E-Mails ist das wegen ihrer unstrukturierten Datenbestände dagegen deutlich schwieriger.

Abhilfe können hier spezielle Tools schaffen, die auf Enterprise-Search-Technologie basieren. Moderne Lösungen für unternehmensweite Suche sind in der Lage, Inhalte thematisch zu erfassen, Daten automatisch zu sortieren und Beziehungen zwischen Daten zu erkennen. Dafür sind sie mit einem umfassenden KI-Technologie-Stack aus Machine-Learning sowie regelbasierten, linguistischen und semantischen Verfahren ausgestattet. Dadurch lassen sie sich auch hervorragend dafür nutzen, um DSGVO-relevante Daten in unstrukturierten Beständen aufzuspüren. Unternehmen können damit:

  • Auskunftsersuchen beantworten: Nach Artikel 15 der DSGVO ist jeder berechtigt bei einem Unternehmen nachzufragen, ob personenbezogene Daten vorliegen und wenn ja, welche dies sind. Stellt jemand ein solches Auskunftsersuchen, lassen sich sämtliche angebundene Daten durchsuchen und diejenigen Dokumente herausfiltern, die DSGVO-relevante Daten über diese Person enthalten. Unternehmen sind damit binnen Minuten auskunftsfähig und können die gesetzlichen Fristen problemlos einhalten.
  • Transparenz schaffen: Die Datenschutzbeauftragten der Unternehmen erhalten die Möglichkeit, herauszufinden, wo überall DSGVO-bezogene Daten liegen. Anhand personenbezogener Aspekte wie Namen, Geburtsdaten, Adressen, Telefonnummern, E-Mail-Adressen oder Kunden- und Vertragsnummern können sie sich beispielsweise eine nach Vorkommenshäufigkeit sortierte Liste der betreffenden Dokumente ausgeben lassen. Darunter können auch Mitarbeiter- oder Kundenlisten sein, von deren Existenz man unter Umständen gar nichts wusste, weil sie beispielsweise falsch abgelegt wurden.
  • DSGVO-relevante Daten managen: Der umfassende Überblick über ihre DSGVO-relevanten Daten ermöglicht es Unternehmen, ihre Datenbestände zu bereinigen und - wenn erforderlich - Daten gezielt zu löschen oder zu anonymisieren. Zudem können sie damit ihre DSGVO-Prozessbeschreibungen vervollständigen. So können sie belegen, dass sie mit einem geeigneten Analysetool alle Vorkehrungen getroffen haben, um ihren gesetzlichen Verpflichtungen nachzukommen.

»Mit moderner Enterprise-Search-Technologie können Unternehmen und Organisationen die schwierige DSGVO-Compliance endlich vollständig in den Griff bekommen und auch unstrukturierte Informationen performant nach DSGVO-Gesichtspunkten managen«, sagt Franz Kögl, Vorstand bei Intrafind Software. »Viele von ihnen tun das bereits und nutzen beispielsweise den iFinder DSGVO, um neben der Unterstützung im Auskunftsersuchen auch in Dokumenten und allen unstrukturierten Informationen personenbezogene Daten zu finden, aufzuräumen und somit wichtige DSGVO-relevante Wissenslücken zu schließen.«

Looker: Notwendigkeit einer datengetriebenen Kultur

Die DSGVO gehört laut Barbara Lawler, Chief Privacy and Data Ethics Officer bei Looker, zu den am stärksten prägende IT-Regulierung für Unternehmen und die Gesellschaft innerhalb der letzten Jahre:

Barbara Lawler, LookerBarbara Lawler, Looker»Ab dem 25. Mai 2018 nahmen sich viele Unternehmen den Themen Daten-Compliance, Governance und Datenschutz viel stärker an als zuvor. Obwohl diese Themenaspekte nun seit vielen Jahren das Tagesgeschäft vieler mit Daten arbeitenden Unternehmen dominieren, tun sich einige selbst nach zwei Jahren immer noch schwer das erforderliche Level an Datenschutz zu erreichen. Selbst nach einem Jahr des Inkrafttretens der DSGVO konnten lediglich 25 Prozent der deutschen Unternehmen volle DSGVO-Konformität vorweisen, so eine Studie von Bitkom. Demnächst wird die Europäische Kommission einen 2-Jahres-Bericht zur DSGVO veröffentlichen, wobei auch hier davon auszugehen ist, dass Compliance weiterhin für viele Unternehmen eine Herausforderung darstellt.

Dabei sollten Unternehmen die DSGVO-Richtlinien nicht so sehr als eine Einschränkung sehen, sondern vielmehr als eine Chance, den Umgang mit ihren Daten genau im Blick zu haben. Die oben genannten 25 Prozent haben dieses Potential bereits erkannt und DSGVO-Konformität mit hoher Wahrscheinlichkeit durch die Entwicklung einer datengetriebenen Kultur im Unternehmen erreicht. Der Rest fühlte sich schlichtweg von den riesigen Datenmengen, die sie in den Jahren vor der DSGVO gehortet haben, überfordert.

Im Folgenden sind einige Schritte aufgeführt, die Unternehmen mit einer datengetriebenen Kultur unternommen haben, um DSGVO-Konformität bereits innerhalb des ersten Jahres zu erreichen:

  • Zentralisierung von Daten: Die meisten Unternehmen arbeiten heute mit einer Vielzahl von Cloud-Diensten und –Anwendungen, die alle einen Zugang zu ihren Daten in Echtzeit erfordern. Unternehmen, die einen einzigen, zentralen Zugriffspunkt für ihre Daten haben, fällt es wesentlich leichter alle Aktivitäten zu überwachen, zu analysieren und somit potenzielle DSGVO-Verletzungen schneller zu erkennen.
  • Monitoring & Auditing:Unternehmen wurden und werden weiterhin regelmäßig auf ihre DSGVO-Konformität geprüft. Um stets Konformität vorweisen zu können, müssen Unternehmen auch selbstständig regelmäßige Audits ihrer Datenschutz-Praktiken durchführen und Protokoll über alle ihre Daten führen, die gespeichert, verarbeitet und übermittelt werden.
  • Ernennung eines Datenschutzbeauftragten:Laut DSGVO-Verordnung, müssen Unternehmen, deren Kerntätigkeit eine umfangreiche Verarbeitung personenbezogener Daten oder Datenverarbeitung enthält, einen Datenschutzbeauftragten bestellen. Dieser ist dann verantwortlich für das Hinwirken auf die Einhaltung aller relevanten Datenschutzvorschriften, der Überwachung bestimmter Prozesse und die Sensibilisierung der Mitarbeiter.
  • Bestätigung der rechtlichen Grundlage für Datenverarbeitung: Transparenz und die Gewährleistung, dass alle Verbraucher volle Kontrolle über ihre Daten haben, sind die Kernstücke der DSGVO. Deshalb müssen Unternehmen stets sicherstellen, dass sie den Zweck für das Sammeln und Speichern von Daten im Voraus festlegen – sei es durch die Zustimmung des Kunden, einer Vertragserfüllung, berechtigtes Interesse oder aufgrund sonstiger Basis. Schlussendlich haben die Nutzerrechte Vorrang vor den Rechten der Controller und Nutzer müssen vor diesem Hintergrund stets die Möglichkeit haben, Zugang zu ihren Daten zu erhalten, diese zu ändern, die Nutzung einzuschränken oder eine Löschung der Daten zu beantragen.

Unternehmen mit diesen Strukturen und Richtlinien sind in der Lage eine datengetriebene Kultur zu entwickeln, welche die Basis für DSGVO-Konformität darstellt. Sobald diese Daten-Kompetenz erreicht wird, werden Unternehmen nicht nur von der DSGVO-Konformität profitieren – im Gegensatz zu einigen Wettbewerbern – aber auch von wertvollen, geschäftstreibenden Erkenntnissen, die aus ihren zentralisierten Daten geschöpft werden können.«

ZEW: Viele Unternehmen stellen DSGVO schlechtes Zeugnis aus

Verhätnis der positiven und negativen Aspekte der DSGVO (Quelle ZEW)Verhätnis der positiven und negativen Aspekte der DSGVO (Quelle ZEW)Die Unternehmen der deutschen Informationswirtschaft sind laut ZEW Mannheim (Leibniz-Zentrum für Europäische Wirtschaftsforschung) häufig unzufrieden mit der DSGVO:

»In jedem zweiten Unternehmen überwiegen nach der zweijährigen Laufzeit die negativen Aspekte der Neuregelungen zum Schutz personenbezogener Daten. Nur für knapp fünf Prozent der Unternehmen überwiegen die positiven Aspekte der DSGVO. Besonders häufig hat die Einführung der DSGVO die Geschäftsprozesse der Unternehmen verkompliziert und zu einem hohen Arbeitsaufwand zur Umsetzung der neuen Vorgaben geführt. Zu diesem Ergebnis kommt eine aktuelle repräsentative Umfrage unter rund 600 Unternehmen der Informationswirtschaft, die das ZEW Mannheim im März 2020 durchgeführt hat.

Unter den Teilbranchen der Informationswirtschaft schneidet die DSGVO bei den Unternehmen der Branche Informations- und Kommunikationstechnologien (IKT) noch am besten ab. Etwa 62 Prozent der IKT-Hardware-Hersteller und 58 Prozent der IKT-Dienstleister geben an, dass positive und negative Aspekte ausgeglichen sind oder die positiven Aspekte sogar überwiegen. Bei den Medien- und wissensintensiven Dienstleistern teilt nur weniger als die Hälfte der Unternehmen diese Einschätzung.

»In etwa 60 Prozent der Unternehmen haben sich die Geschäftsprozesse durch die Einführung der DSGVO verkompliziert«, sagt Dr. Daniel Erdsiek, ZEW-Experte für Digitale Ökonomie. Bei der Umsetzung der neuen Regeln mussten mitunter umfassende Veränderungen der Informationspflichten und der Betroffenenrechte beachtet sowie neue Konzepte wie Privacy-by-Design und Privacy-by-Default umgesetzt werden. Diese notwendigen Anpassungen haben in mehr als zwei Dritteln der Unternehmen zu einem hohen Arbeitsaufwand geführt.

Mehr als die Hälfte der Unternehmen berichten zudem von zusätzlichen Kosten für Mitarbeiterschulungen und einem gestiegenen Bedarf an externer Beratung durch die Einführung der DSGVO. 17 Prozent der Unternehmen in der Informationswirtschaft insgesamt verbinden mit der DSGVO sogar eine Gefahr für die eigene Geschäftstätigkeit – in der IKT-Branche liegt dieser Anteil bei lediglich acht Prozent. Mögliche Gründe für den negativen Einfluss auf die eigenen Geschäfte bestehen darin, dass Innovationen gebremst wurden (24 Prozent) und der Einsatz neuer Technologien wie der Künstlichen Intelligenz erschwert oder verhindert wurden (13 Prozent).

»Bereits im Dezember 2017, also kurz vor Inkrafttreten der DSGVO, haben wir die Unternehmen der Informationswirtschaft zu den erwarteten Auswirkungen der Neuregelungen befragt. Im Vergleich zu den aktuellen Ergebnissen zeigt sich, dass jede abgefragte negative Konsequenz der DSGVO häufiger eingetreten ist, als im Dezember 2017 erwartet«, kommentiert Erdsiek.

Bei den Konsequenzen sehen viele Unternehmen vor allem die Ausgaben (Quelle: ZEW)Bei den Konsequenzen sehen viele Unternehmen vor allem die Ausgaben (Quelle: ZEW)Neben den negativen Aspekten berichten die Unternehmen im März 2020 allerdings auch von positiven Auswirkungen. So geben 36 Prozent der Unternehmen an, dass ihre Prozesse überprüft und optimiert wurden. Die Verfahren zur Verarbeitung von Daten wurden im Zuge der DSGVO in rund 29 Prozent der Unternehmen standardisiert. Der Aussage, dass die DSGVO zu einer erhöhten Rechtssicherheit geführt hat, stimmt indes nur jedes fünfte Unternehmen zu – zehn Prozent weniger als vor zwei Jahren erwartet.

Trotz der weitreichenden Neuregelungen und dem steigenden Bewusstsein für die Bedeutung von Datenschutz, rechnen nur etwa zwölf Prozent der Unternehmen mit einem Vertrauenszuwachs der Kunden durch die Einführung der DSGVO. Noch weniger verbreitet ist die Überzeugung, dass die DSGVO zu einem Wettbewerbsvorteil für EU-Unternehmen auf internationalen Märkten geführt hat (fünf Prozent) oder sich positiv auf die Geschäftsentwicklung des eigenen Unternehmens ausgewirkt hat (drei Prozent).«

Owncloud: »Wir brauchen endlich klare Ansagen der Datenschützer«

Tobias Gerlinger, OwncloudTobias Gerlinger, OwncloudownCloud-CEO Tobias Gerlinger sieht das zweijährige Jubiläum der DSGVO zwiegespalten. »Die Einführung der DSGVO hat die Verantwortlichen zweifellos viele Nerven gekostet. Aber sie hat auch etwas äußerst Erfreuliches bewirkt: nämlich das allgemeine Problembewusstsein für den Datenschutz geschärft. Und dass sie grundsätzlich ein Erfolgsmodell ist, zeigt nicht zuletzt die Tatsache, dass sie inzwischen weltweit viele Nachahmer gefunden hat. Australien, Brasilien, Südkorea, Thailand und sogar US-Staaten wie Kalifornien nehmen sich bei ihren Datenschutzgesetzen die DSGVO zum Vorbild.

In der Praxis gibt es allerdings noch einige große Herausforderungen und ungelöste Probleme. So sind insbesondere viele beliebte und gängige SaaS-Plattformen nicht »by default«, also in ihrem Auslieferungszustand, mit der DSGVO konform. Dazu müssen sie erst aufwändig umkonfiguriert werden. So hat etwa der hessische Beauftragte für Datenschutz und Informationsfreiheit erklärt, dass Office 365 in hessischen Schulen nur eingesetzt werden darf, wenn die Übermittlung jedweder Art von Diagnosedaten an Microsoft unterbunden wird. Das führt nicht nur zu einem enormen Aufwand, denn im Prinzip muss jedes Update neu auf DSGVO-Konformität geprüft und gegebenenfalls neu konfiguriert werden. Das Ergebnis ist auch eine große Rechtsunsicherheit, weil die Unternehmen oder Behörden ständig Gefahr laufen, gegen die DSGVO zu verstoßen.

Nach wie vor ungelöst ist auch der Konflikt zwischen der DSGVO und dem US-Cloud-Act, dem die Cloud-Dienste von US-amerikanischen Anbietern unterliegen. Viele Experten sind der Meinung, dass bei solchen Diensten wegen der Zugriffsmöglichkeiten der US-Regierung nur bestimmte Daten gespeichert werden dürfen; andere gehen noch einen Schritt weiter und vertreten die Ansicht, dass sich DSGVO und US-Cloud-Act ganz grundsätzlich gegenseitig ausschließen. Nutzen Unternehmen US-amerikanische Cloud-Dienste, bewegen sie sich permanent in einem Graubereich. Deshalb: Wir brauche endlich klare Ansagen von unseren obersten Datenschützern, welche Plattformen für welche Daten genutzt werden dürfen und welche eben nicht – ganz so, wie es der Bundesbeauftragte für Datenschutz und Informationsfreiheit getan hat, als er den Einsatz von WhatsApp in Bundesbehörden untersagte. Ohne eindeutige Leitlinien ist es für Unternehmen schwierig, die DSGVO konsequent einzuhalten.

Eine weitere große Herausforderung stellt weiterhin die fristgerechte Löschung personenbezogener Daten dar. Sie findet seiner Erfahrung nach in der Praxis immer noch viel zu selten statt. Das liegt zum einen daran, dass es oft an einer entsprechenden Kategorisierung der Daten fehlt. Zum anderen mangelt es aber auch häufig an einer geeigneten Software-Unterstützung für das automatisierte Löschen. Unternehmen benötigen hierfür Tools, mit denen sich Archivierung und Löschung jeder einzelnen Datei mit Hilfe von Richtlinien automatisieren lässt. Eine solche Lösung ermöglicht es Unternehmen, die DSGVO-Regelungen zur Aufbewahrung von Dateien mit personenbezogenen Daten unkompliziert und zuverlässig umzusetzen und empfindliche Strafen zu vermeiden.


Kommentare (3)
25.05.2020 - Doc Storage

Hallo, Karl!
Zu diesem Thema – und zu Deinem Artikel oben – möchte ich auch noch meinen kurzen Senf dazugeben:
(1) Die Diskussion um die liebe DSGVO kann ich kaum noch nachvollziehen. Das meiste davon stand sowieso schon in mehr oder weniger gleicher Formulierung im Bundesdatenschutzgesetz von 1977 (!!!), die einschlägigen Abteilungen wissen nicht erst seit Mai 2018, was sie zu erfüllen haben – da mussten sie nämlich mit der Umsetzung spätestens fertig sein! Also nicht von „seit zwei Jahren“ sprechen, die Zeit zur Umsetzung waren ZWEI davor, die werden meist gern unterschlagen. Wer also immer noch rumjammert, hat seine Hausaufgaben nicht gemacht, schon vor längerem nicht, duckt sich jetzt weg und versucht sein Nichtstun irgendwie zu rechtfertigen. Setzen, Sechs!
(2) Auch in Deinem Artikel wird – zumindest indirekt – wieder einmal der Eindruck erweckt, die DSGVO hätte irgendwas mit den Mitarbeitern in den DV-Abteilungen zu tun. Nochmal: GDPR/DSGVO sind keine IT-Angelegenheit, die Vorbereitung, das Handling und die nachhaltige Durchführung sind allein Sache der Rechts- und anderer Abteilungen in den Unternehmen. Die DV-Kollegen sind nur Zuarbeiter, denen gesagt werden muss, was sie zu tun und zu lassen haben. Hier versuchen die Herrschaften aus den meist höher gelegenen Stockwerken in den Firmen seit Jahren, schleichend die Verantwortung für die DSGVO an die DV-Abteilungen abzustreifen, weil sie ja „selber keine Ahnung“ haben. Nein, liebe Juristen und Verwaltgungskollegen, Euresgleichen hat uns den Mist eingebrockt, jetzt seht auch zu, wie Ihr damit zurechtkommt.

25.05.2020 - Doc Storage

(3) Nein, der Datenschutz muss nicht verständlicher werden. Jeder, der eine Sache benutzt, sei es nun ein Küchenmesser, eine Fernbedienung oder eben einen Rechner, sollte sich tunlichst vorher über die technischen Möglichkeiten und Gefahren informieren, man springt ja auch nicht kopfüber in ein trübes Wasser. Nein, nur weil es die Hersteller so verdammt einfach machen, etwas zu benutzen (also das Internet oder andere rechnergestützte Dienste), entbindet das niemanden von der Verpflichtung zur Selbstinformation. Die überflüssige Diskussion über z.B. die Cookiegeschichte mache ich gar nicht erst mit. Die Kollegen Juristen wollten das so, also machen wir es so. Ich weiß gar nicht, was das Gewese darum soll. Und ob der eine oder andere Anwender nun einmal mehr irgendwo hinklicken muß (was er wahrscheinlich vorher sowieso nicht gelesen haben wird), ist doch wohl vollkommen gleichgültig.
Also – nicht diskutieren, nicht den Bitkom nach seinen meist der gewünschten Realität angepaßten Statistiken fragen, um sich dann wohlig mit einem „siehste, die anderen leiden auch“ zurückzulehnen. Herrschaften, Ihr hattet VIER Jahre Zeit. Ich kanns nicht mehr hören!
Herzlichst
Doc Storage

25.05.2020 - kfr

Die Forderung nach mehr klarer Ansagen der Datenschütze widerspreche ich!
Ja, es darf gerne mehr Klarheit geben, aber die DSGVO ist bewusst weit gefasst und lässt Interpretationsspielraum, auch um mit dem technischen Fortschritt mitzuhalten.

Dass sich eine Datenschützer direkt gegen ein bestimmtes Produkt ausspricht halte ich für problematisch. Zoom soll beispielsweise Ende der Woche ein großes Update erhalten und erfüllt dann viele der gestellten Forderungen, wie eine Verschlüsselung.
Da kann ich mich vorher nicht komplett gegen ein Produkt aussprechen.

Dass man Office 365 nur einsetzen darf, wenn das Produkt keine »Standleitung« zum Hersteller aufbaut, ist logisch. Das ist aber kein Problem der DSGVO und der Datenschützer, sondern des Software-Herstellers. Der muss sein Produkt standardmäßig mit anderen Einstellungen ausliefern.