Kleiner Survival-Ratgeber für DSGVO-Spätzünder

Von Timo von Focht 19. März 2018 | 567 0

Für viele Unternehmen ist das Thema Datenschutzgrundverordnung (DSGVO) nicht viel mehr als ein dicker Ordner, der in einer Ecke des Schreibtischs vor sich hin staubt und von Woche zu Woche wieder hintenangestellt wird… Dabei wird die Zeit langsam knapp: Am 25. Mai 2018 tritt die DSGVO in Kraft, daran gibt es keinen Zweifel.

Von diesem Termin an genügt es nicht mehr, auf Anfrage der Aufsichtsbehörden geeignete Datenschutzmaßnahmen nachzuweisen. Die strengen Rechenschafts- und Nachweispflichten zwingen Unternehmen zukünftig dazu, aktiv zu beweisen, dass ihr Datenschutz funktioniert. Und wehe denen, die dieser Pflicht nicht nachkommen… Die vorgesehenen Strafen sind hart: Je nach Versäumnis drohen Maximalstrafen von 10 bis 20 Millionen Euro oder 2 bis 4 % des globalen Umsatzes. Grund genug, sich die folgenden Fragen zu stellen: Wie können Sie die noch verbleibenden Wochen nutzen, um sich auf die DSGVO vorzubereiten? Und vor allem: Wo sollten Sie anfangen? Hier kommt unser kleiner Survival-Ratgeber für DSGVO-Spätzünder…

#1 Bewerten Sie die Risiken

Selbst wenn die Zeit knapp ist: Um diese mühsame Aufgabe kommen Sie nicht herum. Ihr Ziel: Eine umfassende Auflistung aller Risiken und ein präzises Mapping der verarbeiteten Daten und der damit verknüpften Anwendungen. Zu diesem Zweck listen Sie zunächst alle personenbezogenen Daten auf, die Sie nutzen, und analysieren jeden einzelnen Abschnitt ihres Lebenszyklus im Hinblick auf die Datensicherheit.

  • Um was für Daten handelt es sich?
  • Zu welchem Zweck werden sie erhoben?
  • Wo werden sie gespeichert?
  • Sind sie vor unberechtigtem Zugriff geschützt, zum Beispiel durch eine Zwei-Faktor-Authentifizierung?
  • Wird ihr Inhalt geschützt, zum Beispiel durch Verschlüsselung?
  • Greifen auch Subunternehmer auf diese Daten zu? Zu welchem Zweck und unter welchen Bedingungen?
  • Werden sämtliche Verarbeitungsschritte zuverlässig protokolliert?
  • Werden alle mit diesen Daten verknüpften Aktionen dokumentiert?

Allesamt zentrale Fragestellungen, denn: Eines der Grundprinzipien der DSGVO ist mit den Begriffen „Privacy by Default“ oder „Privacy by Design“ beschrieben und es verpflichtet Unternehmen dazu, den Schutz personenbezogener Daten in die Grundkonfiguration und Konzeption ihrer Datenverarbeitung zu integrieren. Ein weiteres Muss ist die sogenannte „Accountability“: Unternehmen müssen in der Lage sein, ihre unternommenen Datenschutzmaßnahmen und deren tägliche Umsetzung jederzeit nachzuweisen. Mühsam – wir haben Sie gewarnt -, aber unumgänglich…


AUSZUG AUS UNSEREM WHITE PAPER: WIE MACHEN SIE IHRE DMP FIT FÜR DIE DSGVO?

Personenbezogene Daten – was ist das eigentlich?

Die DSGVO definiert „personenbezogene Daten“ als alle Informationen, die sich direkt oder indirekt auf eine identifizierbare natürliche Person beziehen. Identifizierbar ist eine natürliche Person demnach, wenn sie „durch Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“.

Anders gesagt: Auch Cookies sind durchaus personenbezogene Daten, weil sie einen konkreten Nutzer indirekt identifizierbar machen. Als konkrete Folge hieraus dürfen Cookies laut DSGVO erst dann aktiviert werden, wenn der Nutzer seine explizite Zustimmung dazu erklärt hat – nachdem er über die Ziele der Datenerhebung informiert wurde.

MEHR DAZU > WHITE PAPER HERUNTERLADEN


 

#2 Räumen Sie auf und reduzieren Sie Ihre Daten

Ein guter Weg, sein Unternehmen DSGVO-konform zu machen, besteht darin, Daten ausschließlich in Abhängigkeit von ihrer Nutzung zu erheben. Kurz gesagt: Nur die Daten zu sammeln, die für die zu erbringende Leistung auch wirklich nötig sind. Warum Informationen zum Beruf oder zur Anzahl der im Haushalt lebenden Personen erfassen, wenn diese Daten letzten Endes für das Erbringen der Leistung überhaupt nicht gebraucht werden? Aus der Perspektive der DSGVO verursacht ein exzessives Sammeln von Daten unnötige Risiken.

Nennen wir die Dinge ruhig beim (sperrigen) Namen: Eine an der Nutzung orientierte Datenerfassung benötigt ein umfassendes Data-Governance-Programm. Von der Grundsatzdefinition bis hin zu ihrer Anwendung wird eine solche Data Governance deutlich vereinfacht, wenn die Daten im Rahmen einer Customer Data Platform (CDP) zentral verwaltet werden – und sich nicht über mehrere Datenbanken und Anwendungen verteilen.

Deshalb ist auch die oben genannte Analysearbeit so wichtig. Geben Sie sich aber nicht damit zufrieden, den Status Quo zu dokumentieren: Nutzen Sie die Gelegenheit, Ihre Daten einem großangelegten Frühjahrsputz zu unterziehen. Machen Sie sich dabei den von der DSGVO geforderten Grundsatz der Datenminimierung zu eigen.

 

#3 Setzen Sie das Einholen der Zustimmungserklärung komplett neu auf

Bestimmt haben Sie selber schon E-Mails wie diese in Ihrem Posteingang gehabt: „Guten Tag, sind Sie noch immer an unseren Informationen interessiert? Wenn ja, bestätigen Sie uns doch bitte kurz, dass Sie auch weiterhin nichts verpassen möchten. Mit einem Klick auf untenstehenden Button sorgen Sie dafür, dass Sie auch in Zukunft jede Woche … usw.“ Diese Mails werden Sie in den kommenden Wochen noch häufiger sehen. Der Grund dafür ist ganz einfach: Die DSGVO fordert, dass das Sammeln von Daten auf rechtlich zulässige und transparente Weise erfolgt.

Klarer formuliert: Alle erhobenen Daten müssen einem präzise definierten Service und einem verständlich erläuterten Nutzen dienen. Aber Achtung: Damit eine Zustimmungserklärung auch als solche gilt, darf das Herausgeben von personenbezogenen Informationen nicht Bedingung für das Funktionieren eines Dienstes sein – denn in diesem Fall würde es sich nicht um eine freiwillige Zustimmung handeln.

Soviel ist klar: Die DSGVO leitet damit eindeutig das Ende des „Soft Opt-In“ und anderer passiver Opt-In-Formen ein. Es ist also keine Option mehr, dem Kunden beim Anlegen seines Kundenkontos die Checkbox für das Newsletter-Abo schon angeklickt zu präsentieren. Für jeden Einsatzzweck ist eine eigene Zustimmung nötig, und jede Zustimmung erlaubt nur das Sammeln der genau für diesen Zweck benötigten Daten. Das ist der Grund, warum – so wie bei der oben genannten E-Mail – derzeit so viele Nachfragen erfolgen, die sich eine Zustimmung DSGVO-konform bestätigen lassen – und die in der Folge auch die Datenbanken bereinigen.

Die bestehenden Formulare müssen also alle überarbeitet werden. Und da Sie schon einmal dabei sind, sollten Sie auch nicht auf halbem Weg Halt machen: Stellen Sie auch Formulare zur Verfügung, in denen Ihre Nutzer personenbezogene Daten ändern, einen Export ihrer Daten anfragen oder auch der Verarbeitung ihrer Daten widersprechen können.

 

#4 Bereiten Sie sich auf eine neue Art der Cookie-Verwaltung vor

Die Frage liegt nahe: Und was ist mit den Cookies? Sind auch sie von den Anforderungen der DSGVO betroffen? Die Antwort ist „Ja“, aber die genauen Anwendungsmodalitäten werden derzeit noch im Rahmen einer weiteren Verordnung unter dem Namen „ePrivacy“ erarbeitet. Während die DSGVO den allgemeinen Schutz personenbezogener Daten betrifft, fokussiert sich ePrivacy, basierend auf den Grundprinzipien der DSGVO, vor allem auf die elektronische Kommunikation.

Auch ohne die Konkretisierungen dieser neuen Verordnung abzuwarten, scheint es angebracht, in Zukunft auf die gängige Formulierung „Durch die Verwendung dieser Website stimmen Sie dem Einsatz von Cookies zu.“ zu verzichten und sie durch eine komplexere, man möchte fast sagen „pädagogischere“ Beschreibung der Ziele und Zwecke des Cookie-Einsatzes zu ersetzen. Die Umsetzung dieses neuen Prinzips bringt technische und auch organisatorische Herausforderungen mit sich, die den für die digitale Kommunikation zuständigen Marketing-Teams zu Recht Kopfschmerzen bereiten.

Für Unternehmen, die in ihren Websites zahlreiche Tags nutzen, führt kein Weg an einem für die Verarbeitung personenbezogener Daten konzipierten Tag Management System (TMS) vorbei.

 

#5 Beziehen Sie das ganze Unternehmen mit ein und sensibilisieren Sie Ihre Mitarbeiter

Auch wenn die Risikobewertung und die komplette Neuorganisation sowohl der benötigten Daten als auch der Einholung der Zustimmungserklärungen wichtige Schritte in Richtung eines DSGVO-konformen Unternehmens sind, sind sie noch lange nicht genug. Im Sinne der neuen Verordnung muss das gesamte Unternehmen sich den Schutz personenbezogener Daten auf seine Fahnen schreiben. Dabei entstehen auch gänzlich neue Aufgaben und Funktionen. Die Verordnung benennt zum Beispiel mehrere Szenarien, in denen ein Datenschutzbeauftragter (DSB) zwangsläufig notwendig ist. In Deutschland schon lange Pflicht, ist der DSB in vielen EU-Mitgliedsstaaten noch ein Novum.

Über den Datenschutzbeauftragten hinaus muss aber auch das gesamte Team für die Risiken sensibilisiert werden, die dem Unternehmen im Fall einer zu lockeren Handhabung personenbezogener Daten entstehen. Eine Aufgabe, die weit über den Stichtag 25. Mai 2018 hinaus bestehen bleibt.

 


AUSZUG AUS UNSEREM WHITE PAPER: WIE MACHEN SIE IHRE DMP FIT FÜR DIE DSGVO?

Welche Aufgaben hat ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte hat im Unternehmen eine beratende, koordinierende und kontrollierende Funktion. Seine Aufgaben bestehen vor allem darin:

  • datenverarbeitende Mitarbeiter zu beraten und zu informieren,
  • die Einhaltung der datenschutzrechtlichen Grundsätze zu kontrollieren und
  • als Ansprechpartner für die Kontrollbehörden zur Verfügung zu stehen.

MEHR DAZU > WHITE PAPER HERUNTERLADEN

Jetzt Demo anfordern