Seit Inkrafttreten der europäischen Datenschutzgrundverordnung – kurz DSGVO – hat wohl kaum ein anderes Thema für so viel Unmut in Unternehmen gesorgt wie der Datenschutz. Die DSGVO hat sensibilisiert und frustriert. Aber untätig bleiben ist auch keine Lösung.
Auch mehr als zwei Jahre nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) hadern Unternehmen mit der vollständigen Umsetzung der Anforderungen. So sieht das ernüchternde Urteil einer repräsentativen Umfrage des Digitalbranchenverbandes Bitkom aus.
Datenschutz erschwert Homeoffice
Als hätten die Unternehmen nicht schon genug mit der COVID-19-Pandemie zu kämpfen, kommen die Anforderungen an den Datenschutz noch erschwerend hinzu. So gaben 23 Prozent der befragten Unternehmen an, aus Datenschutzgründen auf Kollaborationstools zu verzichten, die das Arbeiten im Homeoffice erleichtern sollten. „Viele Unternehmen stecken in einem Dilemma: Einerseits sind sie angewiesen auf Kommunikations- und Kollaborationstools, die die Zusammenarbeit auf Distanz ermöglichen und Dienstreisen ersetzen. Andererseits kritisieren deutsche Aufsichtsbehörden eben jene Tools als nicht datenschutzkonform“, so Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.
Insgesamt gab jedes fünfte Unternehmen an, die Anforderungen der DSGVO vollständig umgesetzt und die entsprechenden Prüfprozesse auch etabliert zu haben; immerhin 37 Prozent haben eigenen Angaben zufolge, die Umsetzung größtenteils abgeschlossen. Nichtsdestotrotz schätzen neun von 10 Unternehmen es so ein, dass die DSGVO nicht komplett umsetzbar sei.
Rechtsunsicherheit als größte Herausforderung
Die Anforderungen der DSGVO können nicht einfach über Nacht umgesetzt werden. Als größte Herausforderung gaben rund zwei Drittel Rechtsunsicherheit an. Die Verordnung wird nicht nur in den verschiedenen europäischen Ländern unterschiedlich ausgelegt, auch Urteile des EuGH – jüngstes Beispiel zum Privacy-Shield – sorgen für Verunsicherung.
EuGH-Urteil zum EU-US-Privacy-Shield
Am 16. Juli 2020 hat der europäische Gerichtshof das EU-US-Privacy-Shield gekippt. Ein Urteil mit enormer Tragweite, entzieht es doch vielen Unternehmen die rechtliche Grundlage für den Datentransfer in die USA. Aber das Urteil bezieht sich nicht nur auf die USA, sondern auf alle Datentransfers in Drittländer, die keinem Angemessenheitsbeschluss nach Art. 45 DSGVO unterliegen – künftig kann das auch für Großbritannien (UK) gelten. Wobei dieses Problem dann wesentlich schwieriger zu lösen ist als mit den USA. Umso dringlicher wird da für Firmen die Frage, was sie nun unternehmen sollen und müssen. Schließlich können die Aufsichtsbehörden verschiedene Sanktionen verhängen.
Der Datentransfer zwischen Europa und den USA / Drittstaaten muss allerdings nicht zum Erliegen kommen. Wie der EuGH in einem Urteil mitteilte, können sogenannte Standardvertragsklauseln (SCCs) weiterhin als mögliche Rechtsgrundlage fungieren. Allerdings sollen zusätzliche Garantien von den Unternehmen eingefordert werden.
Where do we go from here?
Die baden-württembergische Aufsichtsbehörde hat zum „Schrems-II“-Urteil eine Orientierungshilfe für Unternehmen herausgegeben. Demnach sollten Unternehmen unter anderem eine Bestandsaufnahme machen, an welcher Stelle personenbezogene Daten in Drittländer transferiert werden. Des Weiteren sollten bestehende SCCs überprüft werden, ob ausreichende Garantien zur Absicherung der internationalen Datentransfers implementiert wurden. Falls nicht, gilt es weitere vertragliche Garantien in Erwägung zu ziehen. Hierzu stellt sich aber ganz klar die Frage, wie solche zusätzlichen Garantien real aussehen können.
Der ursächliche Fakt hinter dem „Schrems-II“-Urteil wird damit nicht aufgelöst. Weitere Möglichkeiten sind Binding Corporate Rules (BCR) zu erstellen und mit den Datenimporteuren zu vereinbaren oder für jeden Transfer von den Betroffenen eine Einwilligung einzuholen. BCR haben allerdings eine lange Umsetzungsphase und sind sehr komplex. Und die technische Bewältigung der Einwilligungen von Betroffenen können im Massengeschäft eine deutliche Herausforderung darstellen.
Eine 100%ige Sicherheit können diese Maßnahmen alle nicht geben – aber wo gibt es die schon? Man kann also sagen, die Unsicherheit bleibt und wird uns wohl nicht nur beim Datentransfer in die USA begleiten. Zum Erliegen wird der internationale Datentransfer allerdings nicht kommen. Eine politische Lösung – ähnlich dem Privacy Shield – könnte zwar kommen, ist aber ungewiss.
Daher sollten Unternehmen jetzt nicht den Kopf in den Sand stecken, sondern sich mit der Drittstaaten-Übertragung auseinandersetzen und schon einmal für einfache Tools (wie beispielsweise das Newsletter-Tool) Alternativen suchen.
„Es wäre wünschenswert unter der deutschen Ratspräsidentschaft eine dem CE-Konformitätsverfahren ähnliche Systematik für Datenschutz anzustoßen. Jetzt kann ein Zeichen für Datenschutz gesetzt werden. Software- und System-Anbieter müssen beweisen, dass ihre Produkte datenschutzkonform sind, bevor sie auf dem europäischen Markt angeboten werden“, fasst Stefan Latz, Abteilungsleiter Datenschutz bei TÜV Hessen, zusammen.