DSGVO: Behalten Sie den Durchblick beim komplexen Thema Kundendaten

Marcy Darsey, Director of Corporate Counsel, Lifesize
Datum: 15. Februar 2018

Hallo zusammen und willkommen zurück bei einer neuen Ausgabe von Lifesize Live!, der Live-Web-Show, die komplett über die Lifesize-Plattform produziert wird.

Ich bin Ihr Moderator, Julian Fields, und mein heutiger Gast ist Marcy Darsey, Rechtsexpertin hier bei Lifesize. Wir werden über die DSGVO sprechen.

Genau, eines der Lieblingsthemen in letzter Zeit.

Ja, und ich glaube, wir haben alle schon von der DSGVO gehört. Aber vielleicht sollten wir dennoch zuerst für alle klären, was DSGVO überhaupt bedeutet: Können Sie ein bisschen mehr zum Hintergrund erzählen? Also, was ist die DSGVO, wofür steht sie usw.?

Erst einmal vielen Dank für die Einladung zu Lifesize Live!, Julian. Ich freue mich sehr, dabei zu sein. Es ist wirklich aufregend, das Studio zu sehen und Teil dieses Webcast zu sein, den Lifesize jetzt produziert. Doch bevor wir loslegen und ich Ihnen als Anwältin interessante Dinge über die DSGVO erzähle, möchte ich gerne ausdrücklich darauf hinweisen, dass meine Antworten in den nächsten 10 Minuten keine Rechtsberatung darstellen.

Verstehe.

Falls jemand also mehr zu diesem Thema wissen möchte oder konkrete Fragen zur DSGVO, Vorschriften oder Gesetzen hat, empfehle ich, sich juristischen Rat von einem Experten zu holen. Aber kommen wir nun zur ursprünglichen Frage zurück: Was ist die DSGVO und wofür steht sie? DSGVO ist die Abkürzung für „Datenschutz-Grundverordnung“. Dabei handelt es sich um ein neues, von der Kommission der Europäischen Union beschlossenes Gesetz. Es regelt die Sicherheit und den Schutz der Daten für alle Einwohner der Europäischen Union.

Okay. Aus meiner Tätigkeit im Marketing kenne ich das noch. Wir mussten nämlich immer darauf achten, bestimmten Leuten keine E-Mails zu schicken, die noch nicht per Opt-in ihre Zustimmung zum Erhalt von E-Mails gegeben hatten.

Genau. In der EU gibt es eigentlich schon seit langer Zeit Datenschutzgesetze und -verordnungen. Um genau zu sein seit mehr als 20 Jahren. Aber die DSGVO selbst gibt es jetzt seit zwei Jahren. Bisher befanden wir uns noch in der Übergangsphase, um alle notwendigen Änderungen und Anpassungen vorzunehmen. Doch am 25. Mai tritt das Gesetz endgültig in Kraft. Ab diesem Tag wird genau geschaut, ob alle Richtlinien und Verordnungen eingehalten werden. Wenn Unternehmen sich nicht an die DSGVO halten, drohen Geldbußen. Und die sind ziemlich hoch.

Was bedeutet hoch? Dass man nicht mit einem blauen Auge davonkommen wird?

Nein, definitiv nicht. Es sind Bußgelder von bis zu 20 Millionen Euro vorgesehen, was zeigt, wie wichtig das Thema ist.

Lassen Sie mich kurz überlegen, wie der Umrechnungskurs von Euro in Dollar ist … das sind mehr als 20 Millionen Dollar!

Ja, eine stolze Summe. Es kann passieren, dass Unternehmen entweder diese über 20 Millionen Dollar oder bis zu vier Prozent ihres Vorjahresumsatzes an Strafe zahlen müssen. Dafür wird übrigens der weltweite Umsatz herangezogen, nicht nur der Umsatz aus Geschäften in Europa.

Also kann man sagen, je größer das Unternehmen, desto höher das Bußgeld?

Korrekt! Die Geldbußen sind sinnvoll, denn die Europäische Union erkennt damit an, dass jede einzelne Person ein Grundrecht auf den Schutz ihrer Daten hat. Man sollte sich wirklich mal vor Augen führen, in was für einer Welt wir heute leben und welche technologischen Fortschritte wir in den letzten Jahrzehnten gemacht haben. Die Identitäten von Menschen und ihre persönlichen Daten werden auf vielen Plattformen geteilt und eine Menge Unternehmen profitieren von solchen personenbezogenen Daten.

Ja, es kommt mir so vor, als hätte jede App auf meinem Handy mindestens meinen Namen, irgendein Passwort, Telefonnummern, Adressen und so weiter.

Genau. Denkt man allein an die ganzen Unternehmen, mit denen man online interagiert, wird einem erst einmal klar, wie viele personenbezogene Informationen diese ganzen Unternehmen über einen haben.

Kreditkarten sind nur die eine Sache, aber es sind auch detaillierte Informationen über mich als Person.

Ja, die Identität, die Daten, wer Sie sind, Ihr Name – das sind alles private Informationen. Wenn Sie diese Informationen an ein Unternehmen weitergeben, dann ist das Unternehmen verpflichtet, sicherzustellen, dass die Erfassung und Verarbeitung Ihrer Daten unter transparenten Gesichtspunkten erfolgt. Außerdem müssen die Unternehmen entsprechende technische und operative Sicherheitsmaßnahmen implementieren, um dafür zu sorgen, dass Ihre personenbezogenen Daten geschützt sind und nicht von Hackern gestohlen werden können. Falls sich Unternehmen nicht an diese Gesetze halten, drohen hohe Strafen, denn die EU-Kommission möchte sicherstellen, dass diese Verpflichtungen ernst genommen werden.

Verstehe. Was sind die wichtigsten Elemente der DSGVO?

Wenn Sie die DSGVO in englischer Sprache ausdrucken würden, wären es schon 88 Seiten. Es handelt sich dabei um ein umfangreiches Gesetz, das viele Bereiche abdeckt. Die DSGVO umfasst genau genommen 99 Artikel.

Das passt perfekt, denn es sind noch 99 Tage bis zum Stichtag. Das ist ein Artikel pro Tag, das können wir schaffen!

Jeder kann das schaffen. Unsere magische Zahl ist heute also die 99, weil wir noch 99 Tage Zeit haben, bis die DSGVO in Kraft tritt. Sie deckt eine Menge Themen ab, aber einen der wichtigsten Aspekte habe ich schon angesprochen: Transparenz. Einzelpersonen haben das Recht zu wissen, welche Daten von ihnen erfasst werden, was Unternehmen mit diesen Daten machen und ob diese Daten an Drittanbieter oder externe Datenverarbeiter weitergegeben werden. Zur Transparenz gehört auch, dass der Bürger weiß, wie und wo auf der Welt seine Daten gespeichert werden.

Sie meinen also solche Dinge wie Pop-up-Fenster auf Websites mit Hinweisen zur Verwendung von Cookies?

Ja, so etwas. Das können auch Banner sein. Genau darum geht es, wenn von Transparenz Kunden gegenüber die Rede ist. Es ist enorm wichtig, entsprechende Hinweise in der Datenschutzrichtlinie oder -erklärung zu haben. Die meisten Unternehmen aktualisieren die Datenschutzerklärung für ihre Kunden, damit sie diese Verpflichtungen in Bezug auf Transparenz einhalten. Ein weiterer, ebenfalls wichtiger Aspekt der DSGVO ist die Rechenschaftspflicht. Rechenschaftspflicht bedeutet im Grunde, dass Unternehmen in der Lage sein müssen, ihren Kunden gegenüber die Einhaltung dieser Richtlinien nachzuweisen und zu belegen. Unternehmen brauchen also in Zukunft dokumentierte Prozesse und Maßnahmen. Sie müssen außerdem ihre Aktivitäten hinsichtlich der Datenverarbeitung dokumentieren. Jeder Schritt muss nachvollziehbar sein.

Es reicht also nicht, einfach zu sagen „Ja, ich bestätige, dass ich die DSGVO einhalte“?

Nein, es reicht nicht aus, einfach nur sein Wort zu geben und mündlich zu versichern, dass Sie sich daran halten. Es herrscht eine Dokumentationspflicht, damit Sie das auch nachweisen können. Ein dritter wichtiger Aspekt der DSGVO wird als „Privacy by Design“ bezeichnet. Dieses Konzept bezieht sich darauf, dass Unternehmen, die Produkte entwickeln, mit denen personenbezogene Daten erfasst oder verarbeitet werden können …

Wie die von mir vorhin erwähnten Apps?

Genau! Wenn Sie also Apps entwickeln, die personenbezogene Daten erfassen, müssen Sie das „Privacy by Design“-Konzept von Anfang an in den Produktentwicklungsprozess integrieren.

Und nicht erst im Nachhinein?

Richtig, genau das ist gemeint. Während der Entwicklung der Produktarchitektur berücksichtigen Sie bei jedem Schritt auch die Datenschutz- und Sicherheitsaspekte. Von Anfang an werden Datenschutz- und -sicherheit mit einbezogen und so zu einem festen Bestandteil der Lösung oder des Service. Solche Maßnahmen werden also nicht erst am Ende im Nachhinein in irgendeiner Form implementiert. Genauso wie Sie es gesagt haben.

„Um die Verschlüsselung kümmern wir uns am Schluss!“ funktioniert also nicht?

Damit ist es nicht getan. Der Datenschutzaspekt muss im gesamten Produktentwicklungszyklus präsent sein. Und durch die Rechenschaftspflicht müssen Sie diese Maßnahmen auch dokumentieren.

Verstehe. Gut, das sind also die drei wichtigsten Themen. Vielleicht sagen Sie uns jetzt, woran Unternehmen auf jeden Fall denken sollten? Können Sie uns sagen, welcher der erste Schritt ist?

Unternehmen sollten zuerst einmal untersuchen und prüfen, welche Daten sie überhaupt haben. Welche Daten wurden bereits von Kunden erfasst? Und lässt sich der Datenfluss nachvollziehen? Manchmal wird diese Strategie auch als Erstellung einer Datenlandkarte oder Dateninventur bezeichnet. Anschließend wird jeder Schritt ganz genau untersucht: Man beginnt mit der Erfassung, fährt anschließend mit der Verarbeitung und der Speicherung fort und arbeitet sich bis hin zur Löschung oder Aufbewahrung vor. Unabhängig davon, ob Verpflichtungen eingehalten werden müssen, sollten Sie sicherstellen, dass alle Schritte in Einklang mit der Verordnung stehen. Der erste Schritt ist also die Datenprüfung bzw. Erstellung einer Datenlandkarte. Anschließend erfolgt die Implementierung von entsprechenden technischen und operativen Maßnahmen, um sicherzustellen, dass die persönlichen Daten in allen Phasen sicher sind.

Okay. Ich habe gerade gesehen, dass jemand eine Frage gestellt hat. Vielleicht könnten Sie uns diese Frage kurz beantworten? Es geht um das Thema Datenschutzbeauftragte. Sind Unternehmen verpflichtet, jemanden zum Datenschutzbeauftragten zu ernennen?

Das kommt drauf an. Nicht jedes Unternehmen ist verpflichtet, einen Datenschutzbeauftragten zu haben. Es hängt immer davon ab, welche Arten von Daten Sie verarbeiten. Wenn Sie viele sensible Daten verarbeiten, empfiehlt es sich, jemanden mit dieser Aufgabe zu betrauen. Und falls Sie ein System für permanente Überwachung installiert haben (zum Beispiel mithilfe von Kameraaufnahmen, die konstant Ihre Mitarbeiter filmen), müssen Sie einen Datenschutzbeauftragten ernennen. Das ist die typische Juristenantwort, aber es ist eigentlich situationsabhängig. Und das fasst dieses Gesetz eigentlich ganz gut zusammen: Es gibt keine allgemeingültige Regelung. Jedes Unternehmen sollte ein eigenes, auf seine spezielle Situation zugeschnittenes Programm entwickeln, um die Vorschriften zu erfüllen. Wie dieses Programm im Endeffekt aussieht, hängt von den Datenarten und deren Verarbeitung ab. Es gibt keine einfache Lösung, die für jedes Unternehmen funktioniert. Alles muss entsprechend angepasst und sorgfältig durchdacht werden.

Ja, definitiv. Vielen herzlichen Dank, Marcy. Leider ist unsere Zeit für diesen Webcast schon vorbei. Aber ich weiß, dass die Zuschauer sehr interessiert sind und noch weitere Fragen gestellt wurden. Vielleicht können wir noch einmal auf Sie zukommen und einen Blog-Artikel darüber verfassen?

Auf jeden Fall. Das Thema ist sehr komplex und ich freue mich über jeden, der heute eingeschaltet und zugeschaut hat. Vielen Dank für die Einladung.

Sehr gerne. Wir müssen unbedingt bald wieder miteinander sprechen. Vielen Dank, dass Sie alle dabei waren. Wir sehen uns nächste Woche. Auf Wiedersehen.

Brauchen Sie weitere Hilfe?
Kontaktieren Sie einen unserer Außendienstmitarbeiter.