Auskunftsanspruch, Risikobewertung, Mitteilungspflicht, Löschkonzept: kein Zweifel – mit der EU-DSGVO kommt mächtig was zu auf Unternehmen, die mit personenbezogenen Daten umgehen. Unter diesen sind auch die Verlage. Und Verlage als Medienunternehmen stehen unter besonderer Beobachtung – durch die Öffentlichkeit, aber auch durch Interessengegner, die aus legitimen oder illegitimen Gründen das Recht durchzusetzen helfen, unter diesen auch Abmahnvereine.
„Nur rund jedes achte Unternehmen wird nach eigener Einschätzung bis zum Stichtag die Vorgaben der Datenschutzgrundverordnung vollständig umgesetzt haben“, bilanzierte Ende des Jahres 2017 der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom). Der Stichtag ist der 25. Mai 2018 und gilt ohne jede Übergangsfrist. Wer gegen die Risiken vorbeugen möchte, muss das Thema DSGVO schleunigst auf die Agenda bringen – zumal es kein reines IT-Thema ist, sondern mehrere Bereiche im Unternehmen betrifft.
Auch Fullservice-Dienstleister Rhenus Media Services hat das Thema auf der Agenda. Rhenus Media Services bietet für ihre Kunden und Interessenten „Datenschutz aus der Cloud“ an. Wie dieser konkret aussieht, ist am 8. März 2018 eines der Themen einer branchenübergreifenden kostenlosen Informationsveranstaltung am Rhenus-Hauptsitz am Dortmunder Flughafen. Das Motto: „Handlungsempfehlungen und Umsetzungsmöglichkeiten – Datenschutzgrundverordnung 2018“. Anmeldungen sind ab sofort per E-Mail möglich. Neben den Experten der Rhenus kommen die Fachanwälte für IT-Recht Norbert Geyer und Michaela Berger als Sprecher zu Wort. Ihre Kanzlei RDP hat den Datenschutz zum langjährigen Betätigungsfeld.
RA Norbert Geyer nimmt im Interview des IT-Channel von buchreport.de Stellung zu den „offenen Flanken“ der Medienwirtschaft in Sachen DSGVO – und dazu, wie sich Unternehmen im eigenen Interesse auch über den gesetzlichen Rahmen hinaus daten- und kundenfreundlicher aufstellen könnten.
Wie gut sind die Verlage auf die Datenschutzgrundverordnung vorbereitet?
Die Datenschutzgrundverordnung hat branchenübergreifend in den meisten Unternehmen für Unruhe gesorgt. Zu beobachten ist, dass die Unternehmen sehr unterschiedlich damit umgehen. Obwohl die Datenschutzgrundverordnung mittlerweile in vielen Unternehmen ein Begriff ist, herrschen über den Zeitpunkt des tatsächlichen Inkrafttretens, die zukünftigen Anforderungen und die Herangehensweise viele Unklarheiten.
In dieser Beziehung unterscheidet sich die Verlagsbranche nicht von anderen Branchen. Für viele andere Branchen besteht der Vorteil, dass durch gesetzliche Anforderungen aus anderen Bereichen, wie zum Beispiel der notwendigen ISMS Zertifizierungen, bereits eine Sensibilisierung stattgefunden hat. Die Verlagsbranche ist eine sehr traditionsreiche Branche mit teilweise weit verzweigten Kooperationsstrukturen und großem Anfall an Kundendaten. Dies sind Umstände, die die Umsetzung der Datenschutzgrundverordnung für die Verlagsbranche nicht erleichtern, weswegen gerade in dieser Branche zu beobachten ist, dass viele Verlage noch eine Menge Hausaufgaben zu erledigen haben, um am 25.05.2018 DSGVO-konform aufgestellt zu sein.
Was sind die größten Baustellen in der praktischen Umsetzung?
Die größten Baustellen in der praktischen Umsetzung sind ganz klar die erhöhten Dokumentations- und Nachweispflichten. In vielen Unternehmen ist zu beobachten, dass Prozesse und Arbeitsabläufe auch im Hinblick auf die DSGVO datenschutzkonform ablaufen.
Leider ist dies für die DSGVO aufgrund der bußgeldbewerten Nachweispflichten (Stichwort Accountability) nicht mehr ausreichend. Im Ergebnis kommen diese einer Beweislastumkehr gleich: Jede datenschutzrechtliche Maßnahme, die nicht protokolliert ist, wird als nicht vorhanden angesehen. Dies muss durch äußerst ausführliche Verarbeitungsverzeichnisse für alle Verfahren und Prozesse, mit denen personenbezogene Daten verarbeitet werden, gelöst werden.
Ein weiterer Punkt, der den Unternehmen viel Arbeit bereitet und auch zukünftig bereiten wird, ist der Abschluss der datenschutzrechtlichen Vereinbarungen. Sämtliche Dienstleistungsbeziehungen, im Rahmen derer personenbezogene Daten ausgetauscht werden, müssen durch solche Vereinbarungen abgesichert werden. Hierbei ist es nicht ausreichend, lediglich in allgemeiner Weise auf einen bestehenden Hauptvertrag zu verweisen, es müssen sowohl die im Rahmen des Dienstleistungsverhältnisses erbrachten Leistungen, die verarbeiteten Daten und Datenkategorien und eine ausführliche Aufstellung der seitens des Auftragnehmers getroffenen Sicherheitsvorkehrungen enthalten sein.
Mehr zum Thema IT und Digitalisierung lesen Sie im IT-Channel von buchreport und den Channel-Partnern knk und Rhenus. Hier mehr…
Weitere Punkte, mit denen Unternehmen auch unter der Datenschutzgrundverordnung weiter zu kämpfen haben, sind die Regelungen zur Handhabung von mobilen Geräten, die Kontrolle der Masse und Flut an E-Mails und immer wichtiger werdend ein belastbares Einwilligungsmanagement.
Wo sollte man zuerst ansetzen?
Ein punktueller Ansatz zur Behebung einzelner Probleme wird den Unternehmen nicht weiterhelfen. Erste Aufgabe der Unternehmen muss es sein, sämtlichen Datenfluss genau nachzuverfolgen und zu dokumentieren.
Aufgrund der Komplexität des Datenschutzes und den Verschärfungen nach der DSGVO kann Datenschutz im Unternehmen nur durch ein alle Bereiche und Tätigkeiten eines Unternehmens abdeckendes Datenschutzkonzept rechtssicher gestaltet werden.
Im Rahmen einer gemeinsam mit der Rhenus Media Services am 08.03.2018 in Holzwickede stattfindenden Veranstaltung werden wir uns dieser Frage ausführlich widmen und zu den genannten Punkten konkrete Lösungsvorschläge unterbreiten.
Wie müssen sich Unternehmen insgesamt (auch abseits der Datenschutzgrundverordnung) verändern, um sich unter dem Aspekt der Datensouveränität kundenfreundlicher aufzustellen?
Viele Unternehmen verstehen unter Kundenfreundlichkeit die ständige Erreichbarkeit, die sofortige Beantwortung von Kundenfragen zum Beispiel über Social Media oder Chatmöglichkeiten auf Webseiten, kurz gesagt die Betreuung der Kunden auf allen Kanälen. Diese Masse an den Kunden zur Verfügung gestellten Kommunikationsmöglichkeiten ist mangels Ressourcen von vielen Unternehmen nicht beherrschbar. Dies führt zum einen zu Kundenunzufriedenheit, zum anderen stellen all diese Maßnahmen das Unternehmen aber auch vor datenschutzrechtliche Herausforderungen.
Über sämtliche dieser Kommunikationsmöglichkeiten müssen ggf. Verarbeitungsverzeichnisse erstellt werden, es muss eine Dokumentation erfolgen, es sind datenschutzrechtliche Vereinbarungen mit unterschiedlichen Dienstleistern abzuschließen, und es ist für eine geordnete und datenschutzkonforme Verarbeitung all der eingehenden Kundenkommunikation zu sorgen. Dies kostet das Unternehmen weitere Ressourcen. Ähnliches gilt für das Einwilligungsmanagement. Neben den datenschutzrechtlichen Aspekten sind hierbei vor allem wettbewerbsrechtliche Themenstellungen zu beachten.
Daten, insbesondere personenbezogene Daten, stellen einen enormen wirtschaftlichen Wert für jedes Unternehmen dar. Die Unternehmen müssen ein Bewusstsein dafür entwickeln, dass diese Daten auch sehr schnell in ein enormes Haftungsrisiko für die Unternehmen umschlagen können. Wenn Unternehmen den Kunden und Mitarbeitern auf Auskunftsansprüche keine Auskünfte geben können, Kundenansprache ohne belastbares Einwilligungsmanagement durchführen oder keine ausreichenden Maßnahmen zur Sicherheit der bei ihnen verarbeiteten Daten treffen, so ist dies für Unternehmen gefährlich und für Kunden ärgerlich.
Rechtsanwalt Norbert Geyer ist Fachanwalt für IT-Recht und vom TÜV Süd zertifizierter Datenschutzbeauftragter. Im Datenschutzrecht betätigt er sich vor allem mit der Erstellung von Datenschutzkonzepten, als Externer Datenschutzbeauftragter und als datenschutzrechtlicher Berater von Unternehmen und Konzernen, darüber hinaus im IT-Vertragsrecht und mit den IT-rechtlichen Bezügen des Wettbewerbs-, Urheber- und Markenrechts.
Er ist Rechtsanwalt seit 2003, zunächst am Standort München einer internationalen Sozietät, ab 2005 als Partner einer mittelständischen Kanzlei in Augsburg und seit 2009 als Partner bei RDP Rechtsanwälte. Er ist Mitglied in der DAVIT (Arbeitsgemeinschaft IT-Recht im deutschen Anwaltverein) und im BvD (Berufsverband der Datenschutzbeauftragten Deutschlands).
Bilder: Rhenus, RDP.
Die Analyse ist vollkommen richtig. Aus Sicht des Beraters wird das Thema, mit Ausnahme der großen Verlage und Verlagsgruppen, schlicht nicht ernst genommen. Und kosten darf es auch nichts. Das Erwachen kann hart und teuer werden.