© Serezniy / 123RF.com

:Die Datenschutzgrundverordnung beschäftigt Unternehmen seit nunmehr vier Jahren. Wir haben bei den Verantwortlichen von Computec, Golem.de und Heinlein Support nachgefragt, wie die jeweilige Umsetzung in der Praxis läuft und welche Hindernisse und Probleme es zu meistern gilt.

Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung des Europäischen Parlaments in Kraft und regelt die Verarbeitung personenbezogener Daten auf europäischer Ebene. Ziel ist es, die Grundrechte der Menschen bezogen auf den Datenschutz umzusetzen.

Artikel 4 der DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar gilt dabei eine natürliche Person, die sich den Daten direkt indirekt zuordnen lässt, insbesondere mittels einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren “besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind”. In der Praxis gilt es genau abzuwägen, wie man mit solchen Daten DSGVO-konform umgeht.

Bestandsaufnahme

Christian Zamora (Abbildung 1), bei Computec [1] Senior Web Developer und Datenschutzbeauftragter, rät dazu, mit einer Bestandsaufnahme zu beginnen (Abbildung 1). Mit seinem Team hat er die betreuten Webseiten analysiert und so ermittelt, welche Anpassungen im Rahmen der DSGVO anfallen, berichtet er. Die Anpassungen wurden dann noch anhand eventuellen Fristen durch den Gesetzgeber für die Umsetzung priorisiert. Man sollte dabei nicht vergessen, auch Webseiten und deren Datenverarbeitung einzubeziehen, die man nicht selbst entwickelt und hostet, die aber zum Firmennetzwerk gehören, rät Zamora.

Abbildung 1: Christian Zamora ist bei der Computec Media GmbH Webentwickler und Datenschutzbeauftragter.

Externe Prüfung

Benjamin Sterbenz (Abbildung 2), Chefredakteur von Golem.de [2] und Geschäftsführer der Golem Media GmbH, hat für seine Webseite intern eine Person für das Thema DSGVO abgestellt. Dieser Mitarbeiter fungiert als Projektkoordinator und Schnittstelle und stimmt sich mit dem von Golem.de engagierten externen Datenschutzbeauftragten und der internen Technik ab.

Abbildung 2: Die Webseite Golem.de ist das Refugium von Chefredakteur Benjamin Sterbenz.

Den Schritt, einen externe Datenschutzbeauftragten zu engagieren, habe man speziell im Zug der DSGVO-Umsetzung getan, berichtet Sterbenz. Mit dem Datenschutzbeauftragten hatte man allerdings schon vorher in anderen Rechtsangelegenheiten vertrauensvoll und lange zusammengearbeitet. Alle erforderlichen Unterlagen wurden dann initial selbst erstellt und gemeinsam mit dem Datenschutzbeauftragten geprüft und finalisiert.

Umbauarbeiten

Die praktische Umsetzung der DSGVO entpuppte sich als Herausforderung, berichtet Christian Zamora. Die dafür nötige Integration einer Cookie-Management-Plattform (CMP) auf allen Webseiten von Computec, die Tracking und Werbung einsetzen, stellte ein enorm zeitaufwendiges Projekt dar, und das nicht nur aus Sicht der technisch notwendigen Umbauten. Das Unternehmen holte für dieses Unterfangen auch die Vermarkter mit ins Boot sowie diverse externe Dienstleister, die ebenfalls in den Webseiten integriert sind. Dagegen seien an den eigenen Systemen in Sachen Cookies kaum Anpassungen notwendig gewesen, da diese rein technischen Zwecken dienen.

Zur Einhaltung der DSGVO habe man dann auch noch Daten entfernt und aufgeräumt und zudem ein System bereitgestellt, mit dem Benutzer ihren Account-Daten automatisch anfordern und ihre Konten selbstständig löschen lassen können, so der Datenschutzbeauftragte. Zudem habe es diverse Modifikationen bei Löschautomatismen gegeben, etwa für die Daten von Gewinnspielteilnehmern. Zwar habe man zuvor schon auf solche Mechanismen gesetzt, es sei aber teils nötig gewesen, sie zu ändern, weil sie unter Umständen Daten zu lange vorhielten. Es sei also sinnvoll, vorhandene Automatismen noch einmal auf Konformität zu checken, betont Zamora.

Embeddings, also etwa externe Einbindungen von Youtube-Videos oder Twitter-Feeds, stellten die Computec-Entwickler auf sogenannte Zwei-Klick-Lösungen um. Für den Besucher der Webseite werden Videos damit erst dann in Artikel integriert, wenn sie dem zugestimmt haben. Facebook-Like-Buttons und deren für die Einbindung notwendigen APIs hat Computec nicht verbaut.

Sparen und Organisieren

Hilfreich sei gewesen, dass man generell schon immer recht datensparsam gearbeitet habe, so Zamora. Bis auf E-Mail- und IP-Adressen auf technisch notwendiger Ebene wurden keine relevanten Daten von Kunden – in konkreten Fall also Benutzern – in den hauseigenen Systemen gespeichert. Auch IP-Adressen habe man in den Community-Systemen und Server-Logfiles schon vorher nur kurzzeitig vorgehalten, sagt Zamora.

Benjamin Sterbenz von Golem.de sieht es für seine Webseite ähnlich. “Da wir bei Golem.de seit jeher sehr genau hinterfragen, wofür wir welche Daten brauchen und wie wir sie absichern, mussten wir wenig Programmieraufwand investieren”, berichtet er. Es sei dann vor allem organisatorischer Aufwand angefallen, weil es gegolten habe, eine Dokumentation anzulegen, Textpassagen auf der Webseite zu ergänzen und nicht zuletzt Auftragsverarbeitungsverträge gemäß der DSGVO abzuschließen.

Laufende Kosten

Der Umfang des Aufwands, den man laufend für die DSGVO betreiben muss, lässt sich nur schwer einschätzen, sagt Christian Zamora: Er schwanke stark. Den größten Aufwand habe es selbstredend vor der Einführung gegeben und auch noch ein Jahr danach. “Inzwischen fressen unregelmäßige Anpassungen an den bestehenden Systemen sowie Legitimitätsprüfungen bei der Einführung neuer Dienste und Prozesse die meiste Zeit”, so Zamora.

Es gelte einfach immer zu prüfen und zu hinterfragen, wohin ein Dienst welche Daten übertragen will sowie, ob ein ein Auftragsverarbeitungsvertrag notwendig und ob er auch vollständig sei. Was ebenfalls anfalle, sei ein wachsames Auge auf jeweils aktuelle Präzedenzfälle aus der Rechtsprechung und nötigenfalls auch eine Reaktion darauf.

Auch Benjamin Sterbenz kann den Aufwand für die Einhaltung der DSGVO bei Golem.de nicht in Stunden beziffern. “Das Thema beschäftigt uns weiterhin laufend”, sagt er.

Informiert bleiben

Aber wie bleibt man bei den Regelungen und Änderungen der DSGVO stets auf dem Laufenden? Für Christian Zamora unterscheidet sich das kaum vom normalen Arbeitsalltag, in dem man sich auch anderweitig up to date halten müsse. Er beobachtet diverse News-Feeds und Webseiten, die den Themenbereich DSGVO und Datenschutz zum Thema haben, und behält die neuesten Entwicklungen im Auge.

Für den zuständigen Datenschutzbeauftragten sei auch wenigstens ein Mal pro Jahr eine Auffrischungsschulung angeraten, so Zamora. Es zeigten sich aber auch im Unternehmen die eingebundenen Abteilungen und Kollegen viel aufmerksamer gegenüber Fällen von möglicher Datenschutzprobleme, die eventuell Anpassungen erforderten. “Die allgemeine Wahrnehmung zum Thema Datenschutz hat sich in den letzten Jahren deutlich gesteigert”, sagt Christian Zamora.

Auch für Benjamin Sterbenz zählt die Information online und die regelmäßige Abstimmung mit dem Datenschutzbeauftragten zu den Pflichtaufgaben, um auf dem Laufenden zu bleiben.

Automatismen

Die Einhaltung der DSGVO-Regeln lässt sich trotz vorausschauender Entwicklung für Webseiten schwer automatisieren. “Wie erwähnt haben wir für Löschungen von personenbezogenen Daten Automatismen eingeführt, aber natürlich gibt es immer wieder Anfragen, wie Account-Löschungen oder Auskünfte per E-Mail, deren automatische Verarbeitung eher schwierig wären”, sagt Zamora. Das betreffe dann die Computec-Webseiten, die ein Account-System und damit auch personenbezogene Daten enthalten könnten, so der Experte.

Auch bei Golem.de wird versucht, Prozesse so gut es geht zu automatisieren. “Es gibt aber einiges, das manuell und punktuell erledigt wird. Hier lohnt schlicht der Aufwand nicht, es automatisiert umzusetzen”, sagt Benjamin Sterbenz.

Problemzonen

Als eine große Hürde sieht Christian Zamora die Entscheidung des europäischen Gerichtshofes und des Bundesgerichtshofs an, dynamische IP-Adressen als personenbezogene Daten einzustufen. Das sei ein Problem und mache vor allem zu Beginn auch die Zusammenarbeit mit externen Diensten umständlicher. Beide Seiten müssten dann nach- und ausweisen, dass sie wahlweise keine oder eine reine Verarbeitung zur technischen Notwendigkeit vornehmen. Falls dies nicht geschehe, müsse man die IP-Adressen anonymisieren oder pseudonymisieren. Das mache es notwendig, mit jedem Dienst zu prüfen und zu klären, wie er IP-Adressen speichert und nutzt, auch wenn nur ein einfacher Aufruf eines Diensts ohne Anmeldungen oder Cookie-Setzung erfolgt.

Bei Golem.de sieht man zwar keine nennenswerten Probleme, spricht aber allgemein von einem Zeitproblem, weil das Thema arbeitsintensiv sei. Die Zeit müsse man eben nehmen und alles entsprechend planen, so Benjamin Sterbenz.

Streichungen

Dass die DSGVO auch schon Entwicklungen auf Websites verhindert hat, kann Christian Zamora nicht bestätigen. Allerdings habe der Datenschutz Dinge an einigen Stellen verkompliziert. Bei Features wie einem Quiz, Verlosungssystemen und Shops müsse man deutlich vorsichtiger sein, sagt er. Dabei gelte es insbesondere die Art der Datenspeicherung sowie deren Dauer und die Zugriffe auf die Daten im Auge zu behalten. Was er aber jedem Websitebetreiber raten könne, sei die Entfernung der extern eingebundenen Google-Fonts in allen Webseiten.

Zum Hintergrund: Das Landgericht München hat entschieden, dass das Einbindung von dynamischen Webinhalten wie Google Fonts von US-Webdiensten ohne Einwilligung der Besucher rechtswidrig ist. Webseitenbetreiber, die dagegen verstoßen, können laut dem Urteil auf Unterlassung und Schadensersatz verklagt werden. Dem Kläger wurde ein Schadensersatz zugesprochen, da bei einem Aufruf der beklagten Webseite seine IP-Adresse durch die eingebundenen Google Fonts an das US-Unternehmen weitergegeben wurde.

Auf dem Prüfstand hätten bei Computec auch alle Tracking- und Werbeintegrationen gestanden, betont Zamora. Da seien die jeweiligen Anbieter selbst gefragt gewesen und hätten ständig Anpassungen vornehmen müssen. “Wäre das nicht passiert, hätten wir diese aus unseren Webseiten entfernen müssen”, sagt der Datenschützer.

Benjamin Sterbenz hat allerdings beobachtet, dass sich bestimmte neue Projekte wegen der DSGVO nicht mehr wirtschaftlich darstellen lassen, weshalb sie nicht umgesetzt wurden. Auch Kooperationen mit andere Firmen könnten scheitern oder ziehen sich in die Länge, da zusätzliche Zeit für die DSGVO-Konformität aufgewendet werden müsse, so der Golem-Chefredakteur. Partner aus Deutschland seien gewappnet, Partner aus anderen Ländern dagegen oft nicht so gut vorbereitet.

Unsicherheiten

Die größte Unsicherheit im Zusammenhang mit der DSGVO stellt für Christian Zamora dar, dass sich immer etwas ändern kann, vor allem in noch striktere Richtungen. Entsprechende Urteile und Präzedenzfälle hätten zwar nicht unbedingt etwas mit den eigenen Systemen und der Art der erfassten Daten und deren Verarbeitung zu tun, würden aber trotzdem Anpassungen oder im schlechtesten Fall das Entfernen von Features und Diensten notwendig machen.

“Auch wenn Anforderungen und Umsetzungsmaßnahmen oft überzogen wirken und teilweise auch sind, ist Datenschutz richtig und wichtig”, resümiert Christian Zamora. Der Datenschutz verändere den Markt – ob zum Guten oder Schlechten sei abhängig von der Perspektive. Aber Datenschutz sei für Webseitenbetreiber auch in den nächsten Jahren als fester Bestandteil des Arbeitsalltags nicht wegzudenken.

Dienstleister

Beim Berliner IT-Spezialisten Heinlein Support erinnert sich Peer Hartleben (Abbildung 3), unter anderem Datenschutzbeauftragter bei der Heinlein Support GmbH [3], an die Einführung der DSGVO. Im Mai 2018 sei eine Welle des Schreckens durch viele Unternehmen gegangen, und man habe spüren können, dass sich viele Firmen scheinbar erstmals mit dem Thema Datenschutz auseinandergesetzt hätten. Entsprechend aufgeregt hätten die Kunden reagiert und um Unterstützung gebeten. Bei Heinlein selbst sei man damals schon gut aufgestellt gewesen und es seien nur einige Anpassungen betreffs der Änderungen im Bundesdatenschutzgesetzt und der DSGVO fällig geworden.

Laufende Anfragen

“Seit dieser Zeit bekomme ich als Datenschutzbeauftragter und auch meine Kollegen aus unseren Geschäftsbereichen immer wieder Anfragen unserer Hosting-Kunden, ob wir denn nicht deren Datenschutzerklärung schreiben oder sie rechtlich beraten können”, berichtet Hartleben. Dem Experten ist klar, welche Sorge in kleinen Einzelunternehmen oder auch Vereinen herrscht, die dann auch intern keinen Datenschutzbeauftragten haben. Soweit es möglich sei, helfe man dann, eine Rechtsberatung könne man aber nicht ersetzen. Spürbar sei aber immer wieder ein Defizit an grundlegendem Wissen zu den Datenschutzaufgaben. Wann man Datenschutzhinweise brauche, wann einen Vertrag zur Auftragsverarbeitung, und was der eigentlich genau regeln solle, das sei für viele Betroffen nicht greifbar, so Hartleben.

Abbildung 3: Peer Hartleben arbeitet er als IT-Trainer, Mitglied der Geschäftsleitung und Datenschutzbeauftragter bei der Heinlein Support GmbH. Quelle: Heinlein Support

Größenordnung

Bei der Zusammenarbeit mit großen Firmen sind die Dinge etwas anders gelagert, weiß der Experte. Dort seien meist betriebliche Datenschutzbeauftragte im Einsatz und es gebe gute Fundamente für den Datenschutz. Bei den größeren Unternehmen könne man ein anderes Phänomen beobachten: Sie tun oft zu viel des Guten. So bekomme man von Firmen oft mehrseitige Verträge zur Auftragsverarbeitung zugeschickt, obwohl bei bestimmten Leistungen keine Verarbeitung im Auftrag vorliege und daher ein AV-Vertrag keine Rolle spiele.

In solchen Fällen seien dann klärende Gespräche hilfreich, etwa weil es seitens der Geschäftsführungen pauschale Festlegungen gebe, dass immer ein AV-Vertrag geschlossen werden müsse, egal ob sinnvoll sei oder nicht. Auch wenn Peer Hartleben als betrieblichen Datenschutzbeauftragten diese Haltung ab und zu zur Verzweiflung bringt, kann er die übervorsichtigen Reaktionen nachvollziehen. “Aus meiner Sicht sind die Anforderungen und Formulierungen im Gesetzestext der DSGVO einfach zu viel, zu kompliziert und es werden zu wenig Lösungen vorgegeben”, bemängelt er.

Expertenrat

Selbst die Profis bei Heinlein können keine pauschal richtige Lösung für die DSGVO anbieten. Es gelte zu prüfen, was praktikabel sei und was trotzdem die Anforderungen an den Datenschutz erfülle, sagt Hartleben. Beim Unternehmen Heinlein selbst steht Transparenz an erster Stelle, betont er. “Wir verzichten auf den Einsatz von Werbenetzwerken, Frameworks und andere Techniken der bekannten globalen Anbieter, damit die Daten der Kunden ausschließlich bei uns bleiben und wir dieses Versprechen einlösen können”, so der Datenschutzbeauftragte.

Alle Mitarbeiter seien zudem auf den Datenschutz nach DSGVO verpflichtet und es gebe regelmäßige Datenschutzschulungen. Produkte des Unternehmens, etwa der E-Mail-Provider Mailbox.org, werden im Rahmen bestehender Aufträge auch regelmäßig von der Datenschutzbeauftragten des Landes Berlin überprüft. Derzeit sei man dabei, das Sicherheitskennzeichen des BSI zu erwerben. Ein solcher Test oder eine Zertifizierung bedeute zwar einigen Aufwand, aber dadurch entstehe auch das Potenzial, den Datenschutz für die Kunden zu verbessern.

Nicht außer Acht lassen dürfe man den Aufwand für die Verarbeitung der Datenschutz-Dokumente, warnt Hartleben. “Anfangs haben wir noch mit Papier gearbeitet, was wir aber schnell geändert haben. So werden etwa AV-Verträge in fast allen Bereichen nur noch digital ausgefüllt und erfasst.”

Sensible Fragen

Wichtig sei auch der sensible Umgang mit Datenschutzanfragen von Kunden und Behörden, betont Hartleben. Die Supporter und Admins von Heinlein Hosting und dessen Marke Mailbox.org erhielten regelmäßig entsprechende Ersuchen. Dabei sei es wichtig, diese Anfragen genau zu prüfen, damit nicht unberechtigt Informationen herausgegeben werden. Die Erfahrung habe gezeigt, dass gerade Ermittlungsbehörden dazu neigen, mehr Informationen abzufragen, als ihnen erlaubt sei. Aus diesem Grund prüften Anfragen dieser Art ausschließlich der Datenschutzbeauftragte oder der Geschäftsführer. In komplizierten Fällen ziehe man zudem vorher den Fachanwalt für Datenschutz des Unternehmens zu Rate.

Fazit

Peer Hartleben sieht den Datenschutz als hohes Gut. Nach seiner Ansicht lohnt sich der Aufwand für Privatsphäre, Souveränität und die damit verbundenen Freiheit allemal. Organisatorisch habe der Aufwand mit der DSGVO aber stark zugenommen, stellt er fest. Von den Verantwortlichen in der Politik, insbesondere den Datenschutzbehörden, erwartet er sich endlich mehr praxistaugliche Hilfen.

Der Gesetzgeber stehle sich seiner Meinung nach zu sehr aus der Verantwortung, bemängelt Hartleben. In der Wahrnehmung gebe es oft nur die sehr hohen Strafandrohungen bei Datenschutzverstößen. Auf der anderen Seite fehle jede konkrete Hilfestellungen, in der DSGVO finde man nur den Hinweis: “Treffen Sie geeignete Maßnahmen”. Das sei zu wenig, meint Hartleben, und man dürfe auch nicht vergessen, dass die Strafen für Verstöße gegen den Datenschutz nur für Unternehmen gelten, wohingegen Behörden straffrei bleiben würden. (uba)