Prüfprozesse vor der Einführung digitaler Tools, neue Entscheidungen von Behörden, neue Gerichtsurteile: Die Einhaltung der Datenschutzgrundverordnung fordert Unternehmen heraus. Verbände und Institutionen wie OSBA, Bitkom und BSI bieten Hilfestellungen an.
Die Hälfte der Unternehmen (50 Prozent) sagt, Deutschland übertreibe es mit dem Datenschutz, und zwei Drittel (66 Prozent) sind der Auffassung, dass der strenge Datenschutz sowie die dessen uneinheitliche Auslegung in Deutschland die Digitalisierung erschwert. So lauten die Ergebnisse einer Umfrage, die der Digitalverband Bitkom im September 2021 unter 502 deutschen Unternehmen mit 20 und mehr Beschäftigen abgehalten hat (Abbildung 1).
Zwei Drittel der Unternehmen (65 Prozent) gaben an, die DSGVO vollständig oder größtenteils umgesetzt zu haben. 29 Prozent haben die Umsetzung jedoch erst teilweise geschafft, und 5 Prozent stehen damit noch ganz am Anfang. Es sind vor allem kleinere Unternehmen, die langsam vorankommen. Von Großunternehmen mit 500 oder mehr Beschäftigten gaben nur 3 Prozent an, dass sie die DSGVO erst teilweise umgesetzt haben. Bei den Unternehmen mit 100 bis 499 Beschäftigten liegt der Anteil schon bei 12 Prozent, bei kleineren Unternehmen von 20 bis 99 Beschäftigten sogar bei erschreckenden 33 Prozent, so ergab die Umfrage.
Bremswirkung
Bei 82 Prozent der Unternehmen, die mit der Umsetzung hinterherhinken, eben als Hauptgrund an, dass die Corona-Pandemie andere Prioritäten erzwungen habe. Fast ebenso viele beklagen, dass sich die DSGVO gar nicht vollständig umsetzen lasse (77 Prozent). 61 Prozent fehlt es zudem an den notwendigen personellen Ressourcen. Rund jedes zweite Unternehmen beklagt fortlaufende Anpassungen wegen neuer Urteile und Empfehlungen der Aufsicht (47 Prozent) sowie notwendige neue Prüfungen von Datentransfers in Länder außerhalb der EU (45 Prozent).
Die DSGVO bremst zudem auch Innovationsprojekte in der deutschen Wirtschaft aus, wie die Befragung ergab. So geben drei Viertel aller Unternehmen (76 Prozent) an, dass Innovationsprojekte aufgrund konkreter Vorgaben der DSGVO gescheitert seien. 9 von 10 Unternehmen (86 Prozent) haben Projekte wegen Unklarheiten im Umgang mit der DSGVO gestoppt. Am häufigsten betrifft das der Aufbau von Datenpools (54 Prozent), Prozessoptimierungen im Bereich der Kundenbetreuung (37 Prozent), Projekte zur Verbesserung der Datennutzung und den Einsatz neuer Technologien wie künstlicher Intelligenz oder Big Data (je 36 Prozent). In jedem dritten Unternehmen (33 Prozent) war der Einsatz von Cloud-Diensten betroffen.
Informationspflichten
Bei dieser Ausgangslage sind Hilfsangebote der Verbände und Ämter gefragt. Der Bitkom informiert in einem Leitfaden [1] etwa zur Informationspflicht, einem Kernthema der Datenschutzgrundverordnung. Der Leitfaden versucht zu klären, welche Pflichten Firmen zum Beispiel bei der telefonischen Datenerhebung, bei der Abwicklung am Point of Sale (POS) oder im Online-Umfeld erwarten.
Artikel 13 der DSGVO führt die Einzelheiten der Informationspflichten auf, wobei Absatz 1 die Kerninformationen nennt, die stets zur Verfügung gestellt werden müssen. Dazu zählen:
- die Angabe des Namen und der Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters,
- unter Umständen die Kontaktdaten des Datenschutzbeauftragten,
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
- sofern die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, sowie
- die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
Hat der Verantwortliche die Absicht, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss er auch davon sein Gegenüber informieren. Hinzu kommen in diesem Fall noch Informationen über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46, 47 oder 49 Absatz 1 Unterabsatz 2 ein Verweis auf die geeigneten oder angemessenen Garantien sowie die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist beziehungsweise wo sie verfügbar sind.
Textsicher
Durch dieses Anforderungsmonster führt der Leitfaden mit konkreten Formulierungshilfen für die Datenschutzerklärungen. So könne etwa die Formulierung zur Erfüllung von vertraglichen Pflichten (nach Art. 6 Abs. 1 lit. b DSGVO) lauten: “Die Verarbeitung personenbezogener Daten erfolgt zur Erbringung unserer Dienstleistungen, insbesondere zur Durchführung unserer Verträge oder vorvertraglicher Maßnahmen mit Ihnen und der Ausführung Ihrer Aufträge sowie im Rahmen der Kundenverwaltung und Betreuung”.
Webseiten, die Protokolldaten zum Schutz vor DoS-Angriffen erheben, könnten laut Leitfaden texten: “Wir haben ein berechtigtes Interesse an der Erhebung und Verarbeitung nach Art. 6 Abs. 1 f DSGVO folgender Daten: [Art der Daten]. Die Erhebung und Verarbeitung deiner personenbezogenen Daten kann erfolgen, weil wir ein berechtigtes Interesse daran haben. Wir sammeln und verarbeiten Webseitenprotokolle aus technischen Gründen, wie zum Beispiel zur Verhinderung von Denial-of-Service-Angriffen. Denial-of-Service-Attacken erfolgen in der Regel dadurch, dass das betreffende Gerät oder die betreffende Ressource mit überflüssigen Anfragen überschwemmt wird, um Systeme zu überlasten und zu verhindern, dass einige oder alle legitimen Anfragen erfüllt werden. Es liegt in deinem und unserem Interesse, solche Überlastungen unserer Systeme und Sicherheitsprobleme durch Denial-of-Service-Angriffe zu verhindern, und deshalb verwenden wir Webseitenprotokolle.”
Alternative Open Source
Die Open Source Business Alliance (Abbildung 2) oder kurz OSBA vertritt rund 170 Mitgliedsunternehmen der Open-Source-Wirtschaft und sieht deshalb nicht von ungefähr beim Einsatz von Open-Source-Software durch den offengelegten Quellcode maximale Transparenz und Kontrollfähigkeit. Damit lasse sich prüfen und sicherstellen, dass keine rechtswidrigen Datenabflüsse erfolgen und die Daten nur für die zulässigen Zwecke verarbeitet werden, heißt es in einem Ratgeber [2] zum im Jahr 2020 durch den Europäischen Gerichtshof gekippten Privacy Shield.
Diese Transparenz und Nachvollziehbarkeit greife gleichermaßen für Inhouse betriebene Systeme (On-Premises) wie auch für Open-Source-Anwendungen in der Cloud, heißt es im Ratgeber weiter. Meist gibt es für jede Open-Source-Anwendung eine Auswahl an Hosting- oder Cloud-Anbietern, aus denen Unternehmen auswählen können. Auf diesem Weg können sich Unternehmen für den Betrieb in der EU oder einem Drittland mit Angemessenheitsbeschluss entscheiden oder den Anbieter gegebenenfalls sogar wechseln.
Realitätssinn
Dennoch ist auch der OSBA klar, dass in der Realität viele Firmen nur unzureichende Anstrengungen unternehmen, um die Software- und Service-Lieferkette nachzuvollziehen. Viele stellen erst im Zug von Datenschutzanalysen fest, dass Daten in Ländern und Unternehmen ohne angemessenen Datenschutz verarbeitet werden. Die DSGVO macht jedoch ein Unternehmen für die rechtskonforme Verarbeitung aller personenbezogenen Daten im eigenen Haus wie auch bei Auftragsverarbeitern verantwortlich, haftbar, auskunfts- und rechenschaftspflichtig.
Dos and Don’ts
Den betroffenen Unternehmen empfehlen die Experten der OSBA, sich zunächst einmal einen Überblick über alle Datenströme und die Betriebsstandorte der Datenverarbeitung zu verschaffen. Das sei nebenbei auch ein wichtiger Faktor nicht nur für den Datenschutz, sondern auch für die IT- und Betriebssicherheit sowie für Wartung und Support, schreibt die OSBA. Ein Auslagern der Datenverarbeitung, das Nutzen von Cloud-Diensten sowie sonstiges Outsourcing darf auf keinen Fall ohne diesen Durchblick erfolgen, mahnt die OSBA. Hier sei das Unternehmen in der Pflicht, auf Klarheit, Transparenz und Nachvollziehbarkeit zu achten.
Auch sollte kein IT- oder Cloud-Service ohne vorherige Prüfung des Dienstleisters zum Einsatz kommen. Subunternehmen müsse man ebenfalls darauf prüfen und notfalls vertraglich oder durch andere Maßnahmen verpflichten zur Einhaltung der Datenschutzstandards verpflichten. Bei der Entwicklung von IT-Systemen, Produkte und Dienstleistungen sollten Unternehmen einen Experten aus den Bereichen Datenschutz und IT-Sicherheit hinzuziehen, rät die OSBA: Dieser Aufwand sei vergleichsweise gering im Vergleich zu Maßnahmen, die bei Fehlentwicklungen nötig würden.
IT-Grundschutz
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt jährlich sein IT-Grundschutz-Kompendium heraus (Abbildung 3). Den Startschuss dafür machte die Behörde im Jahr 1994. Das umfassende Werk berät hinsichtlich vieler Aspekte der IT-Sicherheit, der Gefährdungslage und der Umsetzung von Sicherheitsmaßnahmen.

Abbildung 3: Das BSI unter Leitung von Präsident Arne Schönbohm gibt das IT-Grundschutz-Kompendium heraus. Quelle: BSI/Weiler
Die im Februar 2022 erschienene aktuelle Ausgabe enthält rund 100 sogenannte Bausteine zu verschiedenen Themen. Neu hinzugekommen sind etwa Bausteine zu Kubernetes und Containerisierung. Daneben hält das BSI auch noch technische Richtlinien vor, deren Ziel die Verbreitung von angemessenen IT-Sicherheitsstandards ist. Diese Richtlinien betreffen laut BSI in der Regel an alle, die mit dem Aufbau oder dem Absichern von IT-Systemen zu tun haben.
Richtig löschen
Das BSI führt in seinem Grundschutz-Kompendium etwa an, dass es sichere Prozesse und Verfahren für das Löschen und Vernichten von Informationen und Datenträgern gibt. Wende ein Unternehmen diese nicht korrekt an, sei nicht sichergestellt, dass vertrauliche Informationen unwiederbringlich gelöscht beziehungsweise vernichtet werden. Damit lasse sich dann nicht absehen, wo diese Informationen verbleiben und ob sie für Dritte zugänglich seien.
Diese Gefahr ist bei digitalen Datenträgern und IT-Systemen, die ausgesondert werden sollen, besonders hoch, da man nicht immer sofort ersehen kann, welche (Rest-)Informationen sich darauf befinden. Handelt es sich hierbei um besonders schützenswerte Informationen, wie schützenswerte personenbezogene Daten nach Artikel 9 DSGVO oder Geschäftsgeheimnisse, kann das hohe Geldstrafen nach sich ziehen.
Neue Rollen
Die Nutzung von Cloud-Dienste ist ein Thema, dem das BSI neben den datenschutzrechtlichen Aspekten noch eine weitere Wirkung zuschreibt: Durch den Einsatz von Cloud-Computing ändere sich häufig das Rollenverständnis innerhalb des IT-Betriebs des Cloud-Kunden, schreibt die Behörde: “So entwickeln sich Administratoren oft weg von klassischen Systemadministratoren hin zu Service-Administratoren. Wird dieser Prozess nicht ausreichend begleitet, kann sich dies negativ auf die Cloud-Nutzung auswirken, etwa, wenn die Administratoren nicht das nötige Verständnis für die Umstellungen mitbringen oder sie für ihre neue Aufgabe nicht oder nur unzureichend geschult sind. In der Folge sind eventuell die Cloud-Dienste nicht ordnungsgemäß administriert und so nur noch eingeschränkt verfügbar oder sie fallen ganz aus.”
Aus diesem Grund rät das BSI Unternehmen dringend an, für die Cloud-Nutzung eine Strategie zu erstellen, in der sie Ziele, Chancen und Risiken definieren, die sie mit der Cloud-Nutzung verbinden. Zudem müssten die rechtlichen und organisatorischen Rahmenbedingungen sowie die technischen Anforderungen untersucht werden, die sich aus der Nutzung von Cloud-Diensten ergeben.
Vereinsleben
Einem speziellen Thema widmet sich eine Empfehlung [4] des Landesbeauftragten für den Datenschutz Baden-Württemberg: dem Datenschutz im Verein. Das aus dem Jahr 2020 stammende Papier rät Vereinen unter anderem an, in einer Datenschutzverordnung schriftlich festzulegen, welche Daten beim Vereinseintritt für das Verfolgen des Vereinsziels und für die Mitgliederbetreuung und -verwaltung notwendigerweise erhoben werden.
Zudem sollte der Verein regeln, welche Daten für welche anderen Zwecke des Vereins oder zur Wahrnehmung der Interessen Dritter bei den Mitgliedern in Erfahrung gebracht werden, schreibt der Landesdatenschutzbeauftragte. Darüber hinaus müsse geregelt sein, welche Daten von Dritten erhoben werden; auch in diesem Fall müsse der Erhebungszweck festgelegt sein. Es sollte darüber hinaus erkennbar sein, welche Leistungen des Vereins nicht erbracht werden können, wenn der Betroffene nicht die dafür erforderlichen Auskünfte gibt.
Zugriffsmöglichkeiten
Die vom Datenschutzbeauftragten vorgeschlagene Datenschutzverordnung für den Verein sollte auch festlegen, welche Funktionsträger zu welchen Daten Zugang erhalten und zu welchem Zweck der Verein Daten von Mitgliedern und Dritten verarbeiten und nutzen darf. Welche Daten zu welchem Zweck im Wege der Auftragsdatenverarbeitung verarbeitet werden, gehöre zusätzlich geregelt, heißt es in dem Papier.
Des Weiteren sollte der Verein festlegen, zu welchem Zweck welche Daten von wem an welche Stellen übermittelt werden und welche Daten so gespeichert werden, dass Dritte darauf Zugriff nehmen können, heißt es in der Empfehlung weiter. Der Kreis der Zugriffsberechtigten müsse genau beschrieben sein.
Nicht zuletzt sollten Vereine Sorge tragen, welche Daten üblicherweise am “Schwarzen Brett” oder in den Vereinsnachrichten offenbart und welche ins Intra- oder Internet gestellt werden. Sei eine solche Vereinsdatenschutzordnung erstellt, sollte der Verein sie von der Mitgliederversammlung beschließen lassen.
Kritische Komfortzone
In einem Interview mahnt Professor René Peinl, unter anderem Leiter der Forschungsgruppe Systemintegration am Institut für Informationssysteme und damit Mitglied der ersten Stunde bei der OSBA, dass der digitale Komfort kein Argument sein dürfe, Datenschutz und Selbstbestimmung der Benutzer auszuhebeln. Hier sei die Politik gefragt, sich entsprechend zu verhalten, aber auch jeder einzelne. O-Ton Peinl: “Oft wird Datenschutz gefordert, aber dann werden trotzdem Plattformen intensiv genutzt, die offensichtlich gegen Datenschutz verstoßen – angeblich, weil sie alternativlos sind. Würden die gewaltigen Summen, die seit der Corona-Pandemie von staatlichen Stellen in MS Teams, Zoom und Co. investiert wurden, in die Weiterentwicklung von Open-Source-Software und den Betrieb deutscher und europäischer Cloud-Dienste auf dieser Basis gesteckt werden, hätten wir schon jetzt ebenbürtige Alternativen und echte Wahlmöglichkeiten.” (uba)
Infos
- Leitfaden Bitkom: https://www.bitkom.org/sites/main/files/2019-09/190916_lf_informationspflichten-der-dsgvo_online.pdf
- Ratgeber OSBA: https://osb-alliance.de/publikationen/veroeffentlichungen/der-zerbrochene-schild
- IT-Grundschutz-Kompendium: https://osb-alliance.de/publikationen/veroeffentlichungen/der-zerbrochene-schild
- Empfehlungen für Vereine des Landesbeauftragten für den Datenschutz Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf








