Ein konzernweites Datenschutz-Management-System lässt sich aber nur dann wirksam implementieren, wenn für sämtliche Gruppenunternehmen dieselben internen Guidelines gelten.

Interview mit Dr. Simon Menke, Otto Group Holding, über DSGVO-Herausforderungen in Unternehmen

Allgemein, Blog

Autor: Gerhard Walter, Redaktion, Solutions by HANDELSBLATT MEDIA GROUP GMBH

  • die DSGVO als Herausforderung für europaweit agierende Unternehmensgruppen
  • Datenschutz durch Pseudonymisierungen
  • Anforderungen an die Nachweispflicht

Welches sind nach mehr als zwei Jahren DSGVO die größten Herausforderungen bei deren Umsetzung?

Die größte Herausforderung ist aus meiner Sicht, dass es zu vielen wichtigen Bereichen der DSGVO noch keine gesicherte Rechtsprechung gibt und dadurch im Hinblick auf einzelne Themen unterschiedlichste Ansichten vertreten werden. Es ist zwar erfreulich, dass die deutschen Datenschutzbehörden zu relevanten Themenbereichen mittlerweile Stellung genommen haben. Diese Stellungnahmen können – wie die „Orientierungshilfe für Anbieter von Telemedien“ gezeigt hat – inhaltlich aber naturgemäß nicht immer vollumfänglich korrekt sein. Orientiert sich ein Unternehmen also an den Stellungnahmen oder an anderen gefestigten Ansichten und ergehen dann von diesen abweichende gerichtliche Entscheidungen, kann das implementierte Vorgehen insbesondere bei technisch komplexen Datenverarbeitungen häufig nicht einfach abgeändert werden. Darüber hinaus sehen sich europaweit agierende Unternehmensgruppen damit konfrontiert, dass aufgrund der Rechtshistorie in den einzelnen EU-Mitgliedstaaten unterschiedliche Interpretationen der DS-GVO gegeben sind. Ein konzernweites Datenschutz-Management-System lässt sich aber nur dann wirksam – insbesondere in Bezug auf die Kontrolle – implementieren, wenn für sämtliche Gruppenunternehmen dieselben internen Guidelines gelten. Ausgenommen hiervon ist natürlich die Berücksichtigung besonderer nationaler Vorschriften zum Datenschutz, die auf der Nutzung von Öffnungsklauseln in der DSGVO durch einzelne Mitgliedstaaten basieren.

Glauben Sie, dass Unternehmen einen höheren Datenschutzstandard erfüllen müssen, weil die Verbraucher kritischer geworden sind?

Unternehmen haben die bestehenden datenschutzrechtlichen Vorgaben nicht deswegen einzuhalten, weil die Verbraucher „kritischer“ geworden sind. Vielmehr hat die Einhaltung der Vorgaben im ureigensten Interesse wertegetriebener Unternehmen zu erfolgen und  ist eine wichtige Compliance-Aufgabe. Der Umstand, dass die Verbraucher „kritischer“ geworden sind, hat in der Praxis aber zur Folge, dass nicht rechtskonforme Datenverarbeitungen durch vermehrte Beschwerden bei den Datenschutzbehörden sichtbar werden. Aber nun darauf zu hoffen, dass wissentlich in Kauf genommene Rechtsverstöße nicht erkannt beziehungsweise nicht öffentlich werden, kann doch nicht Bestandteil einer weitsichtigen Steuerung eines Unternehmens in Bezug auf das Thema Datenschutz sein. Die Tatsache, dass die Verbraucher kritischer geworden sind, hat außerdem zur Folge, dass der Aufwand auf Seiten der Unternehmen, zum Beispiel durch die erhöhte Anzahl geltend gemachter Betroffenenrechte, in der Praxis massiv gestiegen ist.

Inwiefern stellt die Notwendigkeit der freiwilligen Einwilligung einen Mehraufwand für Unternehmen dar?

Einwilligungen mussten ja bereits vor Inkrafttreten der DSGVO grundsätzlich freiwillig erteilt werden, wobei das in im BDSG (2009) geregelte „Kopplungsverbot“ nicht so strikt gewesen ist, wie das in der DSGVO normierte. Insgesamt hat sich aufgrund der Erfahrungen in der Praxis auf vielen Seiten die Ansicht verfestigt, dass Unternehmen zunächst versuchen sollten, Datenverarbeitungen auf anderen Rechtsgrundlagen als auf Basis der Einholung von Einwilligungen abzubilden. Dies liegt einerseits daran, dass die rechtlichen Anforderungen, die an die Einholung rechtskonformer Einwilligungen gestellt werden, relativ hoch sind. Hieraus resultieren Unsicherheiten. Andererseits hat sich insbesondere im Online-Bereich gezeigt, dass die Betroffenen die Inhalte von Einwilligungserklärungen zumeist gar nicht zur Kenntnis nehmen, weil sie zum Beispiel von der dauerhaften Ausspielung von Opt-in-Bannern „genervt“ sind (click-fatigue). Dieser Umstand liegt aber nicht im Verantwortungsbereich der Unternehmen, sondern in dem des Gesetzgebers. Nach meiner Ansicht ist es sowohl aus der Sicht der Verbraucher, als auch aus Sicht der die Daten verarbeitenden Unternehmen grundsätzlich sachgerechter, wenn versucht wird, einen effektiven Datenschutz durch die Vornahme sehr guter Pseudonymisierungen und nicht durch die Einholung von Einwilligungen zu erreichen. Es wäre wünschenswert, wenn der Europäische Gesetzgeber den Umstand, dass die Einholung von Einwilligungen nicht – wie früher behauptet – den „Königsweg“ der Legitimierung von Datenverarbeitungen darstellt, insbesondere im Rahmen der Verhandlungen über eine ePrivacy-Verordnung noch einmal in den Fokus der Diskussion stellen würde. Natürlich gibt es aber auch Datenverarbeitungen, in deren Zusammenhang die Einholung von Einwilligungen zwingend sein muss. Ich denke hier insbesondere an die Verarbeitung von Gesundheitsdaten.

Welche Probleme können dabei in der Praxis auftreten?

Eine große Herausforderung im Zusammenhang mit der Einholung von Einwilligungen ist die Erfüllung der in Artikel 7 Absatz 1 DSGVO geregelten Nachweispflicht. Zur Erbringung des Nachweises, dass eine bestimmte Person auch tatsächlich eingewilligt hat, hat sich im Bereich des E-Mail-Marketing ja bereits vor einigen Jahren das „Double-Opt-in-Verfahren“ herausgebildet. Es gibt aber bestimmte Konstellationen, in denen ein entsprechender Nachweis kaum bzw. nur schwer zu erbringen ist. Hier ist zum Beispiel die Einholung von Einwilligungen für die Vornahme eines Online-Tracking zu nennen. Dieser Umstand muss bei den Anforderungen, die an die Nachweispflicht zu stellen sind, zwingend berücksichtigt werden.

Verraten Sie uns: Nutzen Sie die „Corona-App“ der Bunderegierung?

Ja, ich nutze die „Corona-App“. Ich betrachte ganz persönlich die Nutzung als wichtigen Bestandteil einer in der aktuellen schwierigen Situation erforderlichen gesellschaftlichen Solidarität.

Simon Menke ist Leiter des Bereichs „Gewerblicher Rechtsschutz und Datenschutz Konzern“ der Otto Group Holding. In dieser Funktion verantwortet er unter anderem die rechtliche Beratung der Konzerngesellschaften der Otto Group im Bereich Datenschutz. Er war verantwortlich für das konzernweite Projekt zur Sicherstellung der Umsetzung der Vorgaben der DSGVO und berät zu beinahe sämtlichen Themenbereichen des Datenschutzes. Vor seiner seit 2012 andauernden Tätigkeit in der Otto Group war Simon Menke Rechtsanwalt in einer auf den Gewerblichen Rechtsschutz und den Datenschutz spezialisierten Kanzlei in Hamburg.