Katharina Mitterer im Gespräch über die EU-DSGVO und sichere WhatsApp-Alternativen für Unternehmen
Mit diesem Interview wollen wir Unternehmen und Behörden informieren, worin die Herausforderungen der DSGVO bestehen, was bei der Umsetzung der DSGVO zu beachten ist und welche Anforderungen es an datenschutzkonforme IT-Tools und Messenger gibt.
Teamwire: Hallo Frau Mitterer! Vielen Dank, dass Sie sich Zeit für unser Gespräch über die DSGVO nehmen. Vielleicht möchten Sie sich zu Beginn den Lesern kurz vorstellen?
Katharina Mitterer: Gerne. Ich bin Partnerin bei ZIRNGIBL Rechtsanwälte und zuständig für den Bereich IT- und Datenschutzrecht. Unseren Mandanten bieten wir praxisorientierte und individuelle Lösungen aus allen Bereichen des Wirtschaftsrechts. Wir verstehen uns vorwiegend als Berater des Mittelstandes – aber auch DAX-Konzerne und Startups zählen zu unseren Mandanten.
Teamwire: Die DSGVO ist ein sehr wichtiges Thema, welches alle in Europa tätigen Unternehmen betrifft. Was sollte jeder über die DSGVO wissen?
Katharina Mitterer: In der Tat ist die DSGVO derzeit eines der wichtigsten Themen in unserer täglichen Beratungspraxis und wir stellen fest, dass viele unserer Mandanten verunsichert sind, welche Maßnahmen sie umsetzen müssen. Bei der DSGVO handelt es sich um eine Verordnung der Europäischen Union, mit der ein einheitliches Datenschutzniveau in allen Mitgliedsstaaten der EU bei der Verarbeitung personenbezogener Daten erreicht werden soll. Die DSGVO beinhaltet umfassende Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen.
Bei Verstößen gegen die DSGVO können die Aufsichtsbehörden erhebliche Bußgelder von bis zu 4% des weltweiten Jahresumsatzes oder € 20 Mio. verhängen. Die damit einhergehenden Geschäftsrisiken sind enorm. Daneben fürchten einige, die DSGVO könne zu einer neuen Abmahnwelle führen. Insofern haben alle Organisationen hohen Druck sich datenschutzkonform aufzustellen. Die DSGVO ist bereits vor 2 Jahren in Kraft getreten und ist ab dem 25. Mai 2018 verbindlich anzuwenden.
Teamwire: Was sind die wesentlichen Regeln der DSGVO?
Katharina Mitterer: Die DSGVO regelt die Grundsätze der Verarbeitung und des Austausches personenbezogener Daten in der EU. Das zentrale Element des Datenschutzrechts ist das Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Verarbeitung personenbezogener Daten stets einer ausdrücklichen gesetzlichen Erlaubnis oder einer Einwilligung bedarf.
Daneben enthält die DSGVO mehrere grundsätzliche Prinzipien, denen die Verarbeitung zu folgen hat. Zu nennen sind dabei insbesondere der Grundsatz der Zweckbindung (personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden) sowie der Datensparsamkeit und Speicherbegrenzung (es dürfen nur solche personenbezogenen Daten verarbeitet werden, die für die Erreichung des jeweiligen Zwecks erforderlich sind).
Daneben sind deutsche Unternehmen, bei denen mindestens 10 Angestellte mit der Verarbeitung personenbezogener Daten beschäftigt sind, verpflichtet einen Datenschutzbeauftragten zu bestellen.
Betroffene Personen (insbesondere Kunden, Angestellte und Geschäftspartner) können außerdem jederzeit von Unternehmen Auskunft, ob das jeweilige Unternehmen personenbezogene Daten zu der Person gespeichert hat und falls ja, Information zu den Verarbeitungszwecken, den Empfängern der Daten, der Speicherdauer und der Herkunft der Daten, verlangen. Ggf. können die Kunden auch noch die Berichtigung, Löschung oder Einschränkung der Verarbeitung verlangen.
Diese Regelungen sind allerdings nicht komplett neu und fanden sich so oder so ähnlich bereits im alten Bundesdatenschutzgesetz (BDSG). Erheblich erweitert wurde jedoch die Pflicht, ein Verfahrensverzeichnis zu führen und die Betroffenen über die Verarbeitung Ihrer personenbezogenen Daten zu informieren. Neu ist die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung.
Die mit bedeutendste Änderung dürfte jedoch darin liegen, dass Unternehmen künftig in der Lage sein müssen, gegenüber den Aufsichtsbehörden die Einhaltung der datenschutzrechtlichen Anforderungen nachzuweisen. Das erfordert eine umfassende Dokumentation der gesamten Datenschutzarchitektur und des Datenschutzmanagementkonzepts. Diese Anforderungen der DSGVO müssen von Unternehmen umgesetzt werden. Das betrifft nicht nur die eigene Organisation und Prozesse, sondern auch alle Produkte und Dienstleistungen, die ein Unternehmen von Dritten bezieht bzw. einsetzt. Der Aufwand für die Umsetzung der DSGVO ist dadurch in der Regel erheblich.
Teamwire: Wo können unsere Leser nützliche Informationen zur DSGVO finden?
Katharina Mitterer: Die Aufsichtsbehörden veröffentlichen auf Ihren Internetseiten regelmäßig Handreichungen, Hilfestellungen und Kurzpapiere zur DSGVO. Allerdings helfen auch diese nur bedingt, da einige der angekündigten Stellungnahmen der Behörden noch ausstehen und diese oft auch nur allgemeine Hinweise enthalten.
Teamwire: Was sollten Unternehmen bei einer Umsetzung der DSGVO beachten?
Katharina Mitterer: Zunächst einmal sollten Unternehmen die wichtigsten Verarbeitungstätigkeiten und Datenflüsse identifizieren und ein Verzeichnis mit Verarbeitungstätigkeiten erstellen. Die meisten Unternehmen sind überrascht, an wie vielen Stellen in Ihrer Organisation personenbezogene Daten verarbeitet werden.
Nach dieser „Inventur“ sollten Unternehmen eine Prüfung der jeweils erforderlichen Maßnahmen vornehmen. Die konkreten Anforderungen der Umsetzungsmaßnahmen hängen von dem jeweiligen Unternehmen ab. In der Regel umfassen diese aber insbesondere die folgenden Punkte:
– Erstellung von Verarbeitungsverzeichnissen,
– Klärung von Verantwortlichkeiten bei datenschutzrechtlichen Fragestellungen,
– Ggf. die Bestellung eines Datenschutzbeauftragten,
– Anpassung bestehender bzw. Erstellung neuer Datenschutzinformationen (insb. der Datenschutzerklärung für die Webseite, Informationen für Mitarbeiter, Schilder zur Videoüberwachung, etc.)
– Anpassung von Einwilligungsformularen,
– Erstellung von Lösch- und Archivierungskonzepten für personenbezogene Daten,
– Überprüfung und ggf. Anpassung bestehender IT-Sicherheitskonzepte,
– Einführung neuer Prozesse, beispielsweise zur Bearbeitung von Anfragen zum Datenschutz und zur Erkennung und Behandlung von Datenlecks,
– Überprüfung und Anpassung von Verträgen mit Dienstleistern (insbesondere IT-Dienstleister, Aktenvernichtung, etc.),
– Dokumentation der Umsetzungsmaßnahmen.
Teamwire: Viele Unternehmen sind mit der Umsetzung der DSGVO spät dran. Was würden Sie solchen Organisationen empfehlen?
Katharina Mitterer: Natürlich ist jetzt nur noch sehr wenig Zeit und Unternehmen müssen schnell die für sie besonders kritischen Themen identifizieren. Professionelle Beratung kann hier helfen, um schnell unternehmensspezifische Datenschutz-Themen zu identifizieren und richtige Prioritäten zu setzen.
Um den Datenschutzbehörden und Wettbewerbern keine Angriffsfläche zu bieten, empfehlen wir zunächst die Maßnahmen anzugehen, die nach außen hin sichtbar sind. Das umfasst insbesondere die Überarbeitung der Datenschutzerklärung auf der Webseite, aber auch von Einwilligungstexten und die Meldung des Datenschutzbeauftragten bei den Aufsichtsbehörden, sofern die Pflicht zur Bestellung eines solchen besteht.
In der Regel können Anwälte durch Erfahrung, methodische Vorgehensweisen und Vorlagen Unternehmen tatkräftig unterstützen und pragmatische Lösungen aufzeigen und so viel Zeit sparen.
Teamwire: Welche Anforderungen gibt es durch die DSGVO an IT-Tools, welche im Unternehmen eingesetzt werden?
Katharina Mitterer: Die meisten Anbieter von IT-Tools, die von Unternehmen eingesetzt werden, handeln als Auftragsverarbeiter. Von den Unternehmen verlangt die DSGVO, dass diese hinreichende Garantien dafür bieten, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Anforderungen erfolgt. Unternehmen sollten daher sorgsam auswählen, welchen Unternehmen sie die personenbezogenen Daten seiner Kunden anvertrauen.
Eine solche Auftragsverarbeitung erfordert außerdem den Abschluss eines entsprechenden Vertrages. Seriöse Anbieter verfügen hierfür bereits über ein Muster, welches die gesetzlichen Mindestanforderungen erfüllt. Gerade bei Unternehmen, die Ihren Sitz nicht in der EU haben, stellen wir allerdings fest, dass ein Bewusstsein für die datenschutzrechtlichen Anforderungen nicht vorhanden ist und daher auch entsprechende Vertragsmuster nicht vorgehalten werden.
Ebenfalls wichtig ist, dass die Daten, die der jeweilige Anbieter erhält, nur zu den zuvor festgelegten Zwecken verarbeitet werden. Eine Verwendung der Daten beispielsweise zur Analyse der Metadaten zur Erstellung von Nutzerprofilen, ist absolut tabu.
Teamwire: Auf was müssen Unternehmen im Zuge der DSGVO achten, wenn sie IT-Dienstleistungen outsourcen?
Katharina Mitterer: Das Outsourcen von IT-Dienstleistungen ist regelmäßig ebenfalls ein Fall der Auftragsverarbeitung, sodass ein entsprechender Vertrag mit dem jeweiligen abgeschlossen werden muss. Darüber hinaus sollte unbedingt darauf geachtet werden, dass der jeweilige Anbieter ausreichende Maßnahmen zum Schutz der personenbezogenen Daten einhält. Hierfür können insbesondere geeignete Zertifizierungen wie die ISO 27001 weiterhelfen.
Ebenfalls eine große Rolle spielt, wo der jeweilige Anbieter seine Rechenzentren unterhält. Sofern hier eine Wahlmöglichkeit besteht, sollte unbedingt ein Rechenzentrum in der EU, im Idealfall im Land des Firmensitzes gewählt werden. Besteht eine solche Auswahlmöglichkeit nicht und befindet sich das Rechenzentrum außerhalb der EU, müssen regelmäßig weitere Vorkehrungen, wie beispielsweise die Vereinbarung der EU-Standardvertragsklauseln zum internationalen Datentransfer, getroffen werden.
Teamwire: In Unternehmen sind als Teil der Schatten-IT häufig Consumer-Produkte wie WhatsApp und Dropbox verbreitet. Inwiefern können Unternehmen hier ein Problem durch die DSGVO bekommen?
Katharina Mitterer: Viele Software-Produkte und –Services, die als Teil der Schatten-IT im Unternehmen zur Anwendung kommen, erfüllen die Anforderungen der DSGVO nicht. Gerade bei populären Diensten wie z.B. WhatsApp und Dropbox erfolgt die die Datenverarbeitung außerhalb der EU in Ländern mit einem schwächeren Datenschutzniveau. Ein weiteres Manko ist die Transparenz. Es existieren kaum Informationen, wie solche Dienste mit personenbezogenen Daten umgehen (z.B. dem Adressbuch mit den Kontakten). Außerdem bieten solche Dienste auch häufig keine Vereinbarung zur Auftragsdatenverarbeitung an. Indem Unternehmen solche Dienste verwenden, setzen sie sich daher dem Risiko aus, die Anforderungen der DSGVO nicht erfüllen zu können.
Teamwire: Der Zugriff von Messengern wie WhatsApp auf das Adressbuch ist immer wieder ein häufig diskutiertes Thema. Wieso ist das so kritisch?
Katharina Mitterer: Beim Abgleich des Telefons mit den bei Whatsapp gespeicherten Telefonnummern, wird das gesamte Telefonbuch auf Server von Whatsapp geladen. Dieser Abgleich der gespeicherten Informationen stellt eine Verarbeitung im datenschutzrechtlichen Sinne dar und bedürfte daher einer Einwilligung jedes Kontakts, die allerdings regelmäßig nicht vorliegt. Diese Vorgehensweise wurde bereits häufiger von den Aufsichtsbehörden beanstandet und könnte sogar zu einer Abmahnung des Unternehmens führen, wenn es Whatsapp für die betriebliche Kommunikation verwendet. Im Übrigen wäre die Verwendung von Whatsapp zur betrieblichen Kommunikation ein Verstoß gegen die AGB von Whatsapp, da diese nur die private Nutzung des Messengers erlauben.
Teamwire: Viele Unternehmen suchen aus diesen Gründen derzeit ein sichere Alternative zu WhatsApp um DSGVO-konform zu kommunizieren. Was zeichnet aus Ihrer Sicht einen datenschutzkonformen Messenger aus?
Katharina Mitterer: Einen datenschutzkonformen Messenger zeichnet insbesondere aus, dass dieser angemessene Maßnahmen zum Schutz der übertragenen Daten trifft. Das Minimum ist hierfür eine wirksame Ende-zu-Ende-Verschlüsselung. Somit kann auch gleichzeitig einem unbemerkten Abfluss von Betriebs- und Geschäftsgeheimnissen vorgebeugt werden.
Darüber hinaus sollte der Messenger dem Unternehmen die Möglichkeit bieten, einzelne Nutzer und Chats rückstandslos von mobilen Endgeräten zu entfernen. Das kann insbesondere beim Verlust eines Gerätes oder der Kündigung eines Mitarbeiters von Bedeutung sein.
Außerdem sollte dem Messenger aus den bereits erwähnten Gründen kein Zugriff auf das Adressbuch des jeweiligen Endgeräts, auf dem der Messenger installiert ist, gewährt werden.
Um den Messenger datenschutzkonform einsetzen zu können, ist außerdem der Abschluss eines Vertrages zur Auftragsverarbeitung mit dem Anbieter des Messengers sowie ggf. die Einholung von Einwilligungen der Mitarbeiter, die den Messenger verwenden, erforderlich.
Teamwire: Wie wird es nach der Umsetzung der DSGVO weitergehen?
Katharina Mitterer: Nach der Umsetzung ist vor der Umsetzung! Soll heißen: Auch nachdem die Anforderungen der DSGVO erstmalig in die Unternehmensorganisation integriert wurden, wird es an vielen Stellen noch Anpassungsbedarf geben. Die DSGVO und die entwickelten Maßnahmenpakete müssen erst noch den Praxistest überstehen und es wird sich zeigen, wie Gerichte und Aufsichtsbehörden mit den neuen gesetzlichen Rahmenbedingungen umgehen. Wir empfehlen unseren Mandanten daher immer, die weitere Entwicklung des Datenschutzrechts im Blick zu behalten, um rechtzeitig reagieren zu können.
Das gilt nicht zuletzt vor dem Hintergrund, dass mit der ePrivacy-Verordnung schon die nächste Datenschutzrevision ins Haus steht. Ursprünglich sollte diese mit dem Ablauf der Übergangsfrist der DSGVO zum 25.05.2018 in Kraft treten. Da sich das Gesetzgebungsverfahren verzögert hat, ist allerdings damit allerdings nicht vor dem Jahr 2019 zu rechnen. Diese Verordnung wird – soweit man das jetzt schon absehen kann – erneut zahlreiche Änderungen für Online-Angebote mit sich bringen und weitere Anpassungen erforderlich machen.
Teamwire: Gibt es noch etwas, was Sie abschließend den Lesern mitgeben wollen?
Katharina Mitterer: Wenn Sie die Umsetzung der DSGVO noch nicht abgeschlossen haben, gibt es noch nicht unbedingt Grund zur Panik. Schenkt man den jüngsten Studien Glauben, wird ein Großteil der deutschen Unternehmen nicht in der Lage sein, die Anforderungen der DSGVO zum 25.05.2018 umzusetzen. Angesichts der erheblichen Risiken, raten wir jedoch dringend dazu, die Herausforderungen der DSGVO so schnell wie möglich anzugehen. Bleiben Sie also dran!
Teamwire: Vielen Dank für das Gespräch.
Über Katharina Mitterer und ZIRNGIBL Rechtsanwälte:
Rechtsanwältin Katharina Mitterer ist seit 2010 bei der Kanzlei ZIRNGIBL im Fachbereich Geistiges Eigentum, Wettbewerbsrecht und IT-Recht tätig. Die Expertise von Katharina Mitterer umfasst insbesondere die Begleitung von IT-Projekten – von der Vertragsgestaltung bis hin zur Rückabwicklung bei fehlerhafter Software. Dabei berät Katharina Mitterer auch die öffentliche Hand bei der Beschaffung von IT. Als Mitglied der Arbeitsgruppe Digitalisierung und Industrie 4.0 liegt ein Beratungsfokus von Katharina Mitterer auf Themen wie Datenschutz und Datensicherheit, Cloud Computing und Big Data. Ein weiterer Schwerpunkt der Tätigkeit von Katharina Mitterer liegt im Schutz von IP-Rechten und Know-How sowie deren Verteidigung.
ZIRNGIBL ist eine werteorientierte Wirtschaftskanzlei und Partnerschaft – mehr als die Summe der Anwaltspersönlichkeiten, verbunden durch eine gemeinsame Idee. Als stets aus eigener Kraft gewachsene Kanzlei haben wir das Ziel, unseren Mandanten mit persönlichem Einsatz auf höchstem fachlichen Niveau national wie international dauerhaft verbunden zu sein – loyal, engagiert und unabhängig, weil wir glauben, dass wir so die Besten sind. Zu unseren Mandanten zählen namhafte mittelständische Unternehmen, Konzerne und Einzelpersonen. ZIRNGIBL gehört zu den 75 größten und erfolgreichsten Wirtschaftskanzleien in Deutschland.