Auf dem Prüfstand – Die Umsetzung der DSGVO in Unternehmen ein Jahr nach Inkrafttreten
Das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) jährt sich am 25. Mai 2019 zum ersten Mal. Im Hinblick auf den neuen europäischen Standard für den Schutz personenbezogener Daten haben viele Unternehmen bereits vor Inkrafttreten der DSGVO Maßnahmen zur Umsetzung der neuen Regelung ergriffen. Der Geburtstag der DSGVO ist für Unternehmen in der Europäischen Union nun Anlass für eine kritische Bilanz: Was haben Umsetzungsprogramme und Anstrengungen hinsichtlich der geänderten Rechtslage gebracht? Ist das Unternehmen ausreichend geschützt und kann es angemessen auf Anfragen einer betroffenen Person reagieren? Wie ist das Unternehmen branchenintern im Vergleich zu anderen aufgestellt? Halten die internen und externen Prozesse einem Benchmark mit Mitbewerbern EU-weit stand?
Dr. Oliver Kunert, Rechtsanwalt und Compliance-Experte bei PwC Legal in Hamburg schildert im Gespräch Eindrücke aus einem Jahr DSGVO-Unternehmenspraxis und stellt den von PwC Legal entwickelten Stresstest zur praxisorientierten Prüfung des Umsetzungsstandes der wichtigsten Neuerungen der DSGVO in Unternehmen vor.
Ein Jahr Datenschutz-Grundverordnung: Herr Dr. Kunert, wie schätzen Sie den Umsetzungsstand hiesiger Akteure ein? Haben die Unternehmen in Deutschland die Anforderungen der EU-Verordnung umgesetzt?
Dr. Oliver Kunert: Die meisten Unternehmen haben bereits lange vor Inkrafttreten der EU-DSGVO Projekte zu Vorbereitung aufgesetzt und die betroffenen Fachbereiche mit soliden Informationen zur neuen Rechtslage versorgt. Dabei haben viele aber nicht bedacht, dass die Umsetzung dieser Verordnung zu zahlreichen Anpassungen und Neugestaltungen von unternehmensinternen Prozessen, Maßnahmen und Abläufen zwingt. Es ist eine Sache, über Betroffenenrechte wie Auskunftsansprüche, Löschersuchen oder Datenübertragung zu informieren und vielleicht auch Musterantworten bereitzuhalten. Die Umsetzung in konkrete Prozesse im Unternehmen, angefangen vom Außenauftritt der Hotline, über die Sammlung von persönlichen Daten in verschiedenen IT-Systemen bis hin zur fristgerechten und angemessenen Information der betroffenen Person ist hingegen eine Herausforderung, die viele Unternehmen unterschätzt haben. Gleiches gilt für die Erstellung und Umsetzung von Löschkonzepten, die gesicherte Identifizierung, Beauftragung und Kontrolle von Auftragsverarbeitung und zahlreichen anderen Themen. Viele dieser Prozessanpassungen wurden erst nach Inkrafttreten der Neuerungen am 25. Mai 2018 angegangen und sind häufig noch in vollem Gange.
Sollte man also eher von einem „Weg zur DSGVO-Compliance“ sprechen?
Dr. Oliver Kunert: Das könnte man so sagen. Richtig ist, dass die meisten Unternehmen bereits den Weg zur angemessenen Umsetzung der Anforderungen eingeschlagen, den finalen Umsetzungszustand der Neuerung aber noch nicht erreicht haben. Damit meine ich nicht, dass Unternehmen per se nicht compliant sind oder fortlaufend gegen Anforderungen der DSGVO verstoßen. Aber zu einem „angemessenen“ Umsetzungsstand gehört auch, dass Prozesse gesichert, effektiv und routiniert ablaufen, man aus dem manuellen Modus herauskommt und ein System stetiger Verbesserung implementiert hat. Datenschutz-Compliance muss als fortlaufende Aufgabe verstanden und in einem geordneten Compliance-Management-System abgebildet sein. Dazu muss es geeignet technisch unterstützt werden, um die sensiblen Daten zu schützen. Ansonsten frisst die Regulierung dauerhaft Kapazitäten und die Gefahr von Fehlern und nachlassender Aufmerksamkeit für das Thema steigt. Das darf das für Compliance im Unternehmen zuständige und haftbare Management nicht zulassen.
Wie kann ein Unternehmen Gewissheit über seine DSGVO-Compliance erlangen und zugleich die nötige Sensibilität für das Thema erhalten?
Dr. Oliver Kunert: Zunächst steht dem Management eine Reihe von Maßnahmen zur Verfügung, um den Stand der DSGVO-Compliance und die Effektivität ihres Datenschutz-Managementsystems selbst zu erheben und zu bewerten: Etablierte unternehmensinterne Maßnahmen reichen von Datenschutzprüfungen im Rahmen der internen Revision, Stichprobenkontrollen durch den Datenschutzbeauftragten bis zu systematischen und periodischen Risikoerhebungen durch eine klassische Second Line of Defence als Compliance-Funktion. Auch das Reporting von Ergebnissen integrierter Compliance-Kontrollen beispielsweise im Einkauf für die Beauftragung von Auftragsverarbeitern oder in der Entwicklungsabteilung für die Themen Privacy-by-Design geben gute Einblicke in die Verarbeitung personenbezogener Daten. Eine umfassende Bewertung von außen wird daneben zukünftig verstärkt durch Zertifizierungen geprägt sein, so zumindest die Vorstellung der DSGVO zum Schutz personenbezogener Daten. Auch Wirtschaftsprüfer werden die Regelungen zum Datenschutz als Schwerpunktprüfung im Rahmen Ihrer Jahresabschlussprüfungen in betroffenen Branchen und Unternehmensbereichen zunehmend in den Blick nehmen. Einen praxisorientierten und vom Aufwand begrenzten Weg der externen Validierung des betrieblichen Datenschutzmanagementsystems bilden darüber hinaus sogenannte DSGVO-Stresstests.
Was ist die Idee solcher DSGVO Stresstests?
Dr. Oliver Kunert: Idee eines DSGVO-Stresstests ist es, das Unternehmen mit verschiedenen, fiktiven Datenschutz-Szenarien zu konfrontieren, die Reaktion des Geprüften im Hinblick auf Ablauf und Inhalt auszuwerten und ihm Anregungen für Änderungen seiner Reaktionen zu geben. Mit dem Stresstest wird so „spielerisch“ ermittelt, inwieweit das jeweilige Unternehmen bereits sensibilisiert ist für Standard- und Sondersituationen nach der DSGVO und ob die getroffenen Maßnahmen einem Praxistest standhalten.
Wie kann man sich so einen Stresstest konkret vorstellen? Wie gehen Sie vor?
Dr. Oliver Kunert: Die Testszenarien werden ganz unterschiedlich gestaltet, je nachdem welcher Branche ein Unternehmen angehört und wie es strukturiert ist. Nehmen wir an, ein Einzelhandelsunternehmen beauftragt uns mit der Durchführung eines Stresstests. Dann bietet es sich an, das Unternehmen aus Kundenperspektive, also aus der Sicht der „betroffenen Person“ im Sinne der DSGVO zu prüfen. Im konkreten Beispiel Einzelhandel haben wir Testkäufe, online oder „analog“ vor Ort, durchgeführt und dabei verschiedene personenbezogene Daten hinterlassen. Uns interessiert insbesondere, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden und wie mit den sensiblen Daten umgegangen wird. Um der automatisierten Verarbeitung und Speicherung der Daten auf den Grund zu gehen, machte der Testkäufer im Anschluss von seinem Auskunftsrecht (vgl. Art. 15 DSGVO) oder seinem Recht auf Datenportabilität Gebrauch. Der Umgang mit dem Auskunftsersuchen und die dazu erteilten Antworten werden von uns dokumentiert und im Hinblick auf die neuen Vorgaben der EU-Verordnung ausgewertet. Dabei betrachten wir neben der rechtlichen Dimension vor allem auch die Aufbau- und Ablauforganisation und nutzen hierfür die Expertise des Unternehmensberatungsbereichs von PwC. Je nach ermitteltem Umsetzungsstand sprechen wir Empfehlungen für Verbesserungsmöglichkeiten aus oder geben konkrete Maßnahmenvorschläge an die Hand, an denen sich die Unternehmen bei der weiteren Verbesserung ihres Datenschutzmanagementsystems orientieren können. Die Formate lassen sich beliebig erweitern und werden immer auf die spezifische Risiko-Exposition einer Institution zum Datenschutz ausgerichtet.
An wen adressieren Sie als „Betroffener“ ein solches Auskunftsverlangen?
Dr. Oliver Kunert: In Betracht kommen alle gängigen Eingangskanäle eines Unternehmens – wie im wahren Leben! Klassische Zugänge sind die Kundenhotline der jeweiligen Gesellschaft oder schriftliche Auskunftsersuchen an das Unternehmen. Bei diesem Format ist es nicht erforderlich, die betroffenen Stellen vorab von der Durchführung des Stresstests zu informieren, so erhält man ein ungeschminktes Bild von der nach außen sichtbaren Leistungsfähigkeit des Datenschutzmanagementsystems.
Nutzen Sie auch andere Perspektiven als die Sichtweise einer betroffenen Person?
Dr. Oliver Kunert: Auf jeden Fall! Nicht nur aus Kundenperspektive kann geprüft werden. Die verantwortlichen Akteure müssen stets damit rechnen, von Datenschutz-Aufsichtsbehörden der Länder kontaktiert zu werden, meist nach Hinweisen oder im Zusammenhang mit konkreten Datenschutzvorfällen. Aufsichtsbehörden können Einsicht nehmen in Vorgänge des Datenschutz-Managementsystems, wie beispielsweise Verarbeitungsverzeichnisse. Im Falle eines Verstoßes gegen die neue DSGVO können beziehungsweise müssen die nationalen Aufsichtsbehörden der EU-Mitgliedsstaaten Bußgelder gegen die Unternehmen verhängen.
Ein beliebtes Stresstestformat ist daher auch die Simulation einer Behördenanfrage mit entsprechenden Auskunftsersuchen seitens der öffentlichen Stellen, auf das fristgerecht zu reagieren ist. Der Ausgangsfall für ein solches Format muss immer unternehmensindividuell abgestimmt werden und natürlich muss der zuständige Datenschutzbeauftragte und die Geschäftsführung über den Testcharakter informiert sein. Obwohl die Fiktivität des „Vorfalls“ den zentral Beteiligten im Unternehmen bewusst ist, hat diese Methode einen großen Nutzen: Durch einen zentralen Beobachter kann dokumentiert werden, wie die konkreten Prozesse bei der fiktiven Behördenanfrage tatsächlich ablaufen. Dieses Protokoll wird dann ebenfalls von uns ausgewertet und die Ergebnisse dem Unternehmen gespiegelt.
Voraussetzung ist, dass alle Beteiligten den Test „sportlich“ sehen und sich auf den fiktiven Charakter einlassen. Mit einem gut abgestimmten „Setting“ des Stresstests ist das aber nach unserer Erfahrung ein Selbstläufer, man fühlt sich da schnell echt „im Visier“ der Datenschutz-Aufsicht.
Wie werten Sie die Ergebnisse des Stresstest aus? Und was haben die Auswertungen ergeben?
Dr. Oliver Kunert: Bei der Auswertung der Stresstests vergleichen wir zunächst den gesetzlich vorgeschriebenen Soll-Zustand mit dem im Stresstest vom Unternehmen nach außen gezeigten Ist-Zustand der DSGVO Compliance. Wichtig ist es, dieses Ergebnis detailliert mit dem Unternehmen zu besprechen. Dabei gilt es festzustellen, ob Schwächen bereits auf einen Mangel an Prozessen und Vorgaben beruhen oder ob diese zwar vorhanden, aber nicht wirksam implementiert sind.
Auf großes Interesse stößt bei Unternehmen natürlich auch ein Benchmark-Vergleich mit einer geeigneten Peergroup von Mitbewerbern. Hier zeigen wir – selbstverständlich auf anonymisierter Basis – auf Wunsch übergreifende Bewertungen von Vergleichsgruppen.
Kurz und knapp: Wie würden Sie die „benefits“ eines Stresstests zusammenfassen?
Dr. Oliver Kunert: Das Vorgehen mittels eines Stresstests stellt für Unternehmen eine optimale Möglichkeit dar, ihre Konformität mit der EU-Datenschutz-Grundverordnung mit überschaubarem Aufwand praxisorientiert auf den Prüfstand zu stellen. Die Unternehmen unterziehen sich einer kritischen Prüfung aus objektiver Perspektive, deren Auswertung ihnen ein realistisches Feedback über ihren aktuellen Umsetzungsstand liefert. Darüber hinaus können Unternehmen konkrete Empfehlungen bekommen, wie sie ihr Datenschutz-Managementsystem weiter verbessern können und welche Maßnahmen erforderlich sind, um die DSGVO-konforme Verarbeitung personenbezogener Daten zu optimieren. Besonders interessant sind Stresstests für dezentral aufgestellte Unternehmen, die Datenschutzstandards über zentrale Vorgaben definieren, die Umsetzung aber vor Ort liegt. Hier hat die Unternehmensleitung vielfach nur vage Vorstellungen über das praktische Compliance-Niveau vor Ort.
Herr Dr. Kunert, vielen Dank für das Gespräch!