DSGVO kaum umsetzbar?

12. Oktober 2020 08:43 Uhr  |  Dr. Ulrich Kampffmeyer  |  Permalink


Immer neue Nachrichten erreichen uns zu den DSGVO/GDPR/BDSG … immer neue Strafen. 16 Millionen-Strafe in Italien, knapp 10 Millionen bei 1&1. Besonders interessant unter dem Gesichtspunkt Informationsmanagement ist die Strafe für die Deutsche Wohnen. Dort ging es um den Zugang zu einem elektronischen Archiv und die dort gespeicherten Informationen.

Elektronische Archive dienen zur unveränderbaren Aufbewahrung geschäftsrelevanter Informationen und unterstützen in älteren Versionen kein gezieltes Herausfinden und Löschen von personenbezogenen Daten. Die Altlasten der elektronischen Archivierung mit WORM-Verfahren stellen so ein erhebliches Risiko für die Unternehmen dar – besonders für jene, die sehr früh mit Archivierung begonnen haben und jetzt eine kritische Altlast mit sich herumschleppen. Eine grundsätzliche Frage ist daher, ob die Prinzipien der Archivierung den Vorgaben der DSGVO widersprechen. Und natürlich, wie man “Altlasten” umgeht, die vor den Zeiten der DSGVO entstanden sind.

In der Diskussion befindet sich auch eine Studie des BITKOM, des Verbandes der ITK-Hersteller und -Anbieter. Dort heißt es, die DSGVO behindere Innovation. Mehr als 90% der Unternehmen in Deutschland wünschen sich eine Änderung der DSGVO. Wenn man ehrlich ist, können Unternehmen, Organisationen, Behörden & Co. die DSGVO überhaupt nicht vollständig erfüllen – “vollständig” ist das Stichwort. “Angemessenheit” wäre ein zweites Stichwort. Bei Großunternehmen weiß man häufig überhaupt nicht, welche Informationen wo liegen. Sicherungen, unkontrollierte Redundanz, Sticks, Cloud-Sync-Speicher usw. machen das identifizieren und lokalisieren sehr schwierig. Hier wird vielfach auf die eierlegende Wollmilchsau KI Künstliche Intelligenz gehofft. Auch bei kleineren Unternehmen und Einzelkämpfern sieht es schwierig aus – hier eine Excel, da eine alte Outlook OST, dort eine Sicherungsfestplatte aus alten Tagen. Es fehlt an Zeit und Kriterien alles richtig nachzuarbeiten. Häufig ist man als Nutzer nicht in der Lage zu bewerten, wann eine Information schützenswert nach DSGVO ist und wann nicht. Geschäftskorrespondenz muss nach Handels- und Steuerrecht aufbewahrt werden und wenn sich dann persönliche Informationen z.B. in die Korrespondenz einschleichen muss entschieden werden, wie damit umzugehen ist. Problemfelder gibt es viele. Aber das die DSGVO Innovation behindern? Ist es nichts o, dass wir wegen der DSGVO mehr Innovation brauchen und der Druck auf Innovation sich erhöht?

Aktuell schlagen die Wellen hoch in Bezug auf Microsoft mit seiner 365-Plattform. Mit Sharepoint, Teams, Office und OneDrive gibt es eine Vielfalt von Speicherorten. Microsoft hat in diesem Bereich in Punkto Records Management und Information Governance einiges an neuen Werkzeugen gebracht, aber die grundsätzliche Frage der Speicherung und Übermittlung von Information ist nach Meinung der Datenschützer offener denn je. Die Speicherung in einem deutschen Rechenzentrum ist nicht ausreichend, wenn weiterhin Datenabfluss in die USA passiert. Die Meinung der Datenschützerkonferenz lädt zu Umgehungen geradezu ein, denn wie will man gerade in Corona-Zeiten die notwendige Collaboration und Heimarbeit mit US-amerikanischen Produkten verbieten. Cloud ist nicht im Public Cloud. Neben SaaS gibt es IaaS, PaaS und vielfältige hybride Formen. Diese erlauben verschlüsselte Kommunikation und verschlüsselte Plattformen. Eine generelles Verteufeln eines Anbieters und einer bestimmten Lösungsausprägung hilft hier nicht weiter – auch wenn Microsoft einiges noch tun muss, damit die DSGVO/GDPR eingehalten wird (den sogenannten privacy Shield vergessen wir einmal …).

Das Wichtigste ist, glauben wir, dass jetzt ein größeres Bewußtsein für den Umgang mit Information und den Schutz von Daten gewachsen ist. Auch wenn nicht alles erfüllt wird (oder werden kann), was die DSGVO verlangt, so sind wir jedoch auf dem richtigen Weg. Schutz personenbezogener Daten ist dabei nur ein Aspekt. Es geht generell um die Information Governance, die Beherrschung der Information. Neben der DSGVO gibt es noch viele andere gesetzliche Vorgaben, die ein geordnetes Verwalten und Nutzen von Information erfordern: HGB nebst GoBD für die kaufmännischen Daten, GeschGehG für den Schutz vertraulicher Daten, IT-SIG für die Sicherheit in kritischen Bereichen, usw. Genauso wichtig wie die Compliance-Aspekte sind die Wirtschaftslichkeitseffekte – die richtige Information oder aufwändiges Suchen sofort zu erhalten, keine veralteten oder falschen Informationen. Von Zuhause oder unterwegs mobil arbeiten zu können mit Zugriff auf alle wichtigen Daten. Workflows und Process Automation um mehr Qualität, Schnelligkeit und Sicherheit in Geschäftsprozesse zu erhalten. Es gibt viele weitere Argumente für eine übergreifende Information Governance, die natürlich den Datenschutz als einen Grundpfeiler einschließt. Datenschutz gehört so gesehen in die Infrastruktur aller technischer Lösungen wie auch in Organisation und Prozesse und besonders in das Wissen und Verhalten der Mitarbeiter.

Dass die aktuellen DSGVO noch nicht der Weisheit letzter Schluss sind, ist allen klar. Beim weiteren Zusammenwachsen Europas, beim Digital Single Market (DSM), wird auch die Themen Datenschutz, Vertraulichkeit, Sicherheit und Ethik immer wieder neu beleuchtet werden. Aktuell müssen wir mit der GDPR, bzw. DSGVO/BDSG so leben wie sie ist. Und viele relevante “Interpretationen” durch Urteile stehen noch aus.

Zu diesen – und anderen – Themen rund um die DSGVO gibt es am 13.10.2020 um 08:51 in der Reihe “9vor9” von Stefan Pfeiffer und Lars Basche eine Podcast-Session auf Twitter. Die Aufzeichnung werden wir hier in einem Kommentar veröffentlichen, bzw. auf Youtube verlinken.

Dr. Ulrich Kampffmeyer

Dr. Ulrich Kampffmeyer

Curriculum auf Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer

2 Kommentare zu “DSGVO kaum umsetzbar?

  • Office 365 & Datenschutz
    23. Oktober 2020 um 10:23
    Permalink

    Eines der Argumente gegen den Einsatz von Office 365 mit Teams, Sharepoint online und OneDrive ist, dass man mit Office 365  (und auch anderen Video-Conferencing-Tools) nicht Datenschutz-konform arbeiten könne. So die Datenschutzkonferenz des Bundes und der Länder (DSK) am 22. September 2020 verabschiedet, dass derzeit “kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist”.  Die Abstimmung der Landesdatenschützer war mit 9:8  knapp. Fokus war dabei der Einsatz von Microsoft Office in der öffentlichen Verwaltung und die Dominanz von Microsoft-Produkten. Es macht seither die Aussage die Runde, dass der Einsatz von Office 365 “verboten” sei.

    Vorab ist zu konstatieren, dass es einen Unterschied zwischen “Datenschutz-konformer Nutzung” und “Produkt ist nicht Datenschutz-konform” gibt. Das Arbeitspapier der DSK vom Juli 2020 basierte auf der Fassung der Nutzungsbedingungen, den Bedingungen der Auftragsdatenverarbeitung,  AGB und Datenschutzerklärung für Teams. Diese Dokumente  hatten den Stand Januar 2020. Bemängelt wurden weiche Formulierungen und dass ein Datenabfluss in die USA nicht ausgeschlossen sei. Inzwischen hat Microsoft zahlreiche Ergänzungen und Verbesserungen vorgenommen, wie z.B. im Records Management und bei der Information Governance. Viele andere Standardprogramme bieten nicht den Umfang der Funktionalität zur Verwaltung der Software, Berechtigungen und Sicherheitseinstellungen wie Microsoft Office 365. Microsoft gibt auf ihrer Webseite inzwischen auch aktualisierte Hinweise zur DSGVO-konformen Einsatz.

    Die BRAK Bundesrechtsanwaltkammer schloss sich der Kritik an Office 365 an. Viele Anwälte jedoch, die sich mit Internet-Recht beschäftigen, haben inzwischen die Aussagen der DSK in Frage gestellt und relativiert. Es ist letztlich auch eine Frage, wie die Politik und Verwaltung Einfluss auf die Produktgestaltung von Microsoft nehme. RA-Kanzlei Luther verweist hier auf das Beispiel Niederlande. RA Dr. Schwenke gibt Praxis-Tipps wie Office 365 genutzt werden kann. Auf Dr. Datenschutz werden Hinweise zu den Einstellungen gegeben, um Datenschutz-konform Office 365 zu nutzen. Auch RA Nina Diercks gibt eine Einordnung, dass es sich keineswegs um ein Verbot des Einsatzes von Office 365 handelt.

    Letztlich kann man nicht einfach ein nützliches, weit verbreitetes Standardprodukt “verbieten” wenn man nicht gleichzeitig eine Alternative aufzeigen kann. Hier hat sich gerade die öffentliche Verwaltung mit ihren Open-Source-Projekten nicht gerade mit Ruhm bekleckert. Es ist nun an Microsoft, weitere Verbesserungen und Konkretisierungen bzgl. der Konformität mit GDPR/DSGVO (nicht nur für Deutschland, zumindest für die gesamte EU) vorzunehmen. Dies heißt aber auch, Bereitschaft zur Kooperation der Datenschützer und nicht nur pauschale Ablehnung.

     

    Antwort

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Dies betrifft besonders die Nicht-Verwendung von urheberrechtlich geschütztem Material und die Nicht-Verwendung von Inhalten und Links zu Inhalten, die dem Leistungsschutz unterliegen. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSLT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons Vorgaben gewahrt. Für die Verfolgung mißbräuchlicher Nutzung meiner Beiträge durch Dritte bin ich selbst verantwortlich.