EU-Datenschutz-Grundverordnung

DSGVO: Umkehr der Beweislast bezüglich Daten

Für die Verbraucher bringt der EU-Datenschutz neue Rechte, u. a. auf ­Auskünfte über alle von Unternehmen über sie gespeicherten Daten. Für viele Firmen, die bis jetzt noch keine Maßnahmen ergriffen haben, ist es ein Spiel mit dem Feuer, wie Ernst Siepmann betont. Der Geschäftsführer von Miosoft stellt klar, dass, wenn ­einem Unternehmen wie dem Finanzdienstleister Equifax 143 Millionen Kundendaten entwendet werden, vier Prozent des Jahresumsatzes als Strafe fällig sein können.

Als ein riesiges Problemfeld in Sachen Datenauskunft sieht Ernst Siepmann, Geschäftsführer von Miosoft, die Datenqualität in den Unternehmen.

Als ein riesiges Problemfeld in Sachen Datenauskunft sieht Ernst Siepmann, Geschäftsführer von Miosoft, die Datenqualität in den Unternehmen.

IT-DIRECTOR: Herr Siepmann, am 25. Mai 2018 endet die Frist der Unternehmen, um die notwendigen Maßnahmen für die neue EU-Datenschutz-Grundverordnung (DSGVO) umzusetzen. Das ist schon recht bald, aber immerhin ist der Stichtag seit gut eineinhalb Jahren bekannt. Wie weit sind ihrer Erfahrung nach die mittelständischen Unternehmen?
Ernst Siepmann:
Leider noch nicht sehr weit, genutzt haben viele Unternehmen die lange Frist nicht. Nach einer Erhebung des Bitkom hat nur jedes dritte Unternehmen mit ersten Maßnahmen begonnen oder sogar schon umgesetzt. Und jedes fünfte Unternehmen gab an, sich damit noch nicht beschäftigt zu haben.

IT-DIRECTOR: Bisher gab es ja das Bundesdatenschutzgesetz. Was macht die neue DSGVO so schwierig für die Unternehmen?
Siepmann:
Viele Unternehmen haben noch nicht verstanden, dass die neue Datenschutzregelung der EU eine Beweislastumkehr bringt. Mussten nach dem alten Bundesdatenschutzgesetz die Betroffenen nachweisen, dass ein Verstoß gegen den Datenschutz vorliegt, so müssen nun die Unternehmen beweisen, dass sie den Datenschutz befolgen. Sollte ihnen dies nicht gelingen, werden bereits für die fehlende Umsetzung ziemlich heftige Bußgelder fällig: mindestens zehn Millionen Euro oder zwei Prozent des Jahresumsatzes.

IT-DIRECTOR: Werden die Datenschutzbehörden das tatsächlich prüfen?
Siepmann:
Die Unternehmen sollten davon ausgehen. Die Datenschutzbehörden werden ab dem Frühsommer anfangen, einige Unternehmen stichprobenartig zu prüfen. Außerdem ist es durchaus möglich, dass beispielsweise Verbraucherorganisationen, aber auch einzelne, besonders kritische Verbraucher die Unternehmen auf den Prüfstand stellen. Dies war nach den bisherigen Datenschutzregeln gar nicht möglich. Denn die DSGVO bringt ein zusätzliches Recht für die EU-Bürger: Sie können Auskünfte über die bei einem Unternehmen gespeicherten Daten verlangen.

Es ist unklar, inwieweit die Verbraucher tatsächlich massenhaft von ihrem Recht Gebrauch machen, aber im Prinzip reicht es schon, wenn eine Person mit den Auskünften nicht zufrieden ist und die Datenschutzbehörden informiert oder in sozialen Netzwerken ihren Unmut äußert.

Das kann unangenehm werden, wie ein TK-Unternehmen merkte, als der Rapper Bushido im Frühjahr 2016 seinen Zorn über vermeintlich schlechten Service via Twitter verbreitete. Der Tweet schlug Wellen, Bushido legte auf allen Social-Media-Kanälen nach und aberhunderte Nutzer von Twitter, Facebook und Youtube sprangen auf den Zug auf. So eine Welle schädigt das Image und kann zu hohen Bußgeldern führen, wenn abgesprungene Kunden eine Datenübertragung nach Art. 20 an die Konkurrenz verlangen und das Unternehmen nicht in der Lage ist, diese korrekt umzusetzen.

IT-DIRECTOR: Das klingt jetzt ein wenig dramatisch.
Siepmann:
Die Sache mit den Prüfungen und den Bußgeldern klingt tatsächlich ein wenig nach Panikmache, doch das Gegenteil ist der Fall.
Die neuen Verbraucherrechte haben enorme Konsequenzen für die Datenverarbeitung in den Unternehmen. Denn das Auskunfts-, Korrektur-, Übertragungs- und Löschrecht der Kunden betrifft wahrhaftig alle gespeicherten Daten. Einige Beispiele: Betroffen sind nicht nur die Stammdaten in Warenwirtschaftssystemen, sondern auch Daten oder Datenfragmente in CRM-Systemen, Marketing-Anwendungen wie Newsletter-Services oder Social-Media-Tools, dem gesamten E-Mail-Archiv und in vielen weiteren Anwendungen und Datenbanken.

Allein schon das Zusammensuchen der einzelnen Fragmente ist aufwendig. Hinzu kommt ein weiteres Problem: Die Rechte der DSGVO gelten pro natürliche Person, die als „Organisationseinheit“ in den IT-Systemen von Unternehmen jedoch unüblich ist. Gespeichert wird nach anderen Kriterien, etwa Kundennummer, Account oder Kontonummer. Außerdem sind die Daten weit davon entfernt, konsistent und einheitlich zu sein. So ist es durchaus üblich, dass eine Person in mehreren Kundendatenbanken auftaucht, weil sie unterschiedliche Produkte oder Services bei verschiedenen Fachbereichen, Niederlassungen oder Konzerngesellschaften gekauft hat.

IT-DIRECTOR: Da steckt der Teufel offensichtlich im Detail. Aber in den Unternehmen werden doch bereits alle möglichen Softwaresysteme für Warenwirtschaft und Kundenmanagement eingesetzt. Es müsste doch möglich sein, die Daten aus den Systemen auszulesen?
Siepmann:
Theoretisch ja, in der Praxis leider nein. Denn das Dilemma geht weiter, wenn die Datenqualität ins Spiel kommt. Erstens hat es sich in vielen Unternehmen eingespielt, dass auch wiederholte Kundenkontakte als jeweils neue Datensätze in den Systemen auftauchen. Meist geht es schneller, Daten neu zu erfassen oder im E-Commerce die Eingabe gleich dem Kunden selbst zu überlassen. Den Kunden ist das egal, Hauptsache die Ware oder Dienstleistung wird vereinbarungsgemäß geliefert.

Zweitens sind Kundendaten aufgrund von Tippfehlern, Irrtümern bei der Erfassung, Anschriftenwechseln und Namensgleichheiten notorisch unzuverlässig. Allein die Aufgabe, für einen in großen Datenbanken hundertfach erscheinenden „Hans Schmidt“ alle zutreffenden Datensätze und Fragmente auch in falschen Schreibweisen wie „Schmid“ oder „Schmitt“ herauszusuchen, dürfte einen Sachbearbeiter etliche Stunden beschäftigen.

IT-DIRECTOR: War es das an schlechten Nachrichten?
Siepmann:
Leider ein. Die DSGVO kennt wie das bisherige Bundesdatenschutzgesetz den sogenannten Erlaubnisvorbehalt: Die Verarbeitung persönlicher Daten ist verboten, solange sie nicht per Gesetz erlaubt wird oder der Betroffene ihr zugestimmt hat. Diese Einwilligung kann wie bislang schriftlich oder auf elektronischem Wege geschehen.

Das ist zwar nichts Neues, aber zusammen mit der Auskunftspflicht ergibt sich eine heikle Situation. Die Einwilligungserklärung enthält alle Zwecke und Aufgaben, für die Daten erhoben werden. So sollte aus den Verbraucherauskünften deutlich hervorgehen, dass nur solche Daten gespeichert sind, die durch die Einwilligungserklärung abgedeckt sind. Alles andere könnte juristische Folgen haben. Zudem gibt es auch hier wieder das Problem, dass die Einwilligungserklärungen zusammen mit den Personendaten dezentral und verteilt gespeichert wurden.

IT-DIRECTOR: Bedeutet das, dass nun alle deutschen Unternehmen sämtliche ihrer teils seit Jahren genutzten Anwendungen an die DSGVO anpassen müssen?
Siepmann:
Dies würde nicht funktionieren. Es ergibt keinen Sinn, die entsprechenden DSGVO-Funktionen in mehreren IT-Anwendungen einzubauen. Dabei geht es nicht nur um die Auskünfte. Die Daten müssen auch in allen Systemen korrigiert und bei Wegfall des Speicherzwecks gelöscht werden können. Eine mögliche Lösung: Alle personenbezogenen Daten inklusive der Einwilligungserklärungen werden in Kopie und nach Personen sortiert zentral gespeichert. Doch ist es kaum vorstellbar, dass ein Unternehmen seine Datenbankstrukturen soweit über den Haufen werfen und die Basis-Unternehmensfunktionen aufrechterhalten kann. In jedem Fall dürfte so eine Umstellung Jahre dauern.

Dies ist ein Artikel aus unserer Print-Ausgabe 04/2018. Bestellen Sie ein kostenfreies Probe-Abo.

Kurz: Wer nicht bereits direkt bei Verkündung der DSGVO aktiv geworden ist, wird es kaum schaffen, die Anforderungen zu erfüllen. Bei der ersten Anfrage eines Verbrauchers wird er vor dem Problem stehen, innerhalb der von der DSGVO vorgesehenen Maximalfrist von einem Monat eine umfassende und verständliche Antwort zu geben. Mit Handarbeit kann das teuer werden und die Kosten dafür muss das Unternehmen komplett selbst übernehmen, denn DSGVO-Auskünfte müssen laut Gesetz „gebührenfrei“ erfüllt werden.

IT-DIRECTOR: Wie sieht Ihre Problemlösung aus?
Siepmann:
Unsere Software erzeugt aus den vorhandenen Datenbanken eines Unternehmens eine neue Sicht auf die personenbezogenen Daten im Unternehmen, die pro Person organisiert ist. Diese neue DSGVO-Ansicht hilft den Unternehmen bei der Erfüllung ihrer Auskunftspflicht und bei der Identifikation der Daten, die bearbeitet oder gelöscht werden sollen. Darüber hinaus verwaltet die Anwendung auch die Einwilligungserklärungen, die ebenfalls dokumentiert werden müssen.

Bildquelle: Miosoft

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok