DS-GVO in der Pandemie – Luxus oder Nadelöhr?

Das Thema Datenschutz und insbesondere die Datenschutzgrundverordnung gewinnt im Lockdown durch die beschleunigte digitale Transformation für viele Unternehmen an Bedeutung. Die Nutzung adäquater, virtueller Kollaborationstools wird in Zeiten des Social Distancing zunehmend zum entscheidenden Erfolgsfaktor. Gleichzeitig ändern und verschärfen sich die rechtlichen Rahmenbedingungen durch das sog. „Schrems II“-Urteil aus Juli 2020 und dessen Auswirkungen auf den internationalen Datentransfer, den die virtuelle Kollaboration mit sich bringt. Unternehmen werden während der Pandemie im Höchsttempo digitaler, stehen damit aber einmal mehr vor der Herausforderung, den Datenschutz zu gewährleisten. Wie kann es in dieser Situation gelingen, handlungsfähig und datenschutzkonform zugleich zu bleiben und darüber hinaus auch alle beteiligten Akteure mitzunehmen?

Seien wir einmal ehrlich: Das Thema Datenschutz war seit Beginn der Pandemie bei vielen Unternehmen in den Hintergrund geraten. Dabei ist die Pandemie DER Treiber der Digitalisierung und überall wo digitalisiert wird, muss sich der Verantwortliche ganz praktisch die Frage nach dem gesetzeskonformen Umgang mit den personenbezogenen Daten stellen. Welches Kollaborationstool nutzt man beispielsweise, wenn die Tools der großen US-Tech-Unternehmen alternativlos erscheinen und gleichzeitig geeignete Garantien für den internationalen Datentransfer als rechtswidrig erklärt und hinfällig werden? Aus dieser und einigen weiteren Herausforderungen ergeben sich Erkenntnisse, die für den Datenschutz von erheblicher Bedeutung sind und die ein großer Lerneffekt für Unternehmer sein können.

Die umfangreichen Anforderungen der DS-GVO sind nicht neu – Die Jahre 2018-2019

Die Umsetzung der datenschutzrechtlichen Anforderungen durch die DS-GVO war für viele Unternehmen schon vor der Corona-Pandemie eine Herausforderung. Gerade kleinen und mittelständischen Betrieben fehlte es an Ressourcen und an Know-how, um bis zum Verstreichen der Umsetzungsfrist zum 25.05.2018 ihrer Rechenschaftspflicht gem. Artikel 5 DS-GVO nachzukommen.

• Die Geschäftsleitung und alle Mitarbeitenden des Unternehmens mussten geschult werden,
• die Verträge mit Auftragsverarbeitern mussten erneuert werden,
• das Verzeichnis von Verarbeitungstätigkeiten musste an die neuen Anforderungen angepasst werden,
• alle Rechtsgrundlagen mussten sichergestellt und dokumentiert werden,
• die Informationspflicht der Betroffenen musste zum Zeitpunkt der Erhebung der Daten sichergestellt sein,
• der Datenschutz durch Technikgestaltung musste sorgfältig geprüft und dokumentiert werden und
• adäquate Prozesse zur Meldung von Datenschutzverstößen mussten implementiert sein.

Die Einführung bzw. Nachjustierung der genannten Maßnahmen führte zu einem hohen initialen Aufwand und auch das dann folgende regelmäßige Qualitätsmanagement und die dazugehörigen Prozesse erlebten viele Unternehmen als eine sehr herausfordernde Aufgabe.

Durch die Vielzahl an neuen bzw. verschärften Bestimmungen und eine signifikante Verschärfung der Sanktionen bei Nichteinhaltung erzeugte das Thema DS-GVO von Beginn an viel Aufmerksamkeit. Es traf dabei an vielen Stellen auf wenig Akzeptanz. Grundsatzdebatten über die Angemessenheit der staatlichen Verordnungen waren die Folge, da sich die neue Rechtslage nicht immer mit dem Rechtsempfinden der obersten Führungskräfte oder der mit der Umsetzung beauftragten Mitarbeitenden deckte.

Die ursprünglichen Ziele des Verordnungsgebers – einen europaweit einheitlichen, hohen Datenschutzstandard zu schaffen und das Grundrecht auf informationelle Selbstbestimmung jedes Einzelnen zu stärken – gerieten daher in der öffentlichen Berichterstattung zunehmend in den Hintergrund.

Das i-Tüpfelchen: Der Boom der Cloud und das Privacy Shield – 2020-2021

Nachdem sich der anfängliche Implementierungsaufwand der Unternehmen gelegt hatte und das Thema DS-GVO im eingeschwungenen Zustand als Teil der betrieblichen Normalität akzeptiert wurde, kamen im Jahr 2020 die Covid-19-Pandemie als Treiber der Digitalisierung und darüber hinaus neue datenschutzrechtliche Anforderungen hinzu. Beides stellte Unternehmen vor weitere, völlig neue Herausforderungen.

Der Homeoffice-Boom

Die Pandemie führte zu einem rasanten Anstieg der Homeoffice-Quote und dazu, dass moderne Kollaborationstools führender US-Tech-Unternehmen unabdingbar wurden. Eine aktuelle Bitkom-Studie vom Dezember 2020 zeigt, dass in Deutschland der Anteil der Erwerbstätigen, die zumindest teilweise aus dem Homeoffice arbeiten, im letzten Jahr der Pandemie drastisch angestiegen ist. Waren es vor der Pandemie noch 6,3 Mio. Erwerbstätige, so sind es mittlerweile 11,5 Mio. Arbeitnehmerinnen und Arbeitnehmer, die regelmäßig von zuhause arbeiten und mehr als 10 Mio. darunter arbeiten sogar ausschließlich aus dem Homeoffice. Folglich dürfen sich Anbieter von Kollaborationstools über einen regelrechten Boom freuen. Microsoft beispielsweise konnte innerhalb eines Jahres einen rasanten Anstieg der monatlichen Nutzerzahlen von Microsoft Teams von 20 auf 115 Millionen verzeichnen. Dieser signifikante Anstieg führt de facto auch dazu, dass sich jetzt sehr viele Unternehmen dringend mit den aktuellen rechtlichen Voraussetzungen bzgl. des internationalen Datentransfers auseinandersetzen müssen.

Das Ende der Privacy-Shield-Regelung

Datenschutzrechtlich änderten sich im Jahr 2020 in erster Linie die Rahmenbedingungen bzgl. des gesetzeskonformen Umgangs mit personenbezogenen Daten im internationalen Datentransfer. Bei einer Übermittlung von personenbezogenen Daten an einen Auftragsverarbeiter in einem Drittland, muss generell gem. Artikel 26-28 DS-GVO sichergestellt werden, dass ein angemessenes Datenschutzniveau durch das empfangende Unternehmen im Drittland herrscht. Gerade bei der Migration von Daten in die Cloud spielt das Thema DS-GVO somit eine große Rolle, da die führenden Cloud-Anbieter wie Microsoft, Google oder Amazon US-amerikanische Unternehmen sind. Gem. DS-GVO gelten sie als Drittland-Anbieter, was die Prüfung der rechtlichen Zulässigkeit erschwert. Es muss in diesem Fall geprüft werden, ob für die Verarbeitungen entsprechende zusätzliche Garantien oder Vereinbarungen bestehen. Viele Unternehmen hatten sich noch bis Mitte letzten Jahres auf das sog. Privacy Shield berufen. Dieser sektorspezifische Angemessenheitsbeschluss sollte die Konformität der US-Anbieter mit dem europäischen Datenschutzrecht unter bestimmten Umständen sicherstellen und eine Übermittlung von personenbezogenen Daten in die USA allgemein ermöglichen.

Durch das Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 („Schrems II“) wurde der Angemessenheitsbeschluss als sofort ungültig erklärt. Zu dieser Entscheidung geführt haben insbesondere die Befugnisse der US-Geheimdienste und die allgemeine Rechtslage in den USA, die ein angemessenes Datenschutzniveau lt. des EuGH-Urteils nicht sicherstellen konnte. Das Urteil des EuGHs führte dazu, dass Unternehmen auf andere geeignete Garantien zum internationalen Datentransfer zurückgreifen mussten.

Neuer Aufwand durch Standardvertragsklauseln

Die sog. Standardvertragsklauseln, die zwischen den Unternehmen in Drittstaaten mit unzureichendem Datenschutzniveau und dem Datenübermittler in der EU abgeschlossen werden können, sind ein Beispiel für solche Alternativen. Allerdings muss der Verantwortliche in diesem Zusammenhang zusätzlich im Einzelfall prüfen, ob das Schutzniveau für die personenbezogenen Daten tatsächlich dem der europäischen Gesetzgebung entspricht. Darüber hinaus muss er entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren. Das ist ein kräftezehrender Prozess, der erneut Ressourcen bindet und juristisches Know-how erforderlich macht.

Nicht selten empfehlen Datenschutzrechtler umfangreiche Best-Practice-Konzepte, um die Risiken einer weiteren Nutzung umstrittener US-Anbieter-Tools so gering wie möglich zu halten. Die Rechenschaftspflicht gem. Artikel 5 DS-GVO der Unternehmer steht auch hier im Vordergrund. Unternehmen müssen im Einzelfall prüfen, ob die rechtliche Zulässigkeit der Nutzung von Kollaborationstools US-amerikanischer Anbieter gegeben ist, wie das Datenschutzniveau möglichst erhöht und Risiken minimiert werden können.

Unternehmer müssen also eine Entscheidung darüber treffen, ob sie das bestehende Risiko einer weiteren Nutzung namhafter Kollaborationstools in Kauf nehmen oder den Weg eines risikominimierenden und Datenschutzniveau erhöhenden Best-Practice-Konzepts gehen wollen. Solch ein Best-Practice-Konzept sollte neben einer ausführlichen Risikoabwägung und einer Anpassung des Verarbeitungsverzeichnisses auch eine Nutzungsrichtlinie für die Mitarbeitenden beinhalten. Diese sollte den datenschutzfreundlichen Umgang mit den genannten Tools und die datenschutzfreundliche Konfiguration erläutern. Das betrifft die Deaktivierung datenschutzkritischer Komponenten, Angaben zu Verschlüsselungsmethoden, die Deaktivierung von Telemetrie- und Diagnosedaten u. v. m. Zur zusätzlichen Absicherung der genannten Dokumentation können darüber hinaus externe Gutachten durch unabhängige Datenschutzexperten angefertigt werden. Außerdem sollten die Unternehmer den Betriebsrat frühzeitig in den Prozess der Konzepterstellung mit einbinden und einen Prozess zur regelmäßigen Überprüfung der rechtlichen Rahmenbedingungen und der internen Kommunikation implementieren.

Der Lerneffekt zum Datenschutz in der Pandemie: Commitment und Kommunikation

Viele Unternehmer hatten nach der Einführung der DS-GVO den Eindruck, sie könnten sich entscheiden zwischen einem gewissen finanziellen Risiko bei Nichtbeachtung der Verordnung und einem gesetzeskonformen Weg. Entschieden sie sich für die zweite Option, führte kein Weg an einer recht aufwendigen Implementierung aller datenschutzrechtlichen Maßnahmen vorbei. Und auch die Anpassung der eigenen Dokumentation und Prozesse während der Pandemie und nach dem „Schrems II“-Urteil führte zu erneutem Aufwand, der auf den ersten Blick beträchtlich erschien.

Diese Art des Umgangs verspricht keinesfalls eine Entlastung für Unternehmer, ganz im Gegenteil – sie erfordert viel Aufwand und Fingerspitzengefühl. Aus unserer Erfahrung ist der recht hohe datenschutzrechtliche Aufwand durch die aktuelle Situation allerdings nicht nur unumgänglich, sondern auch die Sache wert. Ein großer Teil dieses Aufwands besteht aus Stakeholder Management und Kommunikation – und diese kann nur gelingen, wenn der für den Datenschutz Verantwortliche sich in seiner Rolle buchstäblich verantwortlich fühlt und handelt, was letzten Endes nicht nur eine Frage der Disziplin und des Pflichtgefühls ist, sondern eine Haltung widerspiegelt, die dem modernen, digitalen Zeitgeist entspricht.

Nicht zuletzt ist die sorgfältige Umsetzung des Datenschutzes für Unternehmen auch eine Frage der Professionalität. So verschieden die Geschäftsprozesse auch sein mögen, am Ende sind Mitarbeiter-, Bewerber- und Kundendaten immer auch Daten von Menschen. Und diese Daten genießen europaweiten Schutz.