Datenschutzrechtliche Compliance gewinnt zunehmend an Bedeutung, weshalb ein geeignetes Datenschutzmanagementsystem unbedingt empfehlenswert ist. Hier bietet der Einsatz digitaler und automatisierter Lösungen große Vorteile. Dieser Beitrag analysiert das breite und schnell wachsende Angebot an Privacy-Tech-Lösungen mit Blick auf neue Standards und deren Praxisnutzen.
Vorgaben der DSGVO
Mit Einführung der DSGVO wurden die Dokumentations-,
Nachweis- und Informationspflichten deutlich umfangreicher ausgestaltet. Hervorzuheben sind die allgemeinen Nachweispflichten des Verantwortlichen (Art. 5 Abs. 1 DSGVO und Art. 24 Abs. 1 DSGVO): Der Verarbeiter muss die Vorgaben der DSGVO nicht nur einhalten, sondern auch präventiv deren Einhaltung nachweisen können (umfassende Rechenschaftspflicht). Zudem erfordern Informationspflichten (Art. 12 ff. DSGVO) eine systematische Dokumentation verarbeitungsbezogener Details, welche Nutzern und anderen Betroffenen mitzuteilen sind. Fast jedes Unternehmen ist zudem verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu führen.
Um die Rechtmäßigkeit der Datenverarbeitung belastbar nachweisen zu können, ist [del.!] die Implementierung eines geeigneten Datenschutzmanagementsystems unverzichtbar. Vor diesem Hintergrund kann Privacy Tech durch digitale und automatisierte Lösungen entscheidende Vorteile bringen. Dabei ist die Auswahl des richtigen Systems nicht nur eine wirtschaftliche Frage, sondern entscheidet unmittelbar über die Wirksamkeit des Datenschutz- und Risikomanagements sowie den Erfolg von Geschäftsmodellen.
Privacy Tech – digitales und automatisiertes Datenschutzmanagement
Als Privacy Tech werden Tools bezeichnet, die Unternehmen bei der Einhaltung datenschutzrechtlicher Pflichten mit digitalen und automatisierten Workflows unterstützen. Solche Werkzeuge können sowohl Datenschutzexperten unterstützen als auch Laien dazu befähigen, ein angemessenes Datenschutzmanagement aufzubauen und Risiken zu identifizieren.
Die individuelle Erstellung und Pflege von Verzeichnissen und Dokumentationen in Texten, Tabellen oder analogen Dokumenten war lange verbreitet. Der Aufbau eines Datenschutzmanagements auf dieser Basis ist zwar möglich, erfordert aber einen hohen Aufwand und ist fehleranfällig.
Verfügt ein Unternehmen nicht über ausreichende Ressourcen und fehlt es an Datenschutzwissen, etwa weil kein Datenschutzbeauftragter zur Verfügung steht, können digitale und automatisierte Konzepte entscheidende Vorteile bieten und dabei helfen, ein angemessenes Datenschutzmanagement zu etablieren und aktuell zu halten.
1. Typen und Funktionen verfügbarer Lösungen
Auf dem Markt ist ein breites, ständig wachsendes Angebot digitaler Lösungen verfügbar. Zählte die International Association of Privacy Professionals (IAPP) in ihrem jährlich erscheinenden Vendor Report im Jahre 2017 noch 44 Lösungen, sind es 2020 bereits über 300. Welche Lösung für welches Unternehmen geeignet ist, hängt von verschiedenen Faktoren, wie insbesondere dem Verwendungszweck und den verfügbaren Ressourcen ab.
a. Dokumentation
Eine von Privacy-Tech-Lösungen häufig angebotene Funktion ist die Bereitstellung von Dokumentationstools. Über geführte Workflows, die mit Blick auf komplexe rechtliche Vorgaben entwickelt wurden, können datenschutzrechtlichen Sachverhalte zielgerichtet dokumentiert werden. Je detaillierter Informationen dokumentiert werden sollen, desto mehr Ressourcen und Fachwissen erfordern die Implementierung und der Einsatz solcher Tools – sofern die komplexen datenschutzrechtliche Anforderungen durch die Privacy-Tech-Anbieter nicht angemessen auf das für den jeweiligen Anwender erforderliche Maß heruntergebrochen werden.
b. Einwilligungs- und Betroffenenrechtemanagement
Regelmäßig sehr wichtig ist der Aufbau eines zuverlässigen Einwilligungsmanagements, etwa im Marketingbereich. Für Einwilligungen als Rechtsgrundlage einer Datenverarbeitung (Art. 6 Abs. 1 lit. a DSGVO) bestehen hohe Anforderungen an das Datenschutzmanagement: Die Prozesse der Einholung, der Speicherung, der Dokumentation und des Nachweises sowie der Berücksichtigung von Widerrufen müssen bedacht werden. Ferner erfordert die frist- und formgerechte Erfüllung von Betroffenenrechten wie Auskunftsersuchen und Löschungsverlangen ein passgenaues unternehmensweites Konzept.
Privacy Tech bietet verschiedene Konzepte zur Abbildung und Automatisierung dieser Prozesse. Insbesondere wenn Einwilligungen über elektronische Kommunikation eingeholt werden, sind sog. Consent-Management-Lösungen empfehlenswert. Der BGH hat die strengen Anforderungen an das Einwilligungsmanagement auf Websites, häufig in Gestalt sogenannter Cookie-Banner, zudem erst kürzlich bestätigt (Urt. v. 28.5.2020 – I ZR 7/16) – der Einsatz einer Consent-Management-Lösung drängt sich also auf. Für den praxisrelevanten Bereich der Erfüllung von Betroffenenrechten bieten sich ebenfalls digitale und automatisierte Lösungen an.
c. Vorlagen, Informationen und Anleitungen
Das Datenschutzrecht wurde durch die DSGVO europaweit vereinheitlicht, Öffnungsklauseln lassen jedoch beachtliche Spielräume für den nationalen Gesetzgeber. In Deutschland wurde hiervon durch die Neuregelung des Bundesdatenschutzgesetzes (BDSG) sowie durch spezialgesetzliche Regelungen, etwa im Handels-, Sozial- und Steuerrecht, Gebrauch gemacht.
Überdies ist das Datenschutzrecht in hohem Maße auslegungsbedürftig, etwa bei praxisrelevanten Fragestellungen wie der Festlegung konkreter Lösch- und Aufbewahrungsfristen, dem angemessenen Umfang technischer und organisatorischer Maßnahmen (TOM) sowie zu erteilender Datenschutzinformationen. Nationale und europäische Behörden und Institutionen haben eine Fülle von Dokumenten zur Auslegung datenschutzrechtlicher Vorgaben sowie Vorlagen zur praktischen Umsetzung veröffentlicht. Auch die Rechtsprechung beschäftigt sich fortlaufend mit datenschutzrechtlichen Fragestellungen.
In Ansehung der Vielzahl von Rechts- und Informationsquellen sowie den teilweise abweichenden Auslegungen und häufig wenig praxisnahen Vorlagen sowie Vorgaben bietet der digitale Datenschutzmarkt vielversprechende Lösungen: Privacy-Tech-Tools können durch die Bereitstellung von praxisnäheren Vorlagen, Informationen und Anleitungen dabei unterstützen, ein optimales Datenschutzmanagement aufzubauen und den individuellen Anforderungen entsprechende Lösungen zu finden.
d. Automatisierung
Die Automatisierung von rechtlichen Arbeitsprozessen, häufig auch als Legal Tech bezeichnet, eröffnet im Datenschutzbereich großes Potential. Einige Privacy-Tech-Tools bieten eine automatisierte Bewertung dokumentierter oder ausgelesener Informationen an; Anwendungsfälle reichen von automatisierten Risikoabwägungen und Datenschutz-Folgenabschätzungen bis hin zur Bewertung von Datenschutzverletzungen oder Berechnung von Aufbewahrungsfristen.
Daneben stehen Werkzeuge zur Verfügung, die die Sicherheit von Websites oder Schnittstellen automatisiert analysieren und bewerten. Schließlich können Add-ons für bestehende Datenverarbeitungssoftware unter anderem zur Umsetzung automatisierter Löschroutinen eingesetzt werden.
e. Integrierte Lösungen
Bei integrierten Lösungen handelt es sich um Kombinationen der vorgenannten Ansätze, wobei insoweit häufig auch Beratungsleistungen angeboten werden. Im Idealfall können Unternehmen alle erforderlichen datenschutzrechtlichen Dokumentationen in einer einzigen Software abbilden, Maßnahmen daraus ableiten und somit ein effizientes digitales Datenschutzmanagement aufbauen, das sich ressourcenfreundlich implementieren lässt.
2. Ausrichtung und Praxisnutzen
Aufgrund der Bandbreite verfügbarer Lösungen bietet Privacy Tech grundsätzlich stets Vorteile, sofern das gewählte System die betrieblichen Anforderungen trifft und rechtliche Vorgaben zuverlässig abbildet, ohne sie unzulässig zu vereinfachen. Entscheidend für den Praxisnutzen einer digitalen Datenschutzsoftware sind alle Umstände der Verarbeitung personenbezogener Daten.
Umfangreiche und komplexe Tools, die nur von Experten bedient werden können, bieten häufig nur geringen Mehrwert für kleine und mittlere Unternehmen. Bei großen Unternehmen müssen Besonderheiten, wie etwa internationale Datenübermittlungen, datenintensive Geschäftsmodelle oder risikoreiche Verarbeitungen, berücksichtigt werden – und erfordern vielfach eine individuelle Beratung.
3. Einbindung von Experten
Beratung durch Datenschutzexperten wird durch Privacy Tech somit keinesfalls verzichtbar. Ist spezifisches Fachwissen erforderlich, sollte z. B. ein Datenschutzbeauftragter zur Verfügung stehen oder entsprechende Beratung bereits Leistungsbestandteil des Privacy-Tech-Tools sein.
Unpassende Lösungen führen hier nicht nur zu vermeidbaren Kosten, sondern bringen auch hohe Risiken mit sich. Denn unabhängig vom Einsatz von Privacy Tech verbleibt die Pflicht zur Umsetzung angemessener Datenschutzmaßnahmen (und damit die Haftung) bei dem Verantwortlichen, mithin der Geschäftsführung.
Vertraut werden sollte daher nur solchen Datenschutzlösungen, die durch Experten entwickelt und fortlaufend aktualisiert werden.
III. Zusammenfassung und Ausblick
Privacy Tech verändert in Ansehung der mit der DSGVO gestiegenen rechtlichen Anforderungen den Bereich des Datenschutzes. Digitales und automatisiertes Datenschutzmanagement bietet hier große Vorteile, indem der Aufbau eines effizienten sowie wirtschaftlichen Datenschutzmanagementsystems unterstützt und Prozessvereinfachung ermöglicht wird.
Zwar ist eine vollständige Automatisierung des Datenschutzmanagements aktuell nicht realistisch; es ist aber absehbar, dass sowohl das Angebot an als auch die Nachfrage nach digitalen Datenschutzlösungen weiter wachsen werden.
Im Idealfall definieren digitale Datenschutzlösungen den für den Anwender passenden Rahmen und schonen (finanzielle und personelle) Ressourcen. Soweit die gesetzlichen und behördlichen Vorgaben fortlaufend berücksichtigt werden, kann Privacy Tech auch solche Unternehmen bei der Etablierung angemessener Datenschutzkonzepte unterstützen, die individuelle Datenschutzmanagementsysteme bisher nicht umsetzen konnten (oder wollten).
Insgesamt gilt, dass – wenn die gewählten Systeme zu den betrieblichen Anforderungen passen – Privacy Tech sowohl den Schutz personenbezogener Daten als auch die Umsetzung datenschutzrechtlicher Compliance für eine Vielzahl von Unternehmen spürbar erleichtert.
Über die Autoren:
Alexander Ingelheim
Datenschutzbeauftragter und geschäftsführender Gründer
des Privacy-Tech- Dienstleisters PROLIANCE GmbH
Prof. Dr. Boris P. Paal, M. Jur. (Oxon.)
Direktor des Instituts für Medien- und Informationsrecht,
Abt. I: Privatrecht an der Albert-Ludwigs-Universität Freiburg
und wissenschaftlicher Beirat der PROLIANCE GmbH