Vergangenen Samstag feierte die DSGVO ihren ersten Geburtstag oder auch ihren dritten, je nachdem wann man mit der Zeitrechnung beginnt. Anstatt zum wiederholten Male alles durchzukauen, was in diesem Jahr passiert ist, wollen wir einen Ausblick wagen.
Kontrollen der Behörden: TOMs im Visier
Während europaweit immer mehr Strafverfahren bekannt werden, zeichnet sich ein eindeutiges Bild ab:
Nicht der Data Breach selbst, sondern der Umgang mit diesem sowie die zuvor getroffenen technischen und organisatorischen Maßnahmen (TOMs) stehen im Fokus der Ermittlungen. Verfehlt es ein Verantwortlicher innerhalb der vorgesehenen 72 Stunden einen Data Breach zu melden, herrscht eine Null-Toleranz-Politik, wie aktuell ein Beispiel aus Litauen zeigt. Aber selbst, wenn keine Daten verloren gingen oder gestohlen wurden, drohen für mangelhaft bzw. nicht implementierte TOMs hohe Strafen (wir berichteten). Weiters kann die Zusammenarbeit mit der Datenschutzbehörde Bußgelder mildern oder durch Aufklären von Missverständnissen gar gänzlich aufheben. Auch die Qualifikation von Datenschutzbeauftragten wird kritisch beäugt und „Alibiaktionen“ werden durchleuchtet.
Auch ein Jahr nach in Geltung treten der DSGVO ist es daher noch nicht zu spät Schritte in Richtung DSGVO-Konformität zu setzen. Es ist zu erwarten, dass auch in Zukunft DSGVO-relevante Dokumente wie zum Beispiel ein Datenverarbeitungsverzeichnis oder TOMs von Datenschutzbehörden angefordert werden um im Bedarfsfall einen ersten Überblick über die Datenverarbeitungen eines Unternehmens zu bekommen. Gut dokumentierte Datenverarbeitungsprozesse können daher nicht nur die Zusammenarbeit mit Behörden erleichtern, sondern geben auch bei Lösch- oder Auskunftsanfragen den notwendigen Überblick.
Auskunfts- und Löschanfragen
War sie vor einem Jahr noch das große Schreckgespenst der Klein- und Mittelbetriebe, ist die befürchtete Flut an Auskunfts- und Löschanfragen bei KMUs ausgeblieben. Gerät jedoch ein Großbetrieb wie etwa die Post AG mit einem Datenschutz-Fiasko ins Rampenlicht, schrecken die betroffenen Bürger nicht davor zurück ihr Recht auf Auskunft und Löschung geltend zu machen. So kann selbst ein Unternehmen dieser Größe (das noch dazu mit Briefverkehr umzugehen wissen sollte) in Bedrängnis geraten. Besonders Online-Dienstleister, wie soziale Medien und Webshops, versuchen diesem Problem vorzubeugen, indem sie automatisierte Lösungen zu Beantwortung von Datenschutz-Begehren implementieren.
Unserer Einschätzung nach wird die Anzahl der Anträge, mit steigendem Bewusstsein für die Rechte der Betroffenen in der Bevölkerung, wachsen. Jedoch haben wir die Erfahrung gemacht, dass selbst eine große Anzahl an Anträgen ressourcensparend zu bewältigen sind: gut definierte DSGVO-Prozesse, geschultes Personal und übersichtliche sowie aktuell gehaltene Datenschutz-Dokumente ermöglichen die effiziente Bearbeitung jeglicher Datenschutz-Begehren.
Europawahl
Der Ausgang der Wahl zum EU-Parlament wir das Thema Data Privacy & Protection europaweit beeinflussen. So sehen einige politische Fraktionen allzu strengen Datenschutz (und vor allem die daraus resultierenden hohen Strafen) als Wettbewerbsnachteil und versuchen die Regulierungen abzuschwächen. „Verwarnen statt strafen“ und das ewige Aufschieben der ePrivacy-Verordnung sind nur ein paar der diesbezüglichen Maßnahmen.
Was wurde eigentlich aus…
… der ePrivacy-Verordnung? Eigentlich hätte sie gemeinsam mit der DSGVO in Kraft treten sollten. In letzter Zeit wurde es jedoch ruhig um die Regulierung. „Frühestens 2020“ scheint der momentane Stand der Dinge zu sein. Dabei ist die zweijährige „Schonfrist“, wie sie bei der DSGVO von 2016 bis 2018 gelaufen ist noch gar nicht eingerechnet. Dabei wäre dieses lex specialis dringend notwendig (in welcher Form auch immer), um Rechtssicherheit, beispielsweise im Bereich Online-Marketing und Einsatz von Cookies, zu schaffen.