4 Jahre DSGVO: Hohe Komplexität, einfache Lösung?

Pünktlich zum Jubiläum des Inkrafttretens der DSGVO gibt es Neuigkeiten zum Thema Datenschutz: Die EU und USA haben sich auf einen neuen Rahmen für den transatlantischen Datenverkehr geeinigt, nachdem der Europäische Gerichtshof das Privacy Shield vor gut zwei Jahren gekippt hatte. Die neue Vereinbarung könnte Unternehmen bei Fragen des internationalen Datenschutzes und Datentransfers Rechtssicherheit geben, aber sollten sie darauf warten? Nein, meint Maximilian Modl, CEO bei Sendinblue Deutschland, denn Datenschutz darf man nicht aufschieben.

privacy policy 3344455 640
pixabay.com ©skylarvision (Creative Commons CC0)

Zehn Jahre, nachdem die EU-Kommission eine grundlegende Reform des Datenschutzes vorgeschlagen hat, und vier Jahre, nachdem diese in Form der Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist, tun Unternehmen sich noch immer schwer damit, sie umfassend umzusetzen. Das gilt insbesondere für kleine und mittlere Unternehmen, denen dafür oft sowohl die erforderlichen Ressourcen – Zeit, Kapital, Personal – als auch das notwendige Wissen fehlen. Damit setzen sie sich allerdings einem großen Risiko aus, nicht nur, weil gravierende Verstöße mit Bußgeldern in Millionenhöhe geahndet werden können. Auch der Schaden durch einen etwaigen Vertrauensverlust bei Kund:innen darf nicht unterschätzt werden.

Diese Gemengelage wurde durch das Ende des EU-US Privacy Shields im Jahr 2020 noch weiter verkompliziert. Für Unternehmen, die sich beispielsweise auf in den USA ansässige Dienstleister verlassen, sind durch das Urteil des EuGH Unsicherheiten entstanden: Welche Daten dürfen sie mit diesen teilen und in welcher Form? Und auch das neue Abkommen zwischen EU und den USA bietet hier nicht allzu viel Hoffnung, noch fehlen auf beiden Seiten die entsprechenden Rechtsgrundlagen und es sind weiter viele Fragen offen. Gleichzeitig haben Datenschutzaktivist:innen bereits Klagen angekündigt, das Abkommen könnte also auch wie sein Vorgänger (und dessen Vorgänger Safe Harbour) schnell wieder zu Fall gebracht werden.

Automatische DSGVO-Compliance spart Ressourcen

Was können Unternehmen also in dieser komplexen Situation tun? Die Antwort ist eigentlich gar nicht so schwer: Auf automatisierte Tools setzen, bei denen DSGVO-Compliance fester Bestandteil ist, um etwa die Nutzung von Daten zu überwachen und zugriffsberechtige Nutzer:innen zu identifizieren. Je mehr Prozesse rund um das Identity- und Access-Management (IAM) automatisiert ablaufen, desto weniger besteht die Gefahr, dass Daten (versehentlich oder absichtlich) missbräuchlich genutzt werden. Dank Automatisierung brauchen Mitarbeiter:innen damit auch keine tiefen Datenschutzkenntnisse, um einen sicheren Umgang mit Daten zu gewährleisten.

Wichtig bei der Wahl entsprechender Tools: Sie sollten Datenschutz-Zertifikate unabhängiger Dritter vorweisen. Unternehmen sind dann von der DSGVO betroffen, wenn sie personenbezogene Daten von EU-Büger:innen erheben oder verarbeiten, ganz gleich in welchem Land das Unternehmen ansässig ist. Wer auf Nummer sicher gehen will, dass die DSGVO-Konformität richtig und vollständig im Produkt umgesetzt wurde, sollte deshalb lieber auf einen europäischen Anbieter setzen.

“Bei uns hat Datenschutz seit jeher oberste Priorität. Daher unterziehen wir uns externer Überprüfungen, optimieren und updaten unsere Plattform regelmäßig im Hinblick auf die DSGVO – zuletzt mit dem Umstieg auf First Party Cookies und der Implementierung von anonymem Tracking,” so Modl weiter.