Zum Unic-Blog

Unsere Erfahrungen mit der neuen Europäischen Datenschutzverordnung DSGVO

Fritz von Allmen ist seit 2018 Datenschutzbeauftragter der Unic. Er besitzt den Fachkundeausweis als betrieblicher Datenschutzbeauftragter des Branchenverbandes Bitkom Akademie. Dieser qualifiziert ihn dazu, Unic und ihre Kunden zu datenschutzrechtlichen Fragestellungen zu beraten. Als Chief Information Security Officer bei Unic ist er mit dem Thema Informationssicherheit vertraut und setzt sich tagtäglich für den Schutz von Daten bei Unic ein. Im Interview gibt er uns Auskunft darüber, was seine Erfahrungen mit der neuen Europäischen Datenschutzverordnung DSGVO drei Monate nach Inkrafttreten sind.

Papierkram, Unsicherheit und eine ausgebrochene Hektik – die DSGVO tritt in Kraft

Fritz, du kümmerst dich seit Jahren um das Thema Informationssicherheit und Datenschutz bei Unic. Wie hast du die ersten drei Monate nach Inkrafttreten des neuen europäischen Datenschutzgesetzes DSGVO wahrgenommen?

Fritz von Allmen: Wahrgenommen hab ich ziemlich viel Papier und Unsicherheit (lacht). Die DSGVO hat für viele Unternehmen Aufwand bedeutet – und bedeutet es noch immer. Gleichzeitig bleiben aber auch eine grosse Unsicherheit und einige Fragestellungen, auf die das Gesetz keine Antworten gibt.

Obwohl es sich um ein Gesetz der EU handelt und Schweizer Unternehmen diesem nur unter gewissen Bedingungen unterliegen, war die Resonanz sehr gross. Weltweit gab es Anstrengungen, Websites und Webshops den Anforderungen gemäss anzupassen. Die Angst vor möglichen Bussen war teilweise so gross, dass sich Betreiber dazu entschieden haben, komplette Foren einzustellen, Websites abzuschalten oder Nutzern aus der EU den Zugang zu verwehren.

Kam die DSGVO denn überraschend für Unic?

Nicht überraschend, aber wir waren wie viele andere recht spät dran, uns Gedanken zu machen, wie wir damit umgehen und was angepasst werden muss. Die zwei Jahre Übergangszeit von der Verabschiedung bis zum Inkrafttreten hätten gut gereicht, aber der Datenschutz genoss zu wenig Priorität. Dieses Versäumnis erklärt dann wohl die Hektik, die kurz vor dem 25. Mai 2018, dem Tag der Inkraftsetzung der DSGVO, ausgebrochen ist. Rückblickend hat sich für uns dieses Zuwarten jedoch bewährt. Zum Zeitpunkt der Inkraftsetzung war DSGVO auch in den Medien Tagesgespräch. Die Sensibilisierung unserer Mitarbeitenden war dadurch viel einfacher, als wenn wir das zwei Jahre zuvor angestossen hätten.

Seither habe ich zu dem Thema viele gute Gespräche geführt. Das Bewusstsein bei den Mitarbeitenden ist definitiv gestiegen. Intern haben wir die Zeit genutzt, um die nötigen Rollen zu schaffen, Verantwortlichkeiten zu klären und nicht-konforme Verarbeitungsprozesse anzupassen.

Transparenz in den Prozessen

Wie siehst du den Stand drei Monate nach Inkrafttreten? Was hat uns und unsere Kunden in dieser Zeit bewegt?

Drei Monate nach Inkrafttreten der DSGVO ist etwas Ruhe eingekehrt – meines Erachtens sogar zu viel Ruhe. Der grösste Mehrwert der DSGVO war aus meiner Sicht bis jetzt nämlich, dass sie den Datenschutz in den Köpfen der Menschen vergegenwärtigt hat. Nicht nur bei Fachmenschen aus Web und IT, sondern in der gesamten Bevölkerung. Ich hoffe, das Interesse an dem Thema hält weiter an. Zumindest wurde klar, dass der Datenschutz als Teil des gesellschaftlichen Wandels mitbetrachtet werden muss.

Die DSGVO hat sowohl uns als Dienstleister als auch unsere Kunden dazu bewegt, sehr genau hinzuschauen, welche personenbeziehbare Daten in den Systemen verarbeitet werden und zu welchem Zweck. Ich glaube, nur ganz wenige Unternehmen haben ihre Prozesse so präzise dokumentiert, dass sie abschliessend wissen:

  • wo personenbeziehbare Daten wie zum Beispiel IP-Adressen erfasst und gespeichert werden,
  • wie lange diese Daten gespeichert werden,
  • an welchen Zweck sie gebunden sind,
  • ob der Benutzer genügend aufgeklärt wurde,
  • ob die Daten an einen Dritten übertragen werden et cetera.

Das vom Gesetz verlangte Verzeichnis der Verarbeitungstätigkeiten bringt hier die nötige Transparenz in diese Prozesse.

Bei unseren Kunden spüre ich immer noch eine deutliche Unsicherheit. Sie haben konkrete Fragen, beispielsweise, ob sie nun ihre Trackingverfahren anpassen müssen oder ob ihr E-Mail-Marketing gesetzeskonform ist.

Kannst du abschätzen, wann und wie sich diese Unsicherheiten vermindern lassen?

Das ist schwer zu sagen. Leider gibt es noch viele Unklarheiten. Es gibt kaum wegweisende Gerichtsentscheide auf Basis der DSGVO. Viel Klarheit hätte die Überarbeitung der ePrivacy-Richtlinie gebracht. Mit einer Verabschiedung ist aber kaum vor 2020 zu rechnen. Zudem können noch ein bis drei Jahre vergehen, bis sie in Kraft tritt. Auch die Totalrevision des Schweizerischen Datenschutzgesetzes harzt. Ende des vergangenen Jahres lag hier eine vernehmlassungsfähige Version vor. Doch auch hier tritt der Gesetzgeber auf die Bremse und verzögert die Revision. Das Thema wird zwar aus regulatorischer Sicht vorangetrieben, gleichzeitig aber auch gebremst.

Im Mittelpunkt stehen die Interessen der Kunden

Was wünschst du dir im Hinblick auf den Datenschutz für die Zukunft?

Die Lösungen und Produkte am Markt müssen nachziehen und die Betreiber, die sie einsetzen, bei der Umsetzung der DSGVO unterstützen. So hat beispielsweise Google beim weitverbreiteten Google Analytics und beim Goolge Tag Manager Möglichkeiten eingebaut, die Aufbewahrungsfrist von Daten festzulegen. Tools sollten zunehmend technische Massnahmen (z. B. Verschlüsselung) zur Unterstützung des Datenschutzes beherrschen. Optionen zur Datenanonymisierung, Einstellungen und Konfigurationen zur Dauer der Datenaufbewahrung sowie Methoden, die Erlaubnis der Betroffenen einzuholen und revisionsfähig aufzuzeichnen, müssen verfügbar sein.

Wo stehst du als Datenschutzbeauftragter von Unic momentan mit der Umsetzung?

Ich treffe häufig auf Aussagen von Firmen, die versichern, dass sie absolut DSGVO-konform sind. Solche Statements finde ich etwas schwierig, das ist nicht unser Ziel. Ich verstehe Datenschutz nicht als einen endgültig zu erreichenden Zustand, sondern als Weg, grundlegende Rechte von digitalen Bürgern zu beachten und in ihrem Interesse zu handeln. Die Anpassungen sind nie abgeschlossen, sondern Teil eines steten Wandels.

Unic hatte dank der Zertifizierung nach ISO 27001: 2013 eine günstige Ausgangslage. Viele Dinge, die das Gesetz verlangt, haben wir im Bereich Informationssicherheit bereits umgesetzt (Stichwort technisch organisatorische Massnahmen). Als Digitalagentur sind wir auch unabhängig vom Gesetzgeber an einem sehr hohen Schutz der Daten unserer Kunden interessiert. Aufgrund der DSGVO mussten wir aber unsere Datenschutzerklärung anpassen, Verarbeitungsprozesse prüfen, Auftragsdatenverarbeitungsverträge abschliessen und die Mitarbeiternden weiter sensibilisieren.

Was ist dein Rat, wenn es um den Datenschutz geht?

Ich glaube, Datenschutz ist ein Dienst am Kunden. Firmen sollten versuchen, die regulatorischen Anforderungen wie DSGVO und ePrivacy zu erfüllen – im Mittelpunkt sollten aber die Interessen ihrer Kunden stehen. Nutzer wollen sich nicht endlos durch Cookie-Banner klicken (noch weniger, wenn diese ihnen gar keine echten Entscheidmöglichkeiten bieten). Sie wollen bei der Nutzung sozialer Plattformen nicht die Befürchtungen hegen müssen, dass sie beobachtet und verfolgt werden und man ihre Daten missbraucht. Sie wollen nicht unnötig viele Daten über sich preisgeben, und genauso wenig wollen sie Daten zweimal erfassen, wenn sie vom Arzt an eine Klinik weitergewiesen werden. Ich glaube, es ist zielführender, hier den Blickwinkel von Kunden und Usern einzunehmen, als Gesetze durchzublättern. 

Rainer Steinegger begeistert von Last- und Stresstests mit Gatling

Rainer Steinegger ist Senior Application Engineer bei Unic. Er entwickelt seit vielen Jahren Java-basierte Applikationen und ist seit anderthalb Jahren im Organisationsteam der Java User Group in Karlsruhe aktiv. An den Entwicklertagen vom 22. bis zum 24. Mai 2017 in Karlsruhe wird er im Rahmen seines Fachvortrages „Gatling for JMeter dummies“ aufzeigen, wie eine Gatling-Anwendung aussehen kann.

Ein Blick über die Schultern: So arbeitet Olaf Otto bei Unic

Was macht man bei Unic eigentlich? Mit der Rubrik „Blick über die Schultern“ geben wir einen Einblick hinter die Kulissen – aus der persönlichen Sicht verschiedener Rollen bei Unic. In den Interviews stellen die Mitarbeitenden nicht nur ihr Fachgebiet vor, sondern zeigen auch, was sie antreibt und was sie an der Arbeit bei Unic fasziniert.