Der Stand der Dinge
Es ist zu erwarten, dass nur sehr wenige Unternehmen zum 25. Mai voll DSGVO-konform sein werden. Manche scheinen in einzelnen Aspekten sogar bewusst die weitere Entwicklung abzuwarten. Das mag damit zu tun haben, dass einige Anforderungen der Verordnung noch unscharf sind. Zudem wird gegenwärtig lebhaft zwischen Unternehmen, Anwälten und Datenschutzbehörden diskutiert, wie die Anforderungen im Arbeitsalltag umzusetzen sind. Manche Fragen scheinen geklärt. So gehen gesetzliche Aufbewahrungsfristen vor das Recht auf Vergessen. Wie aber soll wiederum dieses Recht auf Vergessen mit vertretbarem Aufwand auch in Backups umgesetzt werden, die nie dafür konzipiert waren, nachträglich einzelne Datensätzen löschen zu können? Was bedeutet ein "gängiges, strukturiertes, maschinenlesbares Format" in dem Daten bereitgestellt werden müssen, wenn der Kunde sein Recht auf Datenübertragbarkeit (Art. 20) wahrnehmen möchte?
Für Unternehmen gilt es intelligente, das heißt konforme aber mit vertretbarem Aufwand realisierbare DSGVO-Konzepte zu entwickeln. Sie sollten genau beobachten, wo öffentliche Diskussionen zu strittigen Punkten konvergieren. Externe Dienstleister, die eng mit den Aufsichtsbehörden zusammenarbeiten, können hier wertvolle Hilfestellung leisten.
Zwei Must Haves für die Agenda
Was also ist zu tun? Verallgemeinernde Tipps sind aufgrund der heterogenen Ausgangssituation vieler Unternehmen mit Vorsicht zu genießen. Zwei "Must Haves" sollten Unternehmen jedoch auf jeden Fall auf der Agenda haben:
Volle Transparenz:
Wer nicht weiß, welche personenbezogenen Daten er in welchen Systemen und Prozessen verwendet, kann die Rechtmäßigkeit seiner Datenverarbeitung schwerlich garantieren.
Nachhaltigkeit:
Es lohnt sich für Unternehmen nicht, aus reinem Opportunismus heraus zu handeln. Aber es muss ein klarer Fahrplan stehen, der die wichtigsten Themen wie etwa Data Protection by Design und by Default adressiert, und die Datenschutzbehörden überzeugt.
Hat man diesen Fahrplan, und meint man es ernst, besteht trotz der nun ablaufenden Frist für die Umsetzung der DSGVO erstmal kein Grund zur Panik. Denn selbst die EU geht davon aus, dass eine durchgängige Implementierung in den Unternehmen noch einige Zeit brauchen wird. Der Grund ist einfach: Die Auslegung der Verordnung durch die lokalen Datenschutzbehörden variiert schon von Bundesland zu Bundesland, und noch mehr von EU-Staat zu EU-Staat. Bis hier Zuständigkeiten geklärt und Auslegungen gefunden sind, vergeht noch etwas Zeit.
Vertrauen statt Überwachung
Klar ist auch: Die DSGVO ist keine Innovationsbremse. Sie hilft vielmehr, Vertrauen in digitale Dienste zu stärken. Denn wenn eindeutig und verständlich beschrieben ist, welche persönlichen Daten welche digitalen Dienste auf welche Art und Weise auf den Weg bringen, kann sich der Nutzer viel bewusster dafür oder dagegen entscheiden. Wenn dann das Smartphone künftig den Weg zum Sport aufzeigt und die benötigte Zeit vorhersagt, wird aus dem verblüffenden und manchmal irritierenden Wissen des Smartphones plötzlich ein komfortabler Service.