Auf ein Wort...: Mit Franz-Josef Hasebrink

Bielefeld, 31.01.2022 

1. Herr Hasebrink, was war der Anlass, dass die EK/servicegroup ein konzernweites „Privacy Shield-Projekt“ initiierte?

"Datenschutz ist für die gesamte EK-Gruppe ein zentrales Gut. Nicht zuletzt laufen bei uns als wichtiges Bindeglied des Handels Daten der Industrie, des Einzelhandels, aber auch von Endverbrauchern zusammen. Unser Selbstverständnis ist es daher nicht nur Datenschutz formell als erledigt abzuhaken, sondern Datenschutz in der Praxis umzusetzen und jeden Tag aufs Neue zu leben. Damit steht es außer Frage, dass wir auf Urteile mit weitreichenden Auswirkungen – wie die Schrems II Entscheidung des EuGH – reagieren müssen."

2. Wir entnehmen Ihrer Antwort, dass Sie Datenschutz als wesentliches Compliance-Element im Unternehmen betrachten? Würden Sie soweit gehen und dies als Teilaspekt von Business Continuity verstehen?

"Insgesamt weist der Bereich Datenschutz Schnittmengen zu zahlreichen anderen Bereichen auf, seien es Legal, Cyber Security oder Risk Management. Sicherlich gibt es auch Schnittmengen im Bereich der Business Continuity. Dies liegt vor allem daran, dass Untersagungsverfügung der Datenschutzbehörden für bestimmte Software bzw. Dienstleister ein wesentliches Risiko für die betrieblichen Abläufe des Unternehmens in unserer digitalisierten Welt darstellen können. Diese Risiken gilt es im Blick zu behalten und vorbeugende Maßnahmen zu ergreifen." 

3. Würden Sie uns einen Einblick gewähren, wie die EK/servicegroup in diesem Projekt vorging? Gibt es dazu einen Best Practice-Ansatz, den die EK/servicegroup auch anderen Verbundgruppen empfiehlt?

"Das Vorgehen gestaltet sich vom Grundsatz simpel, ist in der Ausführung aber durchaus komplex. Die Basis der Planung fußt auf einer Einschätzung der deutschen, respektive europäischen, Rechtslage. In der Umsetzung wurden in der gesamten Verbundgruppe die Datenströme zu externen Dritten festgestellt – insbesondere mit dem Blick auf etwaige Übermittlungen in die USA oder sonstige EU-Drittstaaten. Aus diesen Erkenntnissen wurde ein sog. Datamapping erstellt. Für die ermittelten Datentransfers außerhalb der EU galt es dann die Frage zu beantworten, ob man die Dienste substituieren kann oder ob eine Absicherung im Rahmen des ausländischen Rechts unter Verwendung eines Transfertools wie den aktualisierten Standardvertragsklauseln und ggf. weiteren Garantien möglich ist.

Eine generelle best practice Lösung für die Umsetzung im Einzelnen gibt es aus unserer Sicht nicht. Dafür sind die einzelnen Verbundgruppen zu verschieden. Aber einige Leitlinien sind ohne Frage für alle relevant. Ein derartiges Projekt bedarf einer guten Planung unter Leitung von Kollegen aus den Bereichen Datenschutz & Recht. Die praxisbezogene Anbindung an die einzelnen Abteilungen und Mitarbeiter muss gewährleistet sein. Zudem ein Augenmaß auf den Projektaufwand in Bezug auf die Verbundgröße und die verarbeiteten Daten. 

4. Wurde bei der EK/servicegroup das von Ihnen beschriebene Projekt ausschließlich mit internen Ressourcen abgearbeitet oder haben Sie auch auf externe Beratungsteams zurückgegriffen? 

"Von externer Seite wurden wir durch die Rechtsanwaltskanzlei Wolff Göbel Wagner, einem langjährigen Partner im ServiCon Anwaltsnetz, unterstützt."

5. Sie haben beschrieben, dass Sie nach Abschluss des Data Mappings sodann in die Befragung Ihrer Servicedienstleister übergingen. Können Sie uns Auskunft darüber geben, wie diese mit Ihren Compliance-Anforderungen und Compliance-Fragen umgingen, insbesondere: Wie beurteilen Sie die Qualität der Rückmeldungen?

"Die Rückmeldungen waren von sehr unterschiedlicher Qualität. Teils haben wir äußerst fundierte Rückmeldungen erhalten, teils war den Dienstleistern die Problemstellung völlig unbekannt und natürlich gab es auch Bedarf für Nachfragen." 

6. Inwieweit konnte die EK/servicegroup auf bereits existierende Prozesse, Berichte und Audits zurückgreifen, die die EK/servicegroup anlässlich der Einführung der EU-DSGVO bereits geschaffen hatte?

"Nicht bei null zu starten, war ein enorm gewinnbringender Faktor für die EK. Wer sich als Unternehmer heutzutage noch nicht mit der DSGVO und dem Datenschutz insgesamt befasst hat, dürfte noch einen gehörigen Berg an Arbeit vor sich haben. Bei der EK zeigte sich dies insbesondere im Verständnis der Materie durch die betroffenen Mitarbeiter, da diese im Bereich Datenschutz bereits geschult wurden. Durch dieses Vorwissen wurden Maßnahmen und Anfragen wesentlich besser angenommen und effizienter bearbeitet. Die laufenden Audit Prozesse stellen darüber hinaus sicher, dass wir auch in Zukunft im Bereich Datenschutz auf dem Laufenden bleiben."

7. Wenn man sich vergegenwärtigt, dass die EU und die Vereinigten Staaten von Amerika nach der von Ihnen angesprochenen EuGH-Entscheidung noch immer kein neues Abkommen vereinbart haben, wie lautet dann Ihre Forderung gegenüber den politischen Entscheidungsträgern?

"Die Forderung nach einem Privacy Shield 2.0 Abkommen erscheint zwar auf den ersten Blick charmant, ist aber zu kurz gegriffen, da bei derartigen Abkommen stets das Risiko einer Verwerfung durch den EuGH besteht. Was wir brauchen, ist eine langfristige und verlässliche Lösung, die Rechtssicherheit für Unternehmer schafft. Es braucht daher eine gesamtheitliche Lösung. Darüber hinaus ist es leider Realität, dass viele Digitalprodukte der EU nicht mit ihren Vergleichsprodukten aus dem Silicon Valley mithalten können. Auch hier bedarf es politischer Maßnahmen, um EU-Eigenentwicklungen zu fördern, anstatt zu beschränken."

8. Wie plant die EK/servicegroup in der Zukunft mit diesen Themen umzugehen? Werden die Prozesse und Dokumentationen gepflegt?

"Aufgrund der guten und vollständigen Erstaufnahme ist eine Dokumentation nicht erneut in gleichem Umfang erforderlich. Nichtsdestotrotz wird ein praktikables Maß weiterhin intern dokumentiert und aktualisiert. So bleibt der Aufwand handhabbar und bringt uns auf Dauer die Gewissheit über unsere Datenströme und unsere Verarbeitungen. Dies umfasst insbesondere ein besonderes Augenmerk auf neu implementierte Prozesse und neue Dienstleister, die mit der Verarbeitung von personenbezogenen Daten betraut werden."

9. Abschließend noch eine top-aktuelle Frage: Die österreichische Datenschutzaufsichtsbehörde hat für Österreich entschieden, dass der Einsatz von Google Analytics verboten sei. Hat die EK/servicegroup bereits eine Einschätzung, ob und inwieweit sich dies auch auf Deutschland auswirkt? Und: Wie geht die EK/servicegroup mit dieser Entscheidungslage um? 

"Über kurz oder lang wird eine derartige Entscheidung zwangsläufig Auswirkungen auf alle EU-Staaten haben. In diesem konkreten Fall kommt aber hinzu, dass das betroffene Unternehmen während des Verfahrens auf ein deutsches Unternehmen in München verschmolzen wurde und demnach bereits ein gesonderter Hinweis an die entsprechende Aufsichtsbehörde erteilt wurde. Wir als EK haben bereits sämtliche unserer technisch involvierten Kollegen über die Entscheidung informiert und neben einer möglichst datenschutzkonformen Ausgestaltung der Google Analytics Nutzung steht ebenso die Nutzung von Alternativsoftware zur Debatte, die eine bessere Kontrolle über die Datenströme ermöglicht und insbesondere einen Transfer in die USA vermeidet." 

HINWEIS : Am 16.03.2022 wird die ServiCon Service & Consult eG ein Webinar zum Thema "Privacy Shield in Verbundgruppen" anbieten und dabei auch auf die Erfahrungen der EK/servicegroup zurückgreifen. Merken Sie sich schon heute diesen wichtigen Termin im Kalender vor. Die Einladungen werden in Kürze verschickt.