Zunächst ist festzuhalten, dass personenbezogene Daten dank der Datenschutzgrundverordnung umfassend geschützt werden. Dies ist grundsätzlich positiv, denn wer möchte schon, dass die eigenen Daten in einer solch stark vernetzten Welt ungeschützt übertragen, verändert, weitergegeben oder benutzt werden? Jedoch führt ein hohes Schutzniveau auch dazu, dass die Anforderungen an eine Datenverarbeitung recht hoch sind. Zunächst ist das Vorliegen einer Rechtsgrundlage erforderlich. Außerdem müssen technische und organisatorische Maßnahmen zum Schutz der Daten eingehalten und bei einem Datentransfer in Länder außerhalb der EU oder EWR im Wesentlichen ein der DSGVO entsprechendes Schutzniveau gewährleistet werden. Diese Voraussetzungen werden teilweise als hinderlich und kaum pragmatisch umsetzbar empfunden. Aber ist das wirklich so?

Kreative Gestaltung einer Website

Die Website ist das digitale Aushängeschild eines Unternehmens. Kein Wunder also, dass in die Gestaltung viel Zeit und Kreativität gesteckt werden. Es werden YouTube-Videos eingebettet, Social-Media-Buttons von Meta (Facebook, Instagram), Twitter oder LinkedIn sowie eine Anfahrtsbeschreibung mittels Google Maps eingebaut. Außerdem läuft im Hintergrund häufig noch ein Analysedienst eines amerikanischen Anbieters, um die Website fortwährend zu verbessern. Am Schluss soll eigentlich nur noch kurz die Datenschutzerklärung erstellt werden und dann kommt sie – die Datenschutzkeule. Es folgt das vernichtende Urteil. Für alles braucht man eine Einwilligung, inklusive umfassender Information gegenüber den Websitebesuchern. Und analysieren sollte man auch lieber nicht, zumindest nicht mithilfe von amerikanischen Anbietern.

Zugegeben, solche Aussagen steigern die Beliebtheit des Datenschutzes nicht gerade, aber ganz so schlimm ist es nicht. Zunächst einmal ist es sinnvoll, den Datenschutz frühzeitig, das heißt in der Entwicklungsphase, in die Gestaltung der Website, die Entwicklung einer App oder eines neuen Programms einzubeziehen. Außerdem bedarf es nicht immer einer Einwilligung. Die DSGVO kennt neben der Einwilligung vielmehr noch weitere Rechtsgrundlagen, wie den Vertrag oder das berechtigte Interesse. Auch Social-Media-Buttons können datenschutzkonform verwendet werden, nur eben als Links und nicht als Plug-ins.

Bei der Einbettung von YouTube-Videos oder Anfahrtsbeschreibungen mittels Google Maps empfiehlt sich die sogenannte Shariff- oder auch 2-Klick-Lösung, die ohne großen Aufwand umsetzbar ist. Außerdem können auch Analyse-Dienste von amerikanischen Anbietern genutzt werden. Es bedarf in diesem Fall allerdings eines sauber gestalteten Cookie-Consent-Banners, wofür es jedoch gute Dienstleister gibt. Zuletzt empfiehlt es sich noch, die Datenschutzerklärung für die Website von einem Experten oder einer Expertin erstellen oder zumindest prüfen zu lassen.

Die Aussage, der Datenschutz behindere jegliche Kreativität bei der Gestaltung von Websites oder Apps, ist daher nicht korrekt. Wie soeben dargestellt, gibt es diverse Möglichkeiten, datenschutzrechtlich kritische Gestaltungen ohne allzu großen Aufwand datenschutzkonform zu implementieren.

Einsatz von „Microsoft 365“

Das Thema „MS 365“ ist ein datenschutzrechtlicher „Dauerbrenner“. Die Entscheidung des EuGH (Schrems-II), hat der Diskussion über den datenschutzkonformen Einsatz von „MS 365“ weiteren Zündstoff geliefert. Kurz zusammengefasst geht es in der Diskussion um Folgendes: Die Nutzungsbedingungen von Microsoft (Online Service Terms) beziehungsweise die Datenschutzbestimmungen (Data Processing Agreement) entsprechen nicht den datenschutzrechtlichen Anforderungen der DSGVO an die Transparenz, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten. Insbesondere ist problematisch, dass Diagnose-, Telemetrie- und dienstgenerierte Daten auf Servern in den USA gespeichert werden.

Wie einleitend bereits erwähnt, muss das hohe Schutzniveau der DSGVO auch bei einer Datenübermittlung in ein Drittland im Wesentlichen gewährleistet bleiben. Dies kann mittels eines Angemessenheitsbeschlusses, geeigneter Garantien oder mittels einer Ausnahme nach Art. 49 DSGVO erfolgen. Aufgrund des Urteils des EuGH, das den Angemessenheitsbeschluss zwischen der EU und den USA (Privacy Shield) für ungültig erklärt hat, und der hohen Anforderungen an die Ausnahmetatbestände des Art. 49 DSGVO, verbleibt in den meisten Fällen nur die Möglichkeit, geeignete Garantien abzuschließen.

Dies sind Standardvertragsklauseln oder Binding Corporate Rules sowie, unter anderem im Falle der USA, zusätzliche Maßnahmen. Es ist umstritten, was genau „zusätzliche Maßnahmen“ sein können. Häufig genannt wird die Verschlüsselung nach dem Bring-Your-Own-Key-Verfahren. Wie dies jedoch gegenüber Microsoft durchsetzbar sein soll, ist fraglich. Es bleibt daher nur die Möglichkeit, alle relevanten Verträge zu schließen und die Einstellungen in „MS 365“ so datenschutzkonform wie möglich vorzunehmen, wobei weiterhin ein Restrisiko besteht.

Abschließend ist festzuhalten, dass das Thema „Datenschutz“ zwar komplex ist, jedoch nicht pauschal als „Show Stopper“ bezeichnet werden kann. Um böse Überraschungen kurz vor dem Launch zu vermeiden, ist es jedoch empfehlenswert, den Datenschutz so früh wie möglich einzubeziehen. Denn eines hat sich in den vergangenen Jahren gezeigt: Die Einhaltung der DSGVO wird von Kooperationspartnern, Geschäftspartnern und sonstigen Kunden mittlerweile standardmäßig erwartet.