Die EU-Datenschutzgrundverordnung: Was muss getan werden?

Der Artikel stellt die wesentlichen Neuerungen im Datenschutz durch die EU-Datenschutzgrundverordnung (EU-DSGVO), die ab Mai 2018 Wirkungen entfaltet, aus der Perspektive mittelständischer Unternehmenspraxis dar. Gleichzeitig enthält der Artikel einige Grundüberlegungen zum Datenschutzrecht und zu Problemen der Anwendung des Datenschutzrechts in der modernen Unternehmenspraxis.

Woher kommt der Datenschutz?

Als das erste Datenschutzgesetz 1970 aus der Taufe gehoben wurde, war es zunächst ein Instrument zur Vermeidung eines Überwachungsstaates, der exzessiv Daten über seine Bürger sammelt und zusammenführt. Noch heute machen Datenverarbeitungsvorgänge bei Behörden die Mehrzahl der Gerichtsentscheidungen im Bereich Datenschutz aus. Als später offensichtlich wurde, dass auch Unternehmen der Privatwirtschaft zunehmend Daten erheben, sammeln, verwerten und weiter übermitteln, wurde der Schutz der Betroffenen im ersten Bundesdatenschutzgesetz 1977 entsprechend auf die Privatwirtschaft ausgedehnt.

Ab den 1980er-Jahren wurden die Datenschutzgesetze mit dem neu entwickelten Grundgedanken der informationellen Selbstbestimmung unterlegt. Daher rührt der – sich bis in die EU-DSGVO fortsetzende – Grundgedanke des „Verbots mit Erlaubnisvorbehalt“, d. h. grundsätzlich ist es jedem (außer dem Betroffenen selbst) verboten, mit personenbezogenen Daten umzugehen, soweit nicht das Gesetz eine ausdrückliche Befreiung von diesem Verbot enthält. Ein wesentliches Element datenschutzrechtlicher Beratung ist daher die „Suche nach der Erlaubnis“, also welche Vorschrift die Verarbeitung im konkreten Fall abdeckt.

Was sind personenbezogene Daten?

Unabhängig davon ist jedoch die Grundvoraussetzung für die Anwendbarkeit des Datenschutzrechts, und damit auch der EU-DSGVO, dass die Daten personenbezogen sind. Denn nicht personenbezogene Daten können (aus der Perspektive des Datenschutzrechts) beliebig verarbeitet werden. Um personenbezogen zu sein, müssen sich die Informationen bzw. Daten auf natürliche Personen „beziehen“. Allerdings sieht man (digitalen) Daten ihren Personenbezug teils schlecht an.

Beispielhaft wird der Wert einer Immobilie von Datenschützern als personenbezogenes Datum angesehen, da er z. B. für die Bemessung der vom Eigentümer zu zahlenden Grundsteuer relevant ist. Automatisch erhobene und an Server übertragene Sensordaten („machine-to-machine“-Kommunikation) werden in vielen Fällen ebenfalls personenbezogen sein, nämlich wenn der Sensor letztlich (auch) menschliche Aktivität – z. B. eines Produktbenutzers oder Arbeiters – misst. Auch Mustererkennung auf Basis anonymer Rohdaten (insbes. Big Data-Architekturen) kann einen Personenbezug herstellen; denn zur Individualisierung reichen schon wenige Orts-, Bewegungs- oder andere Daten aus.

Wann ist eine betroffene Person identifizierbar?

Weiter kommt hinzu, dass die natürliche Person, auf die sich die Information bezieht, „identifiziert oder identifizierbar“ sein muss. Diese Frage kann am besten anhand von Kennungen illustriert werden: Wenn der Name einer Person nicht bekannt ist, aber eine Kennung (etwa eine dynamisch vergebene IP-Adresse des Computers, an dem die Person arbeitet), ist diese Person dann „identifizierbar“? Für die Lösung dieser Frage sieht die EU-DSGVO – ebenso wie für die Lösung vieler anderer Fragen – eine Vielzahl unbestimmter Rechtsbegriffe vor, sprich: Man kann es so oder so sehen, bis eine letztinstanzliche Gerichtsentscheidung Klarheit bringt.

Für die insoweit sehr ähnlich formulierte bisherige EU-Datenschutzrichtlinie wurde etwa kürzlich entschieden, dass ein Webseitenbetreiber, der die IPs der „Besucher“ speichert, diese Besucher identifizieren könnte, wenn er bei einer erfolgten oder bevorstehenden Schädigung (Strafverfolgungs- oder Gefahrenabwehr-) Behörden einschaltet. Diese Behörden könnten dann bei Vorliegen weiterer Voraussetzungen von Internetzugangsanbietern (Providern) die Zuordnung zwischen dynamischer IP und „Anschlussinhaber“ feststellen. Diese Information wiederum könnte sich der Webseitenbetreiber über eine Akteneinsicht (als Geschädigter) beschaffen. Da der Webseitenbetreiber über diese – in der Praxis eher seltene und für eine „Massenanwendung“ ungeeignete – Möglichkeit an die Identität des Besuchers gelangen könnte, stellt die dynamische IP das Datum einer identifizierbaren Person dar.

Dasselbe könnte auch bei bestimmten anderen Formen elektronischer Identifikationen gelten, seien es MAC-Adressen, „Device IDs“, „Blockchain-IDs“ oder sonstige einem Benutzer, einem Account oder einem Gerät / Fahrzeug zugewiesene Identifikations- oder Kennzeichen, um ein Objekt fortlaufend als „Dasselbe“ bzw. dessen Anwender immer als „Denselben“ identifizieren zu können. Pseudonyme und verschlüsselte Daten zählen ohnehin zu den personenbezogenen Daten, da die Zuordnungsinformation (Pseudonym zu Person) bzw. der Schlüssel ja beim datenverarbeitenden Unternehmen (Verantwortlichen) vorhanden ist.

Für neue, bislang nicht erforschte Anwendungsfälle ist dabei eine Menge „datenschutzrechtlicher Phantasie“ notwendig, um das Vorliegen personenbezogener Daten überhaupt (und kaum mit abschließender Sicherheit) beurteilen zu können. Immerhin: Wenn ein Manager sämtliche verfügbaren Erkenntnismittel ausgeschöpft hat und die Rechtslage weiterhin unklar bleibt, führt die Entscheidung, die für das Unternehmen „freundlichere“ Variante zu wählen, grundsätzlich nicht zu einer Organhaftung der Geschäftsführung.

Wer ist alles Betroffener?

In der Praxis wird daneben häufig übersehen, dass die identifizierte oder identifizierbare Person (datenschutzrechtlich der „Betroffene“ genannt) auch eine Person sein kann, die gar nicht im Fokus datenschutzrechtlicher Überlegungen steht. Es wirft beispielsweise rechtlich schwierige Fragen auf, wenn eine Einwilligungserklärung zur Verarbeitung personenbezogener Daten mit dem Halter oder Fahrer eines Kfz vereinbart wurde, aber der Beifahrer eines Fahrzeugs sein Smartphone am WLAN-Hotspot des Kfz anmeldet und nun dessen Daten entsprechend der Einwilligungserklärung gespeichert werden. Und selbst wenn ein Mitarbeiter eines Unternehmens einer Archivierung „seiner“ auch privaten E-Mails durch das Unternehmen zugestimmt hätte, fehlt doch die Einwilligung seines Konversationspartners des privaten E-Mail-Austauschs oder auch die Einwilligung dessen, über den dort gesprochen wird. Der E-Mail-Text „Du, ich habe Deinen Sohn gestern Nacht besoffen auf der Straße gesehen.“ wird damit zu einer ernsten datenschutzrechtlichen Problematik.

Wann dürfen die Daten der Betroffenen verarbeitet werden?

Das Datenschutzrecht kennt seit jeher im Grundsatz drei (praxisrelevante) Arten von Berechtigungen, die Daten von Betroffenen zu verarbeiten: Die Einwilligung, den Vertragszweck und die Interessenabwägung. Letztere ist auch in der EU-DSGVO so „schwammig“ formuliert, dass man sich schlecht auf diese Berechtigung verlassen kann. Dies umso mehr, als das Risiko für eine Fehleinschätzung das Unternehmen trägt.

Was die Einwilligung anbelangt, können deutlich aufgeklärte Betroffene praktisch in jede Verarbeitung und auch Speicherdauer einwilligen, wenn das freiwillig geschieht. Eine Einwilligung kann jedoch jederzeit vom Betroffenen widerrufen werden. Darüber hinaus enthält die EU-DSGVO ein „Koppelungsverbot“: Die Erfüllung eines Vertrages darf nicht von der Einwilligung in die Verarbeitung solcher Daten abhängig gemacht werden, die für die Erfüllung des Vertrages nicht erforderlich sind. Wenn also der Verkauf eines Kfz von der Einwilligung in die Verarbeitung sämtlicher Sensordaten, die das Kfz produzieren wird, abhängig gemacht wird, liegt keine wirksame Einwilligung vor.

In der Praxis ergibt sich die Berechtigung zur Verarbeitung personenbezogener Daten wohl häufiger (nur) aus dem Zweck eines abgeschlossenen Vertrages. Wer etwa bei einem Online-Versandhaus bestellt, muss Name und Adresse angeben, sonst kann die Ware nicht geliefert werden. Eine (separate) Einwilligung ist dann nicht notwendig. Eine problematische Entwicklung besteht hier jedoch darin, dass zunehmend beliebige datenbezogene Leistungen erfunden werden. Der Abschluss vermeintlich „kostenloser“ Verträge – denn „bezahlt“ wird (nur) mit der Preisgabe der personenbezogenen Daten – über digitale (Zusatz-) Leistungen droht so die eigentlich notwendige Einwilligung zu unterlaufen. Wenn etwa eine App das Angebot enthält, die Messdaten eines Pulsmessgerätes (kostenlos) dauerhaft auf den Servern des App-Anbieters zu speichern, damit „das Fitness-Level auf allen Endgeräten gesehen werden kann“, ist die Verarbeitung dieser Daten auch der Zweck des Vertrages selbst. Eine (separate) Einwilligung und die damit verbundenen Schutzmechanismen (etwa Aufklärungspflichten) kommen dann eigentlich nicht mehr zur Anwendung. Hier sind die Grenzen, ab denen solche Konstruktionen unter der EU-DSGVO dennoch als missbräuchlich anzusehen sind, noch undefiniert.

Welche Bedeutung hat das Datenschutzrecht für mittelständische Unternehmen?

Die Bedeutung des Datenschutzrechts für mittelständische Unternehmen ergibt sich insbesondere aus zwei wichtigen Perspektiven: Einerseits muss Datenschutzrecht beachtet werden, sonst drohen nicht nur Strafen, Bußgelder und Schadensersatz, sondern auch kostenintensive und bisweilen peinliche Auseinandersetzungen mit Behörden und Betroffenen sowie vor Gerichten. Dieser „Compliance-Druck“ wird noch weiter unten näher beschrieben. Andererseits haben Daten heutzutage, als „Öl des 21. Jahrhunderts“, einen hohen wirtschaftlichen Wert, weshalb es auch ein hohes Interesse gibt, sämtliche Daten, derer man habhaft werden kann, gleich ob personenbezogen oder nicht, zu sammeln und zu speichern. Man könnte sie ja irgendwann mal brauchen, etwa, um daraus Erkenntnisse zu ziehen – Stichwort „big data“.

Insofern geht es nicht nur darum, die Schranken des geltenden Rechts nicht zu verletzen, sondern auch darum, die Möglichkeiten des geltenden Rechts so weit wie möglich auszunutzen, um Daten und damit Werte (des Unternehmens) zu sichern und gewinnbringend einzusetzen. So plant ein Hersteller von Staubsauger-Robotern, die von diesen gesammelten Daten über die Wohnungen, in denen diese eingesetzt werden (Grundrisse, Möbelstellungen etc.) und die an den Hersteller übertragen wurden, entgeltlich an andere Anbieter von Smart-Home-Geräten zu veräußern, um Kontextinformationen für weitere Geräte anbieten zu können.

Datenschutz erfordert somit eine grundlegende Sensibilität im Unternehmen für das Vorliegen personenbezogener Daten überhaupt, für die entsprechenden Prozesse des Unternehmens und damit für die Schnittstelle zwischen IT-Abläufen und rechtlichen Belangen. Das Datenschutzrecht schreibt daher auch in Zukunft einen betrieblichen Datenschutzbeauftragten (außerhalb der Geschäftsführung) vor, der diese Komplexität versteht und notwendige risikominimierende Maßnahmen, insbesondere im Bereich der Unternehmensprozesse, aufzeigt, während die Letztentscheidung (und -verantwortung) bei der Geschäftsleitung bleibt. Unter der EU-DSGVO kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen.

Nach unserer Erfahrung gibt es gleichwohl in vielen Unternehmen (IT-) Datenverarbeitungsprozesse, in deren Rahmen Datenschutzverstöße stattfinden. Meist ist dies dem Unternehmen selbst (inkl. seinem Datenschutzbeauftragten) gar nicht bewusst, denn wie schon gesagt sind die entsprechenden Rechtsnormen sehr abstrakt und ihre Anwendbarkeit auf konkrete Fallgestaltungen oft nicht eindeutig. Viele Unternehmen haben bislang gar nicht untersucht oder untersuchen lassen, in welchem Umfang sie – neben den Daten ihrer eigenen Mitarbeiter (der Arbeitnehmerdatenschutz soll hier aber ausgeklammert werden) – personenbezogene Daten erheben, speichern, verarbeiten und übermitteln. Oft wird beispielsweise auch vergessen, dass die Übermittlung von personenbezogenen Daten an andere Unternehmen derselben Unternehmensgruppe (bzw. die gemeinsame Nutzung) datenschutzrechtlich – auch unter der EU-DSGVO – eine Übermittlung an einen Dritten darstellt, die datenschutzrechtlich gerechtfertigt sein muss. Werden etwa verschiedene Standorte eines Unternehmens rechtlich durch verschiedene Gesellschaften betrieben, bedürfen standortübergreifende IT-Systeme und Datenbestände häufig besonderer datenschutzrechtlicher Rechtfertigung.

Ab wann gilt das neue Datenschutzrecht?

Die EU-DSGVO ist unmittelbar geltendes EU-Recht und entfaltet seit Ende Mai 2018 direkte Wirkung in allen EU-Mitgliedstaaten. Sie ersetzt in vielen relevanten Bereichen das deutsche Bundesdatenschutzgesetz, das seinerseits ein Hybrid aus deutscher Gesetzgebung und einer Umsetzung von (nicht unmittelbar geltenden) EU-Richtlinien darstellte. Damit gilt nun EU-weit ein im Grundsatz einheitliches Datenschutzrecht, das aber dem nationalen Gesetzgeber verhältnismäßig viel Spielraum einräumt. Durch ein „Datenschutzanpassungsgesetz“ wurden daher die notwendigen deutschen flankierenden und ergänzenden Regelungen zur EU-DSGVO getroffen, die zeitgleich im Mai 2018 (als Neufassung des Bundesdatenschutzgesetzes) in Kraft getreten sind.

Wichtige Rechtsquellen neben der EU-DSGVO könnten in Zukunft auch die sog. „Verhaltensregeln“ darstellen. Diese werden von Verbänden und Vereinigungen entworfen und von Datenschutzbehörden freigegeben. Verpflichtet sich ein Unternehmen, bestimmte Verhaltensregeln einzuhalten (Selbstbindung), muss der Verband oder die Vereinigung diese Einhaltung überwachen. Der Druck, sich zur Einhaltung solcher veröffentlichter Verhaltensregelungen zu beteiligten, kann immens werden.

Wie hoch ist der Compliance-Druck?

Fälle, in denen ein erfolgreiches Vorgehen der Datenschutzbehörden gegen mittelständische Unternehmen (oder gar eine gerichtliche Entscheidung) publik geworden wäre, sind bislang eher selten. Die Kontrolldichte ist, trotz mäßig erhöhter Sensibilität in den letzten Jahren, immer noch niedrig. Deshalb dürften in der Vergangenheit viele Datenschutzverstöße unbeachtet und ungeahndet geblieben sein.

Compliance-Druck wird herkömmlich auf Unternehmen mit der Androhung von persönlicher Schadensersatzhaftung (etwa der Geschäftsführung) gegenüber dem Unternehmen selbst, von Bußgeldern und Strafen sowie mit Ansprüchen Dritter (insbesondere der Geschädigten) ausgeübt:

  • Die persönliche Schadensersatzhaftung gegenüber dem Unternehmen selbst wird von mittelständischen Unternehmern häufig mit dem Argument vom Tisch gewischt, man werde sich als Gesellschafter/Geschäftsführer nicht selbst in die Haftung nehmen (und auch der „familienbesetzte“ Aufsichtsrat werde das nicht tun). Das gilt jedoch nur so lange, als kein externer Investor das Unternehmen oder Anteile daran erworben hat und das Unternehmen nicht in Insolvenz fällt – der Insolvenzverwalter kann solche Ansprüche, wenn er sie für erfolgversprechend hält, ohne Weiteres geltend machen.
  • Der Rahmen für Bußgelder bei Datenschutzverstößen, die auch das Bundesdatenschutzgesetz schon seit langem vorsah, wird von der EU-DSGVO drastisch erhöht, von vormals TEUR 300 auf EUR 20 Mio. oder, wenn dies höher sein sollte, 4 % des weltweiten Jahresumsatzes (wohl der gesamten Unternehmensgruppe). Auch in Zukunft gilt dabei „Unwissenheit schützt vor Strafe nicht“, d. h. nur der Glaube daran, datenschutzrechtskonform zu handeln, ist rechtlich meist irrelevant. Für die Bemessung von Bußgeldern und Strafen sind nach der EU-DSGVO die vorbeugenden Compliance-Anstrengungen der Unternehmen zu berücksichtigen, sodass die Implementierung eines förmlichen (vorbeugenden) Datenschutzmanagement-Systems lohnt.
  • Auch Schadensersatzansprüche von Geschädigten wegen materieller Schäden sah das deutsche Recht bereits vor der EU-DSGVO vor; ob dies auch für immaterielle Schäden („Schmerzensgeld“) galt, war unklar. Die praktische Relevanz derartiger Ansprüche war bislang jedenfalls gering und dies wird wohl auch zunächst so bleiben, da materielle Schäden kaum bezifferbar sind und sich – im Gegensatz zu Körper- und Gesundheitsverletzungen – bislang keine Rechtsprechung zur Bemessung immaterieller Schäden herausgebildet hat. Wichtiger dürften in Zukunft eher Ansprüche gegen Unternehmen werden, bestimmte Vorgehensweisen wegen Datenschutzwidrigkeit zu unterlassen, da solche Ansprüche in gewissem Rahmen zukünftig auch durch Verbraucherschutzverbände geltend gemacht werden können.

Wie immer können Schäden nicht nur daraus resultieren, dass am Ende eines langwierigen Rechtsstreits eine Haftung, Bußgelder oder Strafen festgestellt werden. Vielmehr kann schon die Inanspruchnahme selbst und deren Publikation gegenüber der Öffentlichkeit einen veritablen Reputationsschaden darstellen. Dessen sind sich Anspruchssteller (wie öffentlich bestellte Datenschutzbeauftragte, Verbände, ehemalige Arbeitnehmer oder sonstige potenziell Geschädigte) häufig bewusst. Das Risiko, mit überzogenen oder absurden Vorwürfen konfrontiert zu werden in der Hoffnung, einen Teil davon in Geld umsetzen zu können, dürfte aufgrund des gestiegenen Compliance-Drucks ebenfalls zunehmen.

Genügt es, zielgerichtet die Änderungen zu beachten?

Auch wenn die Einführung der EU-DSGVO natürlich zum Anlass genommen werden sollte, die Einhaltung der spezifischen neuen Pflichten und Vorgaben künftig sicherzustellen, sollte dies ebenso als Anlass dienen, generell die Datenschutzkonformität (erneut) zu überprüfen. Denn die grundlegenden Strukturen des Datenschutzrechts bleiben unverändert und der erhöhte Compliance-Druck sollte Anlass genug sein, noch einmal – oder erstmals? – der Frage systematisch nachzugehen, ob sichergestellt ist, dass sämtliche personenbezogenen Daten, mit denen das Unternehmen umgeht, datenschutzkonform behandelt werden. Insgesamt gilt, dass die Geschäftsleitung verpflichtet ist, eine (auch) konkret auf die Schadensprävention und Risikokontrolle in Bezug auf Datenschutzrechtsverstöße ausgerichtete Compliance-Organisation einzurichten. Und dies betrifft auch die Bereiche des Datenschutzrechts, die sich durch die EU-DSGVO nicht oder kaum geändert haben und „nur“ mit höherem Compliance-Druck versehen wurden.

Welche Neuerungen gibt es im Bereich Dokumentations- und Nachweispflichten?

Die praxisrelevanten Neuigkeiten der EU-DSGVO betreffen zunächst Dokumentations- und Nachweispflichten. Die Erweiterungen werden dazu führen, dass der Compliance-Aufwand und die Compliance-Kosten im Bereich des Datenschutzes steigen:

  • Die gegenüber dem Betroffenen und gegenüber Behörden bestehenden Informations- und Auskunftspflichten wurden verschärft, d. h. mehr Informationen müssen mitgeteilt, für Anfragen bereitgehalten, ihre Mitteilung dokumentiert und die Dokumentation reproduzierbar sein. Dies betrifft nicht nur Datenschutzerklärungen und Einwilligungserklärungen, sondern auch Betriebsvereinbarungen, Vereinbarungen zur Auftragsdatenverarbeitung, Prozessdokumentationen und dergleichen mehr. Es ist davon auszugehen, dass, um die notwendigen Informationen zu generieren, zu verknüpfen und zu speichern, wesentliche Änderungen an bestehender Software und bestehenden Unternehmensprozessen zu veranlassen sind.
  • Die Absicht, Daten in ein Nicht-EU-Land zu übermitteln, ist dem Betroffenen vorab unter Mitteilung weiterer Informationen dazu anzuzeigen. Dies kann beim Einsatz internationaler Cloud-Anbieter schwierig in der praktischen Umsetzung sein, da dem Auftraggeber oftmals unbekannt ist, in welchem Rechenzentrum bzw. Land sich bestimmte Daten gerade befinden.
  • Wurden personenbezogene Daten an Dritte übermittelt, so muss diesen eine spätere Berichtigung, Löschung oder Sperrung der Daten mitgeteilt werden. Wurden darüber hinaus personenbezogene Daten öffentlich gemacht, z. B. Namen von Ansprechpartnern auf Internetseiten des Unternehmens genannt, so müssen nach einer Löschung alle zumutbaren Maßnahmen ergriffen werden, um Links darauf sowie Kopien bei entsprechenden Dritten (wie Suchmaschinenbetreibern) ebenfalls zu löschen. Sprich: Das Unternehmen muss sich darum bemühen, den Link auf die (ehemalige) Unterseite mit der Nennung des Namens des Mitarbeiters z. B. in Google löschen zu lassen.
  • Das Verzeichnis sämtlicher datenschutzrechtlich relevanter „Verarbeitungstätigkeiten“, bisher schon für den Datenverantwortlichen vorgeschrieben, aber in der Praxis häufig unbekannt, wird auf Auftragsdatenverarbeiter (z. B. Cloud-Anbieter) ausgeweitet. Auf Verlangen muss dieses Verfahrensverzeichnis, das besser nicht vom Datenschutzbeauftragten angefertigt werden sollte (weil er nachher die Vollständigkeit zu prüfen hat), der Aufsichtsbehörde ausgehändigt werden.
  • Werden Datenschutzverstöße identifiziert, so müssen diese binnen 72 Stunden der zuständigen Datenschutzbehörde angemeldet und im Regelfall auch dem bzw. den Betroffenen mitgeteilt werden. Spätere Meldungen bei der Behörde führen zu einem Bußgeldrisiko von immerhin EUR 10 Mio. oder, wenn höher, 2 % des weltweiten Jahresumsatzes. Diese Verpflichtung betrifft insbesondere den sognannten Datenverlust, also beispielsweise das (massenhafte) „Hacken“ von Kontozugangsdaten, für das es mittlerweile einige spektakuläre Beispiele gibt. Der Behörde müssen dann im Regelfall auch Angaben über die Zahl der Betroffenen bzw. der Datensätze gemacht werden.
  • Hat der Betroffene dem Unternehmen personenbezogene Daten selbst zur Verfügung gestellt, insbesondere in Systeme des Unternehmens „eingegeben“ oder an diese übermittelt, so müssen ihm auf Anforderung diese Daten in einem gängigen Format wieder zur Verfügung gestellt oder sogar an Dritte übermittelt werden. Diese Regelung wurde mit Blick auf Social-Media-Plattformen geschaffen, ist aber wesentlich breiter formuliert, d. h. sie könnte auch außerhalb dieses Bereichs ungeahnte Wirkungen entfalten. Ein Beispiel sind elektronische Urlaubs- und Zeiterfassungssysteme.

Wie muss das Datenschutz-Compliance-Management-System aussehen?

Kern der EU-DSGVO ist jedoch eine umfassende Compliance-Verpflichtung des Verantwortlichen. Technische und organisatorische Maßnahmen sind umzusetzen, um sicherstellen und (in dokumentierter Form) nachweisen zu können, dass bei der Verarbeitung personenbezogener Daten die EU-DSGVO eingehalten wird. Die Verantwortung, dass dies „richtig“ geschieht, trifft das Unternehmen selbst – mit dem Risiko entsprechender behördlicher Maßnahmen und Bußgelder, wenn sich Maßnahmen als nicht ausreichend herausstellen sollten.

Während die technischen Maßnahmen die Konzeptionierung, Sicherheit und Verwendung von IT-Systemen betreffen, geht es bei organisatorischen Maßnahmen im Wesentlichen um entsprechend strukturierte, in Form von Arbeitsanweisungen dokumentierte und in ihrer Einhaltung kontrollierte unternehmensinterne Prozesse. Der Umfang dieser Maßnahmen bestimmt sich nach dem Grad des Risikos für die Rechte und Freiheiten der Betroffenen, sprich der natürlichen Personen, deren Daten verarbeitet werden sollen. Wie im Bereich herkömmlicher Compliance-Management-Systeme müssen die Risiken frühzeitig identifiziert und bewertet werden und die Risikosteuerung in Form der geeigneten technischen und organisatorischen Maßnahmen der Risikointensität entsprechen. Es empfiehlt sich, eine entsprechende Dokumentation über den konkret durchgeführten Risikomanagement-Prozess und die fortlaufende Überwachung und Weiterentwicklung anzufertigen, um der zuständigen Datenschutzbehörde gegenüber die Einhaltung der EU-DSGVO nachweisen zu können (was die EU-DSGVO als „Rechenschaftspflicht“ bezeichnet).

Besondere Wichtigkeit kommt dabei auch dem – bereits unter Geltung des Bundesdatenschutzgesetzes anwendbaren – Grundsatz zu, dass jegliche erhobenen bzw. gespeicherten personenbezogenen Daten so früh wie möglich wieder gelöscht werden müssen. Es müssen daher Fristen für eine Löschung, zumindest aber für eine regelmäßige Überprüfung vorgesehen werden, ob das Speicherinteresse entfallen ist. Dies geschieht am besten im Rahmen eines übergreifenden Löschkonzeptes, um auf Basis bestimmter Datenarten, der Zweckbindung, möglicher Aufbewahrungspflichten etc. Löschregeln zu definieren und nicht für jedes Datum eine Einzelfallprüfung durchführen zu müssen. Bestehen gesetzliche Aufbewahrungspflichten, z. B. für steuerrelevante Daten, so müssen die Daten während der noch laufenden Aufbewahrungsfrist für andere Zwecke (als z. B. der Einsichtnahme im Rahmen einer Betriebsprüfung) gesperrt werden.

Neben der Pflicht, sich datenschutzrechtskonform zu organisieren, also entsprechende Systeme und Prozesse zu strukturieren, bereitzuhalten und zu dokumentieren, besteht im Übrigen auch die (laufende) Verpflichtung, die tatsächliche Einhaltung des Datenschutzrechts zu prüfen (Datenschutz-Audit). Hierbei muss nicht unbedingt auf einen Dritten zurückgegriffen werden. Es gibt nach der EU-DSGVO jedoch die Möglichkeit, sich von einem Zertifizierungsunternehmen (freiwillig) datenschutzrechtlich zertifizieren zu lassen. Ein Entlastungsbeweis lässt sich dadurch aber nicht führen: Das verantwortliche Unternehmen bleibt weiterhin – neben der Verantwortlichkeit des Zertifizierungsunternehmens für eine angemessene Bewertung im Rahmen der Zertifizierung – voll verantwortlich. Gleichwohl kann ein Zertifikat ein Indiz dafür sein, dass die Verarbeitung personenbezogener Daten durch ein Unternehmen dem Datenschutzrecht entspricht.

Welche Anforderungen stellt das Datenschutzrecht an die IT-Sicherheit?

Auch was die Sicherheit der Verarbeitungsprozesse betrifft, insbesondere also das Schutzniveau im Rahmen der IT-Sicherheit, setzt die EU-DSGVO auf einen risikoorientierten Ansatz. Bei einem besonders hohen Risiko „für die Rechte und Freiheiten natürlicher Personen“ (Betroffenen) muss vorab eine besondere Datenschutz-Folgenabschätzung stattfinden, die entsprechend zu dokumentieren ist. Welche Fälle dies alles (mit Ausnahme des in der Verordnung genannten „Profilings“ natürlicher Personen) genau umfasst, ist noch unklar.

Im Übrigen muss, wie bisher auch schon, was aber wenig Beachtung in der Praxis gefunden hat, bei jeder Verarbeitung personenbezogener Daten über eine Pseudonymisierung und Verschlüsselung nachgedacht werden, wenn diese notwendig ist, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Weitere Voraussetzungen für die Sicherheitsinfrastruktur dürften sich ohnehin mit dem Eigeninteresse des Unternehmens an der Sicherheit jeglicher Datenverarbeitung decken. Hier werden sich die Anforderungen ständig erhöhen. So kann sich etwa die heute gängige Identifizierungsmethode im Internet mittels Benutzername und Passwort über eine sichere Verbindung bald schon als nicht mehr datenschutzkonform erweisen, weil sie zu anfällig gegen Phishing-Attacken ist und potente, datenschutzfreundliche Alternativen (wie etwa „Just Fast Keying“) bereitstehen.

Welche Anforderungen stellt das Datenschutzrecht an die IT-Systeme selbst?

Die eben genannten Verpflichtungen betreffen die IT-Sicherheit der für die Verarbeitung von personenbezogenen Daten eingesetzten IT-Systeme. Sie werden wesentlich zeitlich nach vorne erweitert durch die Verpflichtung, vom Unternehmen eingesetzte (IT-) Systeme und Prozesse schon in den Phasen des Designs und der Implementierung so zu konzipieren, zu programmieren und zu konfigurieren, dass möglichst wenig personenbezogene Daten erhoben bzw. benötigt werden. Diese Vorstellung eines „eingebauten Datenschutzes“ auf Basis des jeweils aktuellen Standes der Technik betrifft insbesondere Themen wie Datenminimierung, Speicherzeitbegrenzung, Zweckbindung, Zugangsbeschränkungen und Pseudonymisierung. Wer diese Erweiterung des risikoorientierten Ansatzes überzogen findet, mag sich vor Augen halten, dass derartige Pflichten im Ansatz auch schon unter dem Bundesdatenschutzgesetz bestanden, aber in der Praxis kaum Beachtung gefunden haben. Für Systeme, die sowohl personenbezogene als auch nicht personenbezogene Daten gleichermaßen erfassen, verarbeiten und speichern, können diese Vorgaben getrennte Prozesse innerhalb desselben Systems erfordern.

Da das datenschutzverantwortliche Unternehmen nur diejenige Datenschutztechnik einsetzen kann, die ihr von Herstellern auch angeboten wird, dürfte in Zukunft insbesondere Software, die den Design-Grundsätzen der EU-DSGVO nicht genügt, mangelhaft sein, wenn darüber nicht vor der Anschaffung aufgeklärt wurde. Beispiele hier sind Apps, deren Anbieter künftig darauf achten werden müssen, dass die App nur die für ihre Funktion wirklich erforderlichen Daten erhebt und die Verarbeitung der personenbezogenen Daten für den Nutzer jederzeit transparent und steuerbar geschieht. Auch Anbieter komplexer IT-Software könnten gezwungen sein, die Vorgaben der EU-DSGVO in ihre Entwicklung einfließen zu lassen und die bereits installierten Systeme entsprechend zu verändern, da deren Verwendung sonst für deren Kunden ein erhebliches datenschutzrechtliches Risiko darstellen kann.

Gibt es Änderungen im Bereich der Auftragsdatenverarbeitung?

Nichts Grundlegendes ändert sich dabei im Bereich der Auftragsdatenverarbeitung. Zu derartigen Dienstleistern gehören neben ausgelagerten (Cloud-) Rechenzentren z. B. auch Cloud-Speicher-Anbieter (wie Dropbox). Werden personenbezogene Daten ausgelagert verarbeitet oder gespeichert, muss sich das auslagernde Unternehmen davon überzeugen, dass dort den datenschutzrechtlichen Anforderungen Genüge getan wird; dies muss aber nicht zwangsläufig eine Prüfung des Auftragsdatenverarbeiters durch das auslagernde Unternehmen bedeuten. Sowohl Audits in Bezug auf das Unternehmen selbst als auch in Bezug auf Auftragsdatenverarbeiter sind zu dokumentieren. In der Praxis wird vermutlich die Möglichkeit der (freiwilligen) Zertifizierung als Mittel zum Nachweis, dass die EU-DSGVO eingehalten wird, eine wichtige Rolle spielen.

Gibt es noch weitere Überraschungen?

Wie immer bei neuen Gesetzen bricht eine Flut von Fachveröffentlichungen über die Juristen herein; erste Gerichtsentscheidungen sind ohnehin erst frühestens 2019 zu erwarten. In diesen Veröffentlichungen werden auch immer wieder Absurditäten des Zusammenspiels von Regelungen aufgezeigt, bei denen völlig unklar ist, wie die Gerichte damit umgehen werden. Deshalb wird es im Zusammenhang mit der EU-DSGVO noch längere Zeit eine nicht unerhebliche Rechtsunsicherheit über die genaue Anwendung des Verordnungstextes geben. Als Beispiel: Die Verarbeitung besonders „sensibler“ Daten – wie Daten über Gesundheit, Herkunft, Ansichten etc. – wird in der EU-DSGVO schärfer reguliert als die Verarbeitung nicht sensibler personenbezogener Daten. So lässt sich die Erhebung und Verarbeitung besonders sensibler Daten z. B. nicht mit der Durchführung von Verträgen, die mit dem Betroffenen bestehen, rechtfertigen.

Nach der EU-DSGVO betrifft dies teils aber nicht nur die besonders sensiblen Daten selbst, sondern bereits diejenigen Daten (gleich welcher Art), aus denen diese sensiblen Daten „hervorgehen“. Man könnte diese als Roh- oder Quelldaten bezeichnen, aus denen dann statistische Aussagen über „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit“ ableitbar sind. Ob diese tatsächlich abgeleitet werden, dürfte keine Rolle spielen, entscheidend ist, dass die Möglichkeit dazu besteht. Es liegt auf der Hand, dass bereits der Nachname einer Person (Wahrscheinlichkeits-) Schlüsse auf ihre ethnische Herkunft erlaubt. Ebenso können aus Bewegungs- und Bestelldaten Rückschlüsse auf entsprechende Meinungen oder Überzeugungen gezogen werden.

Eine statistische Massendatenanalyse im Stil von Big Data, bei der ein entsprechendes Profiling von Personen stattfindet, begegnet damit – neben den schon immer bestehenden Problemen der Zweckbindung – ganz neuartigen datenschutzrechtlichen Bedenken und Hürden. Theoretisch müssten weite Bereiche von Quelldaten aus Big Data-Anwendungen ausgeklammert werden. Der europäische Gesetzgeber wird darüber nicht nachgedacht haben. Entgegen der Modernisierungsabsicht gibt es in der EU-DSGVO keine spezifischen Regelungen zu Big Data, Scoring, Internet of Things, Blockchains und ähnlichen neuen Technologien. Es liegt wieder einmal an – naturgemäß stark verzögerten – Gerichtsentscheidungen, hier nachträglich Klarheit zu schaffen.

Beratungsangebot:

PSP führt datenschutzrechtliche Bestandsaufnahmen, Risikoanalysen sowie die Begutachtung von Einzelfragen durch und unterstützt bei der Implementierung von datenschutzbezogenen Compliance-Management-Systemen.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden