Puuh, was für ein unbequemes Thema. DSGVO. Fünf Buchstaben, die es in sich haben. Datenschutz. EU-Richtlinien. Komplexe behördliche Formulierungen. 😕 Wer beschäftigt sich bitte gerne mit sowas? Vermutlich niemand. Außer vielleicht einigen Abmahnanwälten, die schon mit den Hufen scharren, und wenigen Menschen, die sich tatsächlich um persönlichen Datenschutz sorgen – in Zeiten der inflationären Nutzung von datensammelnden Apps, der permanenten Penetration durch Werbe-Newsletter oder lästigen Call-Center-Anrufe.

Übrigens: Ich bin weder Jurist noch kann dieser Blogbeitrag eine Rechtsberatung durch eine Anwaltskanzlei mit Spezialisierung auf IT-Recht oder einen Datenschutzexperten ersetzen. Wahrscheinlich ist dieser Beitrag gerade deswegen verständlich geschrieben. In erster Linie soll der folgende Beitrag einen Überblick zu den zentralen Bausteine der Datenschutzreform geben und dazu anregen, sich spätestens jetzt mit diesem Thema auseinanderzusetzen. Am 25. Mai 2018 tritt die neue Verordnung in Kraft. Angesichts der vielschichtigen Anforderungen für Unternehmen ist es also höchste Zeit, sich spätestens jetzt warmzulaufen! 🏃‍♂️

Hintergrund der DSGVO

Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt die seit 1995 gültige EU-Datenschutzrichtlinie bzw. ist dem bislang für Deutschland gültige Bundesdatenschutzgesetz (BDSG) übergeordnet. Dabei erweitert die DSGVO diese Datenschutzrichtlinie um viele Aspekte, hat die Aufgabe, die europaweiten Gesetzgebungen zu harmonisieren und trägt insbesondere der durch die Digitalisierung stark gewachsenen Erfassung von persönlichen Daten Rechnung (Namen, E-Mail-Adressen, Daten aus dem Zahlungsverkehr, biometrischen Daten aus Apps, sämtlichen Daten aus sozialen Netzwerke u.v.m.).

Erweiterte Rechte für Verbraucher

Aus Sicht der Verbraucher – und das sind wir alle nun mal an erster Stelle – sollte man sich freuen. So beschäftigt sich das über vier Jahre (von 2012 bis 2016) gereifte EU-Regelwerk neben den Chancen für digitale Unternehmen und einer verbesserten internationalen Terrorismusabwehr in erster Linie mit dem Schutz der Daten von „Betroffenen“ (Behörden-Sprech. Klingt traurig, ist aber so.).

Mehr Transparenz, weitgehende Auskunftsrechte, Möglichkeiten zur Berichtigung, Löschung (Recht auf Vergessenwerden) oder Mitnahme persönlicher Daten (Recht auf Datenübertragbarkeit) sind wichtige Bestandteile der Reform. Insofern profitieren wir zunächst alle, wenn auch die meisten nicht bewusst die geänderte Gesetzeslage bemerken werden.

DSGVO: Unternehmen in der Pflicht

Anders sieht es auf Seiten der „Verantwortlichen“ aus („die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“, Art. 4). Hier sollten sich alle Unternehmen der geänderten Gesetzeslage bewusst werden. Denn mit Inkrafttreten am 25. Mai 2018 stehen den Rechten der EU-Bürger/innen die Pflichten der EU-Unternehmen gegenüber. „Anreiz“ zum Handeln geben dabei in Aussicht gestellte Sanktionen von bis zu 20 Mio. EURO.

Infografik über Inhalte und Ziele der Datenschutz-Grundverordnung

DSGVO Infografik der EU — © Europäische Union 2015.

Was bedeutet die DSGVO für mein Unternehmen und für mich als Betreiber einer Website?

Aus den oben erwähnten 99 Artikeln ergeben sich eine Reihe von Pflichten und Aufgaben für Verantwortliche. Die folgenden Abschnitte geben einen ersten Überblick. Im Einzelfall sind große Unterschiede in der jeweiligen Komplexität zu erwarten, die aus den einzelnen Verpflichtungen resultieren.

Auskunftsrecht

Über die grundsätzlich in den Datenschutzerklärungen enthaltenen Informationen (siehe übernächster Abschnitt) hinaus, geht die Möglichkeit einer betroffenen Person, sich zunächst bestätigen zu lassen, ob über sie personenbezogenen Daten verarbeitet werden. Falls ja, kann sie sich über die beim jeweiligen Verantwortlichen über sie gespeicherten Daten informieren und diese zusätzlich in einem elektronischen Format einfordern.

Berichtigung, Löschung und Datenübertragbarkeit

Wie eingangs erwähnt, bedeuten die neuen Rechte der Betroffenen zugleich einige technische Zusatzaufwände bei den Prozessen der Unternehmen. So haben Betroffene die Möglichkeit, falsche Daten korrigieren oder vervollständigen zu lassen.

Möchte ein Betroffener seine Daten löschen lassen, so beschreibt Art. 17 dieses Recht bei Zutreffen einer der folgenden Gründe:

Datenspeicherung zweckgebunden nicht mehr notwendig
Widerruf der Einwilligung
Widerspruch gegen die Verarbeitung und gleichzeitig Fehlen von berechtigten Gründe für die Verarbeitung
Unrechtmäßige Verarbeitung der personenbezogenen Daten
Löschung der personenbezogenen Daten ist nach Unionsrecht oder Recht der jeweiligen Mitgliedstaaten erforderlich

Gänzlich neu ist zudem das Recht auf Datenportabilität. So muss nach Art. 20 (Recht auf Datenübertragbarkeit) zukünftig jedem Betroffenen ermöglicht werden, sämtliche personenbezogenen Daten von Anbieter A zu Anbieter B „mitzunehmen“. Hierzu fordert der Rechtsgeber eine Bereitstellung in einem „strukturierten, gängigen und maschinenlesbaren Format“. Darüber hinaus ist es Aufgabe des Verantwortlichen, diese Daten direkt und ohne Behinderung an den weiteren Verantwortlichen (Anbieter B) zu übermitteln.

Datenschutzerklärung

Bereits heute benötigt jeder Website-Betreiber eine Datenschutzseite (engl. Privacy Policy). Besonders sensibel ist dieser Aspekt insbesondere deshalb, weil sie der erste und offensichtlichste Angriffspunkt für nachlässige Datenschutzarbeit des jeweilig Verantwortlichen ist. Neu ist im Rahmen der DSGVO, dass die hier abgefassten Erklärungen nicht in „Juristendeutsch“, sondern in leicht verständlicher, klarer und einfacher Sprache bereitgestellt sein müssen. Ich wünschte, diese Vorgabe hätte bereits für die Erstellung der Verordnung gegolten 🙄. In Artikel 13 (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person) der DSGVO werden konkret die geforderten Informationen aufgelistet – hier in gekürzter Form dargestellt:

Namen + Kontaktdaten des Verantwortlichen
die Kontaktdaten des Datenschutzbeauftragten (nur unter gewissen Voraussetzungen erforderlich; siehe Art. 37)
Zwecke und Rechtsgrundlage für die Verarbeitung
die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
die Empfänger der personenbezogenen Daten und ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
Dauer der Speicherung bzw. falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
Bestehen auf Auskunftsrecht über die personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
Widerrufsrecht
Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling

Umgang mit Cookies

Nach Definition der DSGVO zählen Cookies neben IP-Adressen zu personenbezogenen Daten, die in Kombination mit weiteren Informationen dazu dienen können, eindeutige Profile der natürlichen Personen zu erstellen. Eine pauschale Aussage über die Notwendigkeit bspw. für ein Opt-In Verfahren für Cookies ist nicht zu treffen. Art. 6 der DSGVO definiert die Rechtmäßigkeit für die Verarbeitung personenbezogener Daten und besagt, dass u.a. bei Erfüllung einer der Kriterien

Einwilligung zur Verarbeitung (Opt-in)
Notwendigkeit für Vertragserfüllung (z.B. im Bestellprozess eines Online-Shops) oder aber
Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen überwiegen die Interessen des Betroffenen

eine Verarbeitung legitim sei. Insbesondere der vage formulierte letzte Passus lässt einigen Interpretationsspielraum und beantwortet somit die Frage der Cookie-Regelung nach meiner Auffassung nicht.

Datenschutz vs. Tracking

Fast alle Website-Betreiber interessieren sich für Besucher-Statistiken und nutzen Dienste wie Google Analytics, Piwik, etracker und Co. Dies können sie auch weiterhin tun. Wichtig dabei ist, dass IP-Adressen, die ebenfalls als personenbezogene Daten gelten, fortan anonymisiert erfasst werden. Wie bereits nach aktueller Rechtslage erforderlich, sollte auch zukünftig ein Vertrag zur Auftragsdatenbearbeitung mit Google (postalischer Versand an Google Niederlassung Irland) geschlossen werden. Im Datenschutztext muss auf den Einsatz von Tracking hingewiesen und am besten eine Opt-out Möglichkeit (z.B. Link zum Google Browser-Addon zur Deaktivierung von Google Analytics) gegeben werden.

Link zu Google Analytics Vertrag: https://goo.gl/bGtLNU

Auftragsdatenverarbeitung

Wie am Beispiel von Google Analytics beschrieben, ist – im Übrigen bereits heute – eine klare vertragliche Regelung mit sämtlichen Dienstleistern und Dritten erforderlich, mit denen personenbezogene Daten ausgetauscht werden. Hierzu zählen u.a. Newsletter-Dienste, Tracking-Dienste, Hosting-Anbieter, Cloud-Dienstleister. So schreibt Art. 28 der DSGVO vor, dass eben jene Anbieter hinreichend Garantien dafür bieten müssen, dass ihr Datenschutz im Einklang mit der Verordnung steht. Zugleich dürfen jene Auftragsverarbeiter keine weiteren Dienste in Anspruch nehmen, ohne den Verantwortlich schriftlich um Genehmigung zu bitten.

Solche Verträge können zukünftig jedoch auch elektronisch übermittelt werden. Damit sollte die erwähnte postalische Übersendung an Google bald hinfällig sein.

SSL-Verschlüsselung

Gemäß DSGVO Art. 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ ist zu erwarten, dass Verschlüsselungsprotokolle zur sicheren Datenübertragung auf allen Websites betrieben werden müssen. Unter dem Stichwort „Privacy by Default“ fordert die Verordnung ohnehin von Produkt- und Softwareentwicklern, standardmäßig eine Anonymisierung bzw. eine Datensparsamkeit, so dass nur tatsächlich für einen Prozess notwendige Daten erfasst werden sollten.

Verletzungen von Datenschutz, z.B. im Fall von Hacker-Angriffen

Laut Artikel 33 und 34 DSGVO muss im Falle von Datenpannen binnen drei Tagen (72 Stunden) eine Mitteilung an die zuständige Landesschutzbehörde erfolgen. Hierbei müssen die Art der Datenschutzverletzung sowie die daraus resultierenden Risiken und die notwendigen Maßnahmen kommuniziert werden. Im Falle eines hohen Risikos für die persönlichen Rechte und Freiheiten des/der Betroffenen ist zudem eine direkte Benachrichtigung der Betroffenen erforderlich.

Ausnahme: Eine Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten dieser natürlichen Personen. In diesem Fall ist keine Meldung erforderlich, wobei auch hier reichlich Interpretationsspielraum gegeben ist.

Ob eine solche kurzfristige Meldekette realistisch ist, scheint fraglich. So hat sich in der Praxis oft genug gezeigt, dass Datenlecks teilweise erst Monate oder Jahre später erkannt wurden. Jüngstes Beispiel hierfür ist der Hacker-Angriff vermeintlich russischer Eindringlinge auf das Netz der Bundesregierung.

Datenschutz-Folgenabschätzung

Neben den sehr detaillierten Informationspflichten ist DSGVO-Abschnitt 3 mit dem sperrigen Namen „Datenschutz-Folgenabschätzung und vorherige Konsultation“ ein neuer und wahrscheinlich sehr arbeitsintensiver Aspekt für Verantwortliche. Inwieweit die darin enthaltenen Artikel 34 und 35 tatsächlich Relevanz für viele Unternehmen haben, ist in meinen Augen nur grob erkennbar. So sind hier diejenigen Verantwortliche gefordert, deren Datenverarbeitungsprozesse voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten bergen. Explizit genannt werden Verantwortliche, die personenbezogenen Daten im Bereich Profiling oder der öffentlichen Videoüberwachung einsetzen (Ämter, Behörden).

Zugleich spielt der Aspekt des Umfangs der Verarbeitung offensichtlich eine Rolle hinsichtlich der Notwendigkeit einer Folgenabschätzung. So beschreibt Erwägungsgrund 91:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Vor diesem Hintergrund halte ich es für unwahrscheinlich, dass der DSGVO Abschnitt 3 für den Großteil der Unternehmen (insbesondere KMU) überhaupt Relevanz haben wird.

Dokumentation über Verarbeitungstätigkeiten

In einem schriftlichen bzw. elektronischen Format muss zukünftig eine detaillierte Dokumentation darüber erfolgen, zu welchem Zwecke personenbezogenen Daten verarbeitet werden, um welche Kategorie von Betroffenen und welche Kategorien von personenspezifischen Daten es sich dabei handelt, sowie die möglicher Empfänger dieser Daten einschließlich möglicher Empfänger und Organisationen in Drittländern.

Ausgenommen von dieser Dokumentationspflicht sind:

Unternehmen mit weniger als 250 Beschäftigten, wenn sie zudem
keine personenbezogenen Daten verarbeiten, die ein Risiko für die betroffenen Personen bergen, und gleichzeitig
nur gelegentlich Daten verarbeiten bzw.
keine personenbezogenen Daten im Kontext von Verurteilungen und Straftaten behandeln.

Also auch hier gilt; zunächst genau prüfen, ob tatsächlich das eigene Unternehmen eines der Kriterien erfüllt, um eine derartige Dokumentation zu rechtfertigen (vgl. Art. 30).

Und jetzt?

Die DSGVO kommt. Was sie ganz konkret bedeutet, ist an vielen Stellen durchaus offen und wird vermutlich erst nach vielen Einzelfallentscheidungen klarer. Absehbar ist, dass wohl Datenschutzerklärungen à la Copy & Paste nicht mehr ausreichen dürften, und sich Verantwortliche auf verschiedene Szenarien vorbereiten müssen, die nur mit einer sauberen vorherigen Dokumentation zu realisieren sind. Dazu ist in jedem Fall eine anwaltliche Rechtsberatung zu empfehlen sowie je nach Unternehmensgröße und -art die Etablierung eines gut geschulten Datenschutzbeauftragten, falls es diesen noch nicht gibt.

Abzuwarten bleibt zudem, wie die ePrivacy Verordnung, deren Inkrafttreten ursprünglich zeitgleich mit der DSGVO erfolgen sollte, zusätzliche oder zumindest enger definierte Maßstäbe für den Umgang mit personenbezogenen Daten regeln wird.

Weiterführende Links und Quellen

Info 6, September 2017. Herausgeber: Die Bundesbeauftragte für den Datenschutzund die Informationsfreiheit: DSGVO und BDSG als PDF
Europäischer Rat, zuletzt am 07.02.2018. Datenschutzreform
Heise.de, 09.01.2018. Datenschutzgrundverordnung: Neue Abmahngefahren für Websites
Golem.de, 06.03.2018. Datenschutz-Grundverordnung – Was Unternehmen und Admins jetzt tun müssen
Titelbild: Adobe Stock, Tomasz Zajda

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Monate

PPW bloggt über Internet-Projekte, Trends, Tipps, Technik, Design, UX mit vielen Insights.

DSGVO – Warm-up Phase bald beendet