DSGVO – Warm-up Phase bald beendet

DSGVO – Warm-up Phase bald beendet

Puuh, was fĂŒr ein unbequemes Thema. DSGVO. FĂŒnf Buchstaben, die es in sich haben. Datenschutz. EU-Richtlinien. Komplexe behördliche Formulierungen. 😕 Wer beschĂ€ftigt sich bitte gerne mit sowas? Vermutlich niemand. Außer vielleicht einigen AbmahnanwĂ€lten, die schon mit den Hufen scharren, und wenigen Menschen, die sich tatsĂ€chlich um persönlichen Datenschutz sorgen – in Zeiten der inflationĂ€ren Nutzung von datensammelnden Apps, der permanenten Penetration durch Werbe-Newsletter oder lĂ€stigen Call-Center-Anrufe.

Übrigens: Ich bin weder Jurist noch kann dieser Blogbeitrag eine Rechtsberatung durch eine Anwaltskanzlei mit Spezialisierung auf IT-Recht oder einen Datenschutzexperten ersetzen. Wahrscheinlich ist dieser Beitrag gerade deswegen verstĂ€ndlich geschrieben. In erster Linie soll der folgende Beitrag einen Überblick zu den zentralen Bausteine der Datenschutzreform geben und dazu anregen, sich spĂ€testens jetzt mit diesem Thema auseinanderzusetzen. Am 25. Mai 2018 tritt die neue Verordnung in Kraft. Angesichts der vielschichtigen Anforderungen fĂŒr Unternehmen ist es also höchste Zeit, sich spĂ€testens jetzt warmzulaufen! đŸƒâ€â™‚ïž

Hintergrund der DSGVO

Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt die seit 1995 gĂŒltige EU-Datenschutzrichtlinie bzw. ist dem bislang fĂŒr Deutschland gĂŒltige Bundesdatenschutzgesetz (BDSG) ĂŒbergeordnet. Dabei erweitert die DSGVO diese Datenschutzrichtlinie um viele Aspekte, hat die Aufgabe, die europaweiten Gesetzgebungen zu harmonisieren und trĂ€gt insbesondere der durch die Digitalisierung stark gewachsenen Erfassung von persönlichen Daten Rechnung (Namen, E-Mail-Adressen, Daten aus dem Zahlungsverkehr, biometrischen Daten aus Apps, sĂ€mtlichen Daten aus sozialen Netzwerke u.v.m.).

Infografik Datenschutzrichtlinie 1995 vs. DSGVO 2016

Erweiterte Rechte fĂŒr Verbraucher

Aus Sicht der Verbraucher – und das sind wir alle nun mal an erster Stelle – sollte man sich freuen. So beschĂ€ftigt sich das ĂŒber vier Jahre (von 2012 bis 2016) gereifte EU-Regelwerk neben den Chancen fĂŒr digitale Unternehmen und einer verbesserten internationalen Terrorismusabwehr in erster Linie mit dem Schutz der Daten von „Betroffenen“ (Behörden-Sprech. Klingt traurig, ist aber so.).

Mehr Transparenz, weitgehende Auskunftsrechte, Möglichkeiten zur Berichtigung, Löschung (Recht auf Vergessenwerden) oder Mitnahme persönlicher Daten (Recht auf DatenĂŒbertragbarkeit) sind wichtige Bestandteile der Reform. Insofern profitieren wir zunĂ€chst alle, wenn auch die meisten nicht bewusst die geĂ€nderte Gesetzeslage bemerken werden.

DSGVO: Unternehmen in der Pflicht

Anders sieht es auf Seiten der „Verantwortlichen“ aus („die natĂŒrliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen ĂŒber die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet [
]“, Art. 4). Hier sollten sich alle Unternehmen der geĂ€nderten Gesetzeslage bewusst werden. Denn mit Inkrafttreten am 25. Mai 2018 stehen den Rechten der EU-BĂŒrger/innen die Pflichten der EU-Unternehmen gegenĂŒber. „Anreiz“ zum Handeln geben dabei in Aussicht gestellte Sanktionen von bis zu 20 Mio. EURO.

Infografik ĂŒber Inhalte und Ziele der Datenschutz-Grundverordnung

DSGVO Infografik der EU
© EuropÀische Union 2015.

Was bedeutet die DSGVO fĂŒr mein Unternehmen und fĂŒr mich als Betreiber einer Website?

Aus den oben erwĂ€hnten 99 Artikeln ergeben sich eine Reihe von Pflichten und Aufgaben fĂŒr Verantwortliche. Die folgenden Abschnitte geben einen ersten Überblick. Im Einzelfall sind große Unterschiede in der jeweiligen KomplexitĂ€t zu erwarten, die aus den einzelnen Verpflichtungen resultieren.

Auskunftsrecht

Über die grundsĂ€tzlich in den DatenschutzerklĂ€rungen enthaltenen Informationen (siehe ĂŒbernĂ€chster Abschnitt) hinaus, geht die Möglichkeit einer betroffenen Person, sich zunĂ€chst bestĂ€tigen zu lassen, ob ĂŒber sie personenbezogenen Daten verarbeitet werden. Falls ja, kann sie sich ĂŒber die beim jeweiligen Verantwortlichen ĂŒber sie gespeicherten Daten informieren und diese zusĂ€tzlich in einem elektronischen Format einfordern.

Berichtigung, Löschung und DatenĂŒbertragbarkeit

Wie eingangs erwÀhnt, bedeuten die neuen Rechte der Betroffenen zugleich einige technische ZusatzaufwÀnde bei den Prozessen der Unternehmen. So haben Betroffene die Möglichkeit, falsche Daten korrigieren oder vervollstÀndigen zu lassen.

Möchte ein Betroffener seine Daten löschen lassen, so beschreibt Art. 17 dieses Recht bei Zutreffen einer der folgenden GrĂŒnde:

  • Datenspeicherung zweckgebunden nicht mehr notwendig
  • Widerruf der Einwilligung
  • Widerspruch gegen die Verarbeitung und gleichzeitig Fehlen von berechtigten GrĂŒnde fĂŒr die Verarbeitung
  • UnrechtmĂ€ĂŸige Verarbeitung der personenbezogenen Daten
  • Löschung der personenbezogenen Daten ist nach Unionsrecht oder Recht der jeweiligen Mitgliedstaaten erforderlich

GĂ€nzlich neu ist zudem das Recht auf DatenportabilitĂ€t. So muss nach Art. 20 (Recht auf DatenĂŒbertragbarkeit) zukĂŒnftig jedem Betroffenen ermöglicht werden, sĂ€mtliche personenbezogenen Daten von Anbieter A zu Anbieter B „mitzunehmen“. Hierzu fordert der Rechtsgeber eine Bereitstellung in einem „strukturierten, gĂ€ngigen und maschinenlesbaren Format“. DarĂŒber hinaus ist es Aufgabe des Verantwortlichen, diese Daten direkt und ohne Behinderung an den weiteren Verantwortlichen (Anbieter B) zu ĂŒbermitteln.

DatenschutzerklÀrung

Bereits heute benötigt jeder Website-Betreiber eine Datenschutzseite (engl. Privacy Policy). Besonders sensibel ist dieser Aspekt insbesondere deshalb, weil sie der erste und offensichtlichste Angriffspunkt fĂŒr nachlĂ€ssige Datenschutzarbeit des jeweilig Verantwortlichen ist. Neu ist im Rahmen der DSGVO, dass die hier abgefassten ErklĂ€rungen nicht in „Juristendeutsch“, sondern in leicht verstĂ€ndlicher, klarer und einfacher Sprache bereitgestellt sein mĂŒssen. Ich wĂŒnschte, diese Vorgabe hĂ€tte bereits fĂŒr die Erstellung der Verordnung gegolten 🙄. In Artikel 13 (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person) der DSGVO werden konkret die geforderten Informationen aufgelistet – hier in gekĂŒrzter Form dargestellt:

  • Namen + Kontaktdaten des Verantwortlichen
  • die Kontaktdaten des Datenschutzbeauftragten (nur unter gewissen Voraussetzungen erforderlich; siehe Art. 37)
  • Zwecke und Rechtsgrundlage fĂŒr die Verarbeitung
  • die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • die EmpfĂ€nger der personenbezogenen Daten und ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu ĂŒbermitteln
  • Dauer der Speicherung bzw. falls dies nicht möglich ist, die Kriterien fĂŒr die Festlegung dieser Dauer
  • Bestehen auf Auskunftsrecht ĂŒber die personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf EinschrĂ€nkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf DatenĂŒbertragbarkeit
  • Widerrufsrecht
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling

Umgang mit Cookies

Nach Definition der DSGVO zĂ€hlen Cookies neben IP-Adressen zu personenbezogenen Daten, die in Kombination mit weiteren Informationen dazu dienen können, eindeutige Profile der natĂŒrlichen Personen zu erstellen. Eine pauschale Aussage ĂŒber die Notwendigkeit bspw. fĂŒr ein Opt-In Verfahren fĂŒr Cookies ist nicht zu treffen. Art. 6 der DSGVO definiert die RechtmĂ€ĂŸigkeit fĂŒr die Verarbeitung personenbezogener Daten und besagt, dass u.a. bei ErfĂŒllung einer der Kriterien

  • Einwilligung zur Verarbeitung (Opt-in)
  • Notwendigkeit fĂŒr VertragserfĂŒllung (z.B. im Bestellprozess eines Online-Shops) oder aber
  • Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen ĂŒberwiegen die Interessen des Betroffenen

eine Verarbeitung legitim sei. Insbesondere der vage formulierte letzte Passus lÀsst einigen Interpretationsspielraum und beantwortet somit die Frage der Cookie-Regelung nach meiner Auffassung nicht.

Datenschutz vs. Tracking

Fast alle Website-Betreiber interessieren sich fĂŒr Besucher-Statistiken und nutzen Dienste wie Google Analytics, Piwik, etracker und Co. Dies können sie auch weiterhin tun. Wichtig dabei ist, dass IP-Adressen, die ebenfalls als personenbezogene Daten gelten, fortan anonymisiert erfasst werden. Wie bereits nach aktueller Rechtslage erforderlich, sollte auch zukĂŒnftig ein Vertrag zur Auftragsdatenbearbeitung mit Google (postalischer Versand an Google Niederlassung Irland) geschlossen werden. Im Datenschutztext muss auf den Einsatz von Tracking hingewiesen und am besten eine Opt-out Möglichkeit (z.B. Link zum Google Browser-Addon zur Deaktivierung von Google Analytics) gegeben werden.

Link zu Google Analytics Vertrag: https://goo.gl/bGtLNU

Auftragsdatenverarbeitung

Wie am Beispiel von Google Analytics beschrieben, ist – im Übrigen bereits heute – eine klare vertragliche Regelung mit sĂ€mtlichen Dienstleistern und Dritten erforderlich, mit denen personenbezogene Daten ausgetauscht werden. Hierzu zĂ€hlen u.a. Newsletter-Dienste, Tracking-Dienste, Hosting-Anbieter, Cloud-Dienstleister. So schreibt Art. 28 der DSGVO vor, dass eben jene Anbieter hinreichend Garantien dafĂŒr bieten mĂŒssen, dass ihr Datenschutz im Einklang mit der Verordnung steht. Zugleich dĂŒrfen jene Auftragsverarbeiter keine weiteren Dienste in Anspruch nehmen, ohne den Verantwortlich schriftlich um Genehmigung zu bitten.

Solche VertrĂ€ge können zukĂŒnftig jedoch auch elektronisch ĂŒbermittelt werden. Damit sollte die erwĂ€hnte postalische Übersendung an Google bald hinfĂ€llig sein.

SSL-VerschlĂŒsselung

GemĂ€ĂŸ DSGVO Art. 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ ist zu erwarten, dass VerschlĂŒsselungsprotokolle zur sicheren DatenĂŒbertragung auf allen Websites betrieben werden mĂŒssen. Unter dem Stichwort „Privacy by Default“ fordert die Verordnung ohnehin von Produkt- und Softwareentwicklern, standardmĂ€ĂŸig eine Anonymisierung bzw. eine Datensparsamkeit, so dass nur tatsĂ€chlich fĂŒr einen Prozess notwendige Daten erfasst werden sollten. Im Punkt der SSL-VerschlĂŒsselung haben wir bereits in einem vorherigen Blogbeitrag auf die Notwendigkeit von https-Websites hingewiesen.

Verletzungen von Datenschutz, z.B. im Fall von Hacker-Angriffen

Laut Artikel 33 und 34 DSGVO muss im Falle von Datenpannen binnen drei Tagen (72 Stunden) eine Mitteilung an die zustĂ€ndige Landesschutzbehörde erfolgen. Hierbei mĂŒssen die Art der Datenschutzverletzung sowie die daraus resultierenden Risiken und die notwendigen Maßnahmen kommuniziert werden. Im Falle eines hohen Risikos fĂŒr die persönlichen Rechte und Freiheiten des/der Betroffenen ist zudem eine direkte Benachrichtigung der Betroffenen erforderlich.

Ausnahme: Eine Verletzung des Schutzes personenbezogener Daten fĂŒhrt voraussichtlich nicht zu einem Risiko fĂŒr die Rechte und Freiheiten dieser natĂŒrlichen Personen. In diesem Fall ist keine Meldung erforderlich, wobei auch hier reichlich Interpretationsspielraum gegeben ist.

Ob eine solche kurzfristige Meldekette realistisch ist, scheint fraglich. So hat sich in der Praxis oft genug gezeigt, dass Datenlecks teilweise erst Monate oder Jahre spĂ€ter erkannt wurden. JĂŒngstes Beispiel hierfĂŒr ist der Hacker-Angriff vermeintlich russischer Eindringlinge auf das Netz der Bundesregierung.

Datenschutz-FolgenabschÀtzung

Neben den sehr detaillierten Informationspflichten ist DSGVO-Abschnitt 3 mit dem sperrigen Namen „Datenschutz-FolgenabschĂ€tzung und vorherige Konsultation“ ein neuer und wahrscheinlich sehr arbeitsintensiver Aspekt fĂŒr Verantwortliche. Inwieweit die darin enthaltenen Artikel 34 und 35 tatsĂ€chlich Relevanz fĂŒr viele Unternehmen haben, ist in meinen Augen nur grob erkennbar. So sind hier diejenigen Verantwortliche gefordert, deren Datenverarbeitungsprozesse voraussichtlich hohe Risiken fĂŒr die persönlichen Rechte und Freiheiten bergen. Explizit genannt werden Verantwortliche, die personenbezogenen Daten im Bereich Profiling oder der öffentlichen VideoĂŒberwachung einsetzen (Ämter, Behörden).

Zugleich spielt der Aspekt des Umfangs der Verarbeitung offensichtlich eine Rolle hinsichtlich der Notwendigkeit einer FolgenabschÀtzung. So beschreibt ErwÀgungsgrund 91:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen FĂ€llen sollte eine Datenschutz-FolgenabschĂ€tzung nicht zwingend vorgeschrieben sein.“

Vor diesem Hintergrund halte ich es fĂŒr  unwahrscheinlich, dass der DSGVO Abschnitt 3 fĂŒr den Großteil der Unternehmen (insbesondere KMU) ĂŒberhaupt Relevanz haben wird.

Dokumentation ĂŒber VerarbeitungstĂ€tigkeiten

In einem schriftlichen bzw. elektronischen Format muss zukĂŒnftig eine detaillierte Dokumentation darĂŒber erfolgen, zu welchem Zwecke personenbezogenen Daten verarbeitet werden, um welche Kategorie von Betroffenen und welche Kategorien von personenspezifischen Daten es sich dabei handelt, sowie die möglicher EmpfĂ€nger dieser Daten einschließlich möglicher EmpfĂ€nger und Organisationen in DrittlĂ€ndern.

Ausgenommen von dieser Dokumentationspflicht sind:

  • Unternehmen mit weniger als 250 BeschĂ€ftigten, wenn sie zudem
  • keine personenbezogenen Daten verarbeiten, die ein Risiko fĂŒr die betroffenen Personen bergen, und gleichzeitig
  • nur gelegentlich Daten verarbeiten bzw.
  • keine personenbezogenen Daten im Kontext von Verurteilungen und Straftaten behandeln.

Also auch hier gilt; zunĂ€chst genau prĂŒfen, ob tatsĂ€chlich das eigene Unternehmen eines der Kriterien erfĂŒllt, um eine derartige Dokumentation zu rechtfertigen (vgl. Art. 30).

Und jetzt?

Die DSGVO kommt. Was sie ganz konkret bedeutet, ist an vielen Stellen durchaus offen und wird vermutlich erst nach vielen Einzelfallentscheidungen klarer. Absehbar ist, dass wohl DatenschutzerklĂ€rungen Ă  la Copy & Paste nicht mehr ausreichen dĂŒrften, und sich Verantwortliche auf verschiedene Szenarien vorbereiten mĂŒssen, die nur mit einer sauberen vorherigen Dokumentation zu realisieren sind. Dazu ist in jedem Fall eine anwaltliche Rechtsberatung zu empfehlen sowie je nach UnternehmensgrĂ¶ĂŸe und -art die Etablierung eines gut geschulten Datenschutzbeauftragten, falls es diesen noch nicht gibt.

Abzuwarten bleibt zudem, wie die ePrivacy Verordnung, deren Inkrafttreten ursprĂŒnglich zeitgleich mit der DSGVO erfolgen sollte, zusĂ€tzliche oder zumindest enger definierte MaßstĂ€be fĂŒr den Umgang mit personenbezogenen Daten regeln wird.

WeiterfĂŒhrende Links und Quellen

  • Info 6, September 2017. Herausgeber: Die Bundesbeauftragte fĂŒr den Datenschutzund die Informationsfreiheit: DSGVO und BDSG als PDF 
  • EuropĂ€ischer Rat, zuletzt am 07.02.2018. Datenschutzreform
  • Heise.de, 09.01.2018. Datenschutzgrundverordnung: Neue Abmahngefahren fĂŒr Websites
  • Golem.de, 06.03.2018. Datenschutz-Grundverordnung – Was Unternehmen und Admins jetzt tun mĂŒssen
  • DrKPI, 3.11.2017. 2018 EU Datenschutz: Ist das Unternehmen bereit?
  • Titelbild: Adobe Stock, Tomasz Zajda