Fazit: 1 Jahr Datenaustausch und DSGVO

Im vergangenen Jahr im Mai ist die Übergangsfrist für die lange erwartete EU-Datenschutzgrundverordnung (EU-DSGVO) abgelaufen. Damit ist ein Regelwerk in Kraft getreten, das sich inzwischen zum zentralen Dreh- und Angelpunkt für Unternehmen entwickelt hat, wenn es um Datenaustausch und DSGVO geht. Unternehmen, die Daten von EU-Bürgern erfassen, speichern, verarbeiten oder übertragen, sind gesetzlich dazu verpflichtet, die DSGVO einzuhalten. Darunter fallen beispielsweise Kundendaten, Namen, Telefonnummern, E-Mail-Adressen oder andere Daten, mit denen Personen identifiziert werden können.

Gut ein Jahr nach ihrer Einführung haben die Datenschutzbehörden jede Menge zu tun. Wie im Juli 2019 bekannt wurde, fordert beispielsweise die britische Datenschutzbehörde wegen einer Datenpanne bei Onlinebuchungen 2018 ein Millionenbußgeld von über 2 Millionen Euro von der Fluggesellschaft British Airways. Bei einem Angriff hatten Cyberkriminelle im Jahr 2018 persönliche Daten und Kreditkarteninformationen inklusive Sicherheitscodes von Passagieren abgegriffen. Rund 500.000 Kunden waren davon betroffen. Nach Ansicht der britischen Datenschutzbehörde ICO (Information Commissioner´s Office) geschah dies, weil die Sicherheitsvorkehrungen der Airline zu schwach waren. Die Datenschutzbeauftrage des ICO, Elisabeth Denham, äußerte sich ganz klar zu diesem Fall: „Persönliche Daten von Menschen sind genau das – persönlich. Wenn eine Organisation sie nicht vor Verlust, Schaden oder Diebstahl schützen kann, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz eindeutig – wenn Sie mit personenbezogenen Daten betraut sind, müssen Sie sich darum auch kümmern. Diejenigen, die das nicht tun, werden von meiner Behörde überprüft.“

Aber auch der US-Hotelkette „Marriott“ hat in den Augen der Behörden zu wenig für den Datenschutz getan; um ihre Computersysteme ausreichend zu sichern. Im November 2018 musste sich das Unternehmen ein massives Datenleck eingestehen, über das Hacker an Informationen zu 383 Millionen Gästen gelangt war. Dabei wurden 5,25 Millionen Ausweisnummern und 385.000 gültige Zahlungskartennummern ausspioniert.

Aber man kehrt am besten vor seiner eigenen Tür: In Baden-Württemberg wurde ein Bußgeld über 50.000 Euro gegen eine Bank verhängt, die unbefugt Daten ehemaliger Kunden verarbeitet hatte.

Nach wir vor sind die Verunsicherung und Verwirrung bei den Bürgern, aber auch bei Unternehmen groß. Auch wenn die nun geltenden Vorschriften mitunter paradoxe Fälle hervorzaubern – erinnern wir uns nur einmal an die Überlegung von „Bild“ und dem Eigentümerverband Haus & Grund, ob es im Zuge der DSGVO ggf. irgendwann aus datenschutzrechtlichen Gründen notwendig sei, dass man alle Klingelschilder abmontiert – steht eigentlich der Schutz sensibler Daten im Fokus. Und den sollte man keinesfalls außer Acht lassen. Denn vorrangig geht es darum, das Recht des Einzelnen zu wahren und zu schützen.

 

Die DSGVO hat das Sicherheitsbewusstsein verbessert

Durch die DSGVO steht der Schutz sensibler Daten mehr denn je im Vordergrund. Die darin verankerten Grundsätze rufen dazu auf, präventive Maßnahmen zu treffen; um genau diesen Schutz umfassend zu gewährleisten. Dadurch sollen Risiken im Datenmissbrauch deutlich minimiert werden. Durch Konzepte wie Privacy by Design, Standardisierung und Zertifizierung verlagern die datenschutzrechtlichen Anforderungen verstärkt auf die technische Ebene. Unternehmen sollten die DSGVO als Chance nutzen, um ihre Daten zu konsolidieren und damit auch interne Abläufe nachhaltiger zu steuern. Datenschutzrechtliche Anforderungen, die auf gewissen Standards und Zertifizierungen basieren, sowie die entsprechenden Nachweise zur Datenverarbeitung führen inzwischen bereits dazu, dass die mit der Datenverarbeitung verbundenen Risiken besser eingeschätzt und kontrolliert werden können. Und genau das ist ein guter Nährboden für datengetriebene Geschäftsmodelle und die weiter voranschreitende Digitalisierung.

Die DSGVO hat folgende Veränderungen erwirkt:

Räumlicher Anwendungsbereich

Die DSGVO kommt immer dann zum Einsatz, wenn eine Niederlassung in der EU personenbezogene Daten verarbeitet. Hier spielt der Ort, an dem die Daten verarbeitet werden, keine Rolle, sondern entscheidend ist der Ort, an dem die Niederlassung ihren Sitz hat.
(Art. 3 Absatz 1 DSGVO).

Datenaustausch im Konzern

Obwohl es auf den ersten Blick nicht so aussieht, erleichtert die DSGVO den Datenaustausch in Konzernen. Denn die DSGVO besagt, dass die Datenverarbeitung zur Wahrung berechtigter Interessen von Verantwortlichen oder eines Dritten erlaubt sind, sofern die Interessen der Betroffenen nicht überwiegen (Art. 6 DSGVO).

>>> Datenschutzproblematik bei internationalen Konzernen

In herkömmlichen Unternehmen ist die Rang- und Entscheidungsfolge sehr klar geregelt. Fast schon pyramidenähnlich sitzt ganz oben der Chef und darunter angeordnet – je nach ihren Bereichen – die Mitarbeiter. Wird ein Unternehmen zum Konzern, ändert sich allerdings oft diese Aufteilung. In vielen Fällen führen internationale Konzerne gewisse Kompetenzen in ausgewählten Konzerngesellschaften zusammen. Dieses Vorgehen ist auf der einen Seite zwar effektiv, bringt auf der anderen Seite jedoch gerade beim Datenschutz große Herausforderungen. In der Praxis bedeutet das gerade bei Projekten, die mehrere Bereiche betreffen, dass beispielsweise ein Projektmanager in einem anderen Unternehmen tätig ist sein kann, als sein disziplinarischer Vorgesetzter. Um den schnellen Erfolg und die Effizienz dieser Projekte zu garantieren, kommt es auf dieser Art und Weise zu einem permanenten Austausch von personenbezogenen (Mitarbeiter-)Daten. Rechtlich wasserdicht ist dies nur, wenn die „Voraussetzung einer Erlaubnisnorm“ gegeben ist, die das rechtliche Interesse belegt. Generell muss jedoch immer eine Interessensabwägung zwischen den Rechten der Betroffenen (Mitarbeiter) und denen des Konzerns stattfinden. Im sogenannten „Erwägungsgrund 48“ der EU-DSGVO ist im Rahmen von internen Verwaltungszwecken geregelt, dass auch Konzerne berechtigtes Interesse zur Nutzung von Daten haben können. Hier muss jedoch immer geprüft werden, ob nicht ein milderes Mittel gleich effektiv ist. Ist dies nicht der Fall, muss die Begründung für die Datenübermittlung entsprechend dokumentiert werden.

 „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. […]“

>>> Schutzmaßnahmen des Konzerns

Werden Daten konzernintern genutzt, sind bestimmte Schutzmaßnahmen zu treffen. Dazu zählen auch umfangreiche technische und organisatorische Maßnahmen (wie z.B. ein Datenschutz-Managementsystem und ein Information Security Management System, kurz ISMS genannt). Außerdem müssen die Grundsätze der Datenverarbeitung durch eine konkrete Umsetzung beachtet werden (Artikel 5 und 6 DSGVO). Darüber hinaus regelt der Artikel 12 bis 14 DSGVO die transparente Darstellung, inwiefern die personenbezogenen Daten übermittelt werden. Ein hohes Maß an Sicherheit der Verarbeitung gibt außerdem der Art. 32 DSGVO vor. Darüber hinaus wird verlangt, dass konzerninterne Richtlinien zum Datenschutz oder auch konzerninterne Datenschutzverträge wie z.B. die Binding Corporate Rules oder die Intra-Group Data Transfer Agreements geschaffen und eingesetzt werden.

Außerdem muss die Verwendung der Mitarbeiterdaten mit einem entsprechenden Passus auch im Arbeitsvertrag geregelt sein. Werden gewisse Tätigkeiten zentralisiert, macht es Sinn, diese im Zuge der Transparenz hervorzuheben. Bestehende Arbeitsverträge lassen sich einfach um entsprechende Paragraphen erweitert. Bevor dies geschieht, müssen allerdings die konzerninternen Datenströme, die relevant sind, eruiert und festgeschrieben werden.

§ 1 Präambel
Dieser Arbeitsvertrag wird zwischen dem Arbeitnehmer und dem Arbeitgeber geschlossen. Bei dem Arbeitgeber handelt es sich um ein Unternehmen der XXX Unternehmensgruppe. Bestimmte Dienste, wie etwa IT-Service-Dienstleistung, …. werden durch die XXX Gesellschaft zentralisiert durchgeführt.

Fakt ist jedoch, dass trotz aller Auflistungen und Ergänzungen die Prüfung des Einzelfalles niemals außer Acht gelassen werden sollte.

Datenübermittlung an Drittländer

Eine Datenübermittlung an Drittländer oder an internationale Organisationen regeln die Artikel 44 bis 50 DSGVO. Die Datenübermittlung ist z.B. dann erlaubt, wenn die EU-Kommission für dieses Drittland einen sogenannten Angemessenheitsbeschluss erlassen hat. Dieser attestiert, dass in dem Drittland ein angemessenes Datenschutzniveau herrscht. Aktuell hat die EU-Kommission dies für folgende Länder anerkannt:

  • Andorra
  • Argentinien
  • Kanada
  • Faroer Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Jersey
  • Neuseeland
  • Schweiz
  • sowie Uruguay

Ist dies nicht der Fall, dürfen personenbezogenen Daten dennoch übermittelt werden, wenn ausreichende Garantien für ein angemessenes Datenschutzniveau gegeben sind und den betroffenen Personen wirksame und durchsetzbare Rechte und Rechtsbehelfe zur Verfügung stehen.

Darunter zählen:

  • Genehmigte Zertifizierungsmechanismen nach Artikel 42 DSGVO, zusammen mit einer rechtsverbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen, die geeigneten Garantien anzuwenden
  • Sogenannte Binding Corporate Rules Artikel 47 DSGVO, also genehmigte und verbindliche interne Datenschutzvorschriften
  • Genehmigte Verhaltensregeln nach Artikel 40 DSGVO, zusammen mit einer rechtsverbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen, die geeigneten Garantien anzuwenden
  • Genehmigte Standardschutzklauseln
  • EU-Standardschutzklauseln

In diesen Fällen ist keine gesonderte Genehmigung der Datenübermittlung durch die Aufsichtsbehörden erforderlich. Mit Zustimmung der Aufsichtsbehörde kann eine Datenübermittlung erfolgen, wenn entsprechende Vertragsklauseln vereinbart wurden.

Basierend auf Artikel 49 DSGVO kann eine Datenübermittlung in einem Drittland außerdem u.a. auf folgenden Grundlagen basieren:

  • Ausdrückliche Einwilligung der betroffenen Person nach umfassender Information über die Risiken
  • Datenübermittlung zur Erfüllung eines Vertrages mit dem Verantwortlichen oder zur Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person
  • Datenübermittlung zum Zwecke des Abschlusses oder der Erfüllung eines von dem Verantwortlichen im Interesse der betroffenen Person geschlossenen Vertrages
  • Datenübermittlung zur Geltendmachung, Ausübung oder der Verteidigung von Rechtsansprüchen

In diesen Fällen ist nach Artikel 49 Absatz 6 DSGVO im Verzeichnis der Verarbeitungstätigkeiten ausdrücklich zu dokumentieren, mit welchen Risiken die Datenübermittlung behaftet ist und welche Garantien zur Herstellung eines angemessenen Datenschutzes im Drittstaat getroffen wurden. Nach Artikel 49 Absatz 5 DSGVO können die EU oder Mitgliedstaaten ausdrückliche Beschränkungen bei der Übermittlung bestimmter Kategorien von Daten an Drittländer vorsehen.

Auftragsdatenverarbeitung

Wenn ein Auftragsverarbeiter auf Basis eines eigenständigen Vertrages in Verbindung mit einer entsprechenden Beauftragung Daten im Auftrag des Verantwortlichen verarbeitet, müssen vertraglich folgenden Punkte schriftlich oder elektronisch enthalten sein (Artikel 28 DSGVO):

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Festlegungen, dass die Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden
  • Festlegung, dass
    • Unterbeauftragungen nur mit vorheriger Genehmigung des Verantwortlichen erfolgen dürfen,
    • Unterbeauftragte die Anforderungen der DSGVO einhalten müssen,
    • beabsichtigte Änderungen dem Verantwortlichen mitzuteilen sind, wobei diesem ein Einspruch zusteht.
  • Regelung der in Artikel 32 der DSGVO geregelten technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz der Datenverarbeitungsvorgänge

Neue Betroffenenrechte und erweiterte Haftung

Im Rahmen der DSGVO wurde auch das bisherige Auskunftsrecht aus § 34 BDSG (Bundesdatenschutzgesetz) für betroffene Personen erweitert (Artikel 15 DSGVO).
Bisher drehte sich das Auskunftsrecht um

  • Inhalt und Herkunft der gespeicherten Daten,
  • Empfänger oder die Kategorien von Empfängern der Daten und
  • den Zweck der Speicherung.

Nun müssen zusätzlich folgende Informationen bereitgestellt werden:

  • Speicherdauer und die dafür festgelegten Kriterien
  • Rechte des Betroffenen (Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Beschwerderecht bei der Auskunftsbehörde)
  • Datenübermittlung an Drittstaaten und geeigneten Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus

>>> Neu ist außerdem, dass dem Betroffenen kostenlos eine Kopie seiner gespeicherten Daten zur Verfügung zu stellen ist. Für weitere Kopien kann ein Entgelt auf Grundlage der Verwaltungskosten verlangt werden (Artikel 15 Absatz 3 DSGVO). Zudem besteht ein Recht auf Berichtigung unrichtiger und Vervollständigung unvollständiger Daten (Artikel 16 DSGVO).

>>> Das „Recht auf Vergessenwerden“ regelt Artikel 17 DSGVO. Verlangt das ein Betroffener, müssen seine personenbezogenen Daten unverzüglich gelöscht werden, sofern der Verarbeitungszweck nicht mehr erforderlich ist oder die Einwilligung widerrufen wird und keine andere Rechtsgrundlage für die Verarbeitung vorliegt. Hat der Verantwortliche Daten öffentlich gemacht, so muss er aktiv Dritte, die die Daten nutzen, über das Löschbegehren informieren.

>>> Neu eingeführt wurde das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
Erfolgte die Verarbeitung aufgrund einer Einwilligung oder mithilfe automatisierter Verfahren, so sind die Daten dem Betroffenen auf Anfrage in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen. Soweit dies technisch machbar ist, sind die Daten auf Anforderung durch den Betroffenen direkt einem anderen Verantwortlichen zu übermitteln.

>>> Erweitert wurden auch die Schadensersatzansprüche der Betroffenen (Artikel 82 DSGVO)
Verantwortliche und Auftragsverarbeiter haften nun für alle materiellen und immateriellen Schäden der Betroffenen, die aus einem Verstoß gegen die Verordnung resultieren.
Die neuen Regelungen führen zu einer deutlichen Erweiterung der Schadensersatzverpflichtungen. Die bisherige Rechtslage sah Schadensersatzansprüche im Regelfall nur bei materiellen Schäden vor. Ersatz für immaterielle Schäden wurde nur in solchen Fällen zugesprochen, in denen es zu einer schwerwiegenden Rechtsverletzung mit hoher Eingriffsintensität gekommen ist. Das ist nun anders.

Betroffenen steht nach Artikel 77 DSGVO ein Recht auf Beschwerde bei einer Aufsichtsbehörde zu und nach Artikel 79 ein Recht auf wirksamen gerichtlichen Rechtsbehelf, wenn zustehende Rechte aus der DSGVO verletzt wurden.

Transparenzvorschriften, Datenschutzerklärung

Ein wesentlicher Kernpunkt der DSGVO ist die Transparenz der Datenverarbeitung für den Betroffenen. Artikel 12-14 DSGVO sehen deshalb umfangreiche Informationspflichten des Verantwortlichen vor.

Betroffenen müssen bei Erhebung der Daten alle wesentlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden (Artikel 13 DSGVO). Betroffene sind vor allem über

  • den Namen und die Kontaktdaten des Verantwortlichen,
  • die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke und die Rechtsgrundlage (NEU) der Verarbeitung,
  • die Empfänger oder Kategorien der Empfänger der Daten (NEU),
  • die geplante Übermittlung an Drittländer einschließlich eines Verweises auf die bestehenden Garantien, die ein ausreichendes Datenschutzniveau sicherstellen (NEU),
  • die Speicherdauer bzw. die Kriterien für die Festlegung der Speicherdauer (NEU),
  • das Bestehen einer gesetzlichen oder vertraglichen Pflicht zur Bereitstellung der Daten und die Folgen der Nichtbereitstellung

und über ihre Rechte (NEU)

  • Auskunft (Artikel 15 DSGVO)
  • Berichtigung (Artikel 16 DSGVO)
  • Löschung (Artikel 17 DSGVO)
  • Einschränkung der Verarbeitung (Artikel 18 DSGVO)
  • Widerspruch (Artikel 21 DSGVO)
  • Datenübertragung (Artikel 20 DSGVO
  • Widerruf der Einwilligung (Artikel 7 Abs. 3 DSGVO)
  • Beschwerde bei der Auskunftsbehörde (Artikel 77 DSGVO)

zu informieren.

Stellen die Daten den Ausgangspunkt für eine automatisierte Entscheidungsfindung dar (einschließlich Profiling), müssen Informationen über die involvierte Logik (NEU) und die Auswirkungen für die betroffenen Personen (NEU) angegeben werden.

Wenn die Absicht besteht, dass die Daten zu anderen Zwecken weiterverarbeitet werden (NEU), müssen die Betroffenen ebenfalls vorab darüber informiert werden. Bisherige Datenschutzerklärungen, insbesondere im Online-Bereich, können weiter angewendet werden. Sie sind jedoch um die zusätzlichen neuen Pflichtangaben zu ergänzen.

Der Datenschutzbeauftragte

Anders als bisher ist die Bestellung eines Datenschutzbeauftragen nur unter bestimmten Voraussetzungen verpflichtend (Artikel 37 DSGVO).
Ein Datenschutzbeauftragter muss dann bestellt werden, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, dem Umfang oder Zweck eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder besondere Kategorien von Daten in großem Umfang verarbeitet werden.

Ein Datenschutzbeauftragter muss außerdem dann beauftragt werden, wenn dies nach einem Recht der Mitgliedsstaaten vorgesehen ist.

Zu den Aufgaben des Datenschutzbeauftragten zählen nach Artikel 39 DSGVO:

  • Unterrichtung und Beratung des Verantwortlichen, des Auftragsverarbeiters und der Beschäftigten zu den Pflichten nach der DSGVO sowie den Durchführungsvorschriften der EU und der Mitgliedsstaaten
  • Überwachung und Überprüfung der Einhaltung der datenschutzrelevanten Vorschriften
  • Überwachung und Überprüfung der Datenschutzstrategien des Verantwortlichen oder Auftragsverarbeiters
  • Sensibilisierung und Schulung der Mitarbeiter
  • Beratung bei der Datenschutz-Folgeabschätzung und die Überwachung ihrer Durchführung
  • Zusammenarbeit mit der Aufsichtsbehörde, einschließlich der Funktion als Anlaufstelle für die Aufsichtsbehörden

Abweichend vom geltenden Recht (Artikel 37 Absatz 2 DSGVO) kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten bestellen.

Dokumentations- und Nachweispflichten, Verzeichnis der Verarbeitungstätigkeiten, Zertifizierungen

Die DSGVO nimmt Verantwortliche an verschiedenen Stellen in die Nachweispflicht:

  • Einhaltung der Grundsätze der Rechtmäßigkeit, Transparenz und Sicherheit der Datenverarbeitung (Artikel 5 Absatz 1 + 2 DSGVO)
  • Erteilung einer Einwilligung in die Datenverarbeitung durch den Betroffenen (Artikel 7 Absatz 1 DSGVO)
  • Eingeschränkte Betroffenenrechte, wenn der Verantwortliche nachweisen kann, dass er den Betroffenen nicht identifizieren kann (Artikel 11 Absatz 2 DSGVO)
  • Eingeschränkte Auskunftspflichten, wenn der Verantwortliche nachweisen kann, dass der Betroffene offenkundig unbegründete oder exzessive Auskunftsanträge stellt (Artikel 12 DSGVO)
  • Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Datenverarbeitungsvorgänge, einschließlich der IT-Sicherheitsmaßnahmen (Artikel 24 und 32 DSGVO)
  • Sicherstellung, dass der Auftragsverarbeiter hinreichende Garantien für eine verordnungskonforme Datenverarbeitung bietet (Artikel 28 Absatz 5 DSGVO)
  • Zulässigkeit der Datenübermittlung an Drittländer, da ein ausreichendes Datenschutzniveau garantiert ist (Artikel 40 Absatz 3, Artikel 42 Absatz 2, Artikel 26 Absatz 1f DSGVO)

Diese Nachweispflichten sind in bestimmten Konstellationen besonders relevant:

  • Schadensersatzpflicht: Nach Artikel 82 Absatz 3 DSGVO tragen der Verantwortliche und der Auftragsverarbeiter im Falle von Schadensersatzforderungen betroffener Personen wegen eines Verstoßes gegen die Verordnung die Beweislast dafür, nicht für den Schadenseintritt verantwortlich zu sein.
  • Kooperation mit der Aufsichtsbehörde: Auf Verlangen der zuständigen Aufsichtsbehörde, z.B. bei Datenschutzüberprüfungen oder im Falle eines vermeintlichen Verstoßes, ist die Einhaltung der Vorschriften der DSGVO nachzuweisen, die Datenverarbeitungsgänge sowie die technischen und organisatorischen Schutzmaßnahmen sind der Behörde offen zulegen. Kann der Nachweis nicht erfolgen, haben die Aufsichtsbehörden die Möglichkeit, Sanktionen zu Lasten des Betroffenen oder Auftragsverarbeiters zu erlassen (Artikel 58, 83 DSGVO).
  • Höhe von Geldbußen: Liegt tatsächlich ein relevanter Verstoß gegen die DSGVO vor, müssen die Aufsichtsbehörden nach Artikel 83 DSGVO bei der der Festlegung der Höhe einer Geldbuße unter anderem berücksichtigen, in welchem Maße der Verantwortliche oder der Auftragsverarbeiter verantwortlich sind. Hierbei ist insbesondere zu berücksichtigen, welche Maßnahmen zum Schutz der Datenverarbeitungsvorgänge getroffen und nachgewiesen wurden.

Wie diese Nachweise zu führen sind, schreibt die DSGVO im Einzelnen nicht vor. Den Verantwortlichen und Auftragsverarbeitern wird durch die DSGVO jedoch nachdrücklich die Möglichkeit eingeräumt, Datenverarbeitungsvorgänge durch akkreditierte Zertifizierungsstellen zertifizieren zu lassen (Artikel 42, 43 DSGVO) oder die Anforderungen durch Einhaltung genehmigter Verhaltensregeln (Artikel 40 und 41 DSGVO) nachzuweisen.

>>> Das Thema Zertifizierungen“ wird vor diesem Hintergrund in den nächsten Jahren drastisch an Bedeutung gewinnen. Datenschutzspezifische Zertifikate, Siegel und Prüfzeichen können nach Artikel 43 DSGVO von akkreditierten Zertifizierungsstellen oder von der Aufsichtsbehörde erteilt werden. Sämtliche zugelassenen Zertifizierungsverfahren, Datenschutzsiegel und Datenschutzprüfzeichen werden vom Europäischen Datenschutzausschuss in ein Register aufgenommen und veröffentlicht. Dieses Register bietet Verantwortlichen eine Sicherheit in Bezug auf die Vertrauenswürdigkeit des Zertifikats und der Zertifizierungsstelle. Die Aufsichtsbehörden des Bundes und der Länder arbeiten derzeit intensiv an der Entwicklung abgestimmter, länderübergreifend geltender Kriterien, damit auch im Vollzug der Aufsichtsbehörden eine einheitliche Bewertung im Sinne der DSGVO ermöglicht wird. Ein Wildwuchs zahlreicher unterschiedlicher Zertifizierungsverfahren sollte gerade mit Blick auf ein einheitliches europäisches Datenschutzniveau im Interesse aller Beteiligten vermieden werden.

>>> Branchenspezifische Verbänden oder Vereinigungen sollen außerdem gemäß Artikel 40 DSGVO Verhaltensregeln ausarbeiten, die auf die Besonderheiten einzelner Verarbeitungsbereiche zugeschnitten sind und die Anforderungen der Verordnung konkretisieren. Vor allem die Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen sollen hier berücksichtigt werden. Die Verhaltensregeln werden von den nationalen Aufsichtsbehörden oder vom Europäischen Datenschutzausschuss genehmigt und veröffentlicht.

Ein weiteres Mittel, um entsprechende Nachweise führen zu können, ist die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten. Artikel 30 Absatz 1 DSGVO beinhaltet eine entsprechende Verpflichtung des Verantwortlichen. Wie beim bisher erforderlichen internen Verfahrensverzeichnis nach § 4 g Absatz 2 Satz 1 BDSG sind dort folgende Angaben zu treffen:

  • Verantwortlicher und Datenschutzbeauftragter
  • Kategorien der verarbeiteten Daten und der betroffenen Personen
  • Zwecken der Verarbeitung
  • Kategorien der Empfänger der Daten
  • Übermittlung in Drittländer
  • Vorgesehene Löschfristen
  • Technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung

>>> Aber auch der Auftragsverarbeiter muss nach Artikel 30 Absatz 2 DSGVO ein Verzeichnis aller Kategorien von und im Auftrag durchgeführten Datenverarbeitungstätigkeiten führen, welches die Kategorien der Verarbeitungen, den Namen und die Kontaktdaten des Auftragsverarbeiters und der Verantwortlichen, die Übermittlung an Drittländer und wenn möglich eine allgemeine Beschreibung der zum Zwecke der Datensicherheit getroffenen technischen und organisatorischen Maßnahmen enthält.

Das Verzeichnis muss schriftlich oder in elektronischer Form geführt werden. Weitere Formvorschriften bestehen nicht (Artikel 30 Absatz 3 DSGVO).

Datenschutz-Folgeabschätzung, Konsultation der Aufsichtsbehörde

Wenn sich aus Art, Umfang, Umständen und Zwecken der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ergibt, muss eine Datenschutz-Folgeabschätzung durchgeführt werden (Artikel 35 DSGVO). Sie soll dem Verantwortlichen oder dem Auftragsverarbeiter eine Entscheidungsgrundlage darüber bieten, welche Maßnahmen zum Schutz der Daten ergriffen werden müssen.

Bei der Beurteilung der Frage, ob ein hohes Risiko vorliegt, ist abzuwägen, welche Risiken Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugang zu den personenbezogenen Daten für den Betroffenen mit sich bringen können. Ein hohes Risiko wird unter anderem dann angenommen, wenn

  • ein erheblicher wirtschaftlicher, gesellschaftlicher oder physischer, materieller oder immaterieller Schaden für die Betroffenen droht, z.B. die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, finanzielle Verluste, Aufhebung der Pseudonymisierung, Rufschädigung und der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten – Artikel 35 Absatz 3 DSGVO sieht diese Gefahr insbesondere bei umfassendem Profiling und auf diesem basierenden Scoring,
  • die personenbezogener Daten von besonderen Kategorien verarbeitet werden, nach Artikel 9 Absatz 1 und 10 DSGVO, z.B. Gesundheitsdaten, genetische Daten, biometrische Daten, Daten zu politischen Ansichten, sexueller Orientierung oder religiösen Überzeugungen oder
  • Daten systematischer und umfangreicher, öffentlich zugänglicher Bereiche.

Im Rahmen der Datenschutz-Folgeabschätzung sind die Notwendigkeit der Datenverarbeitung und die Risiken für die Rechte der betroffenen Personen gegenüberzustellen und die erforderlichen Datenschutzmaßnahmen aufzuführen.

>>> Stellt sich bei der Datenschutz-Folgeabschätzung heraus, dass ein so hohes Risiko besteht, dass mit den verfügbaren technischen und finanziellen Mitteln kein ausreichender Schutz der Daten gewährleistet werden kann, ist nach Artikel 36 DSGVO die Aufsichtsbehörde im Vorfeld der Datenverarbeitung zu konsultieren.

Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Die DSGVO gibt vor, welche Maßnahmen bei Verstößen gegen die DSGVO zu treffen sind (Artikel 33 und 34 DSGVO). Werden personenbezogene Daten verletzt, muss unverzüglich – möglichst innerhalb von 72 Stunden – die Aufsichtsbehörde darüber informiert werden. Zeitgleich müssen Art und Umfang der Verletzungen, deren Auswirkungen und die Maßnahmen, die zur Abhilfe ergriffen wurden, dokumentiert werden. Eine möglichst frühzeitige und umfassende Information der Aufsichtsbehörde und ebenso eine entsprechende Dokumentation kann sich positiv auf die Höhe einer möglichen Geldbuße auswirken. Von daher sollte es absolut im Interesse des Verantwortlichen liegen, schnell und umfassend zu handeln (Artikel 83 DSGVO).

Besteht ein hohes Risiko für die persönlichen Freiheiten und Rechte der betroffenen Personen, sind diese unverzüglich von der Verletzung zu benachrichtigen. Ein hohes Risiko ist nach Erwägungsgrund 85 DSGVO dann anzunehmen, wenn im Falle einer nicht rechtzeitigen oder angemessener Reaktion ein erheblicher wirtschaftlicher, gesellschaftlicher oder physischer, materieller oder immaterieller Schaden für die betroffenen Personen droht.

Als Beispiele werden der drohende Kontrollverlust über die Daten, die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, finanzielle Verluste, Aufhebung der Pseudonymisierung, Rufschädigung und der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten genannt.

Verschärfte Sanktionen für Verstöße

Im Vergleich zu früher wurden durch die DSGVO auch die drohenden Bußgelder erheblich erhöht, die im Falle einer Nichteinhaltung der Vorschriften verhängt werden können.

Bisher sah das BDSG Bußgelder von bis zu 300.000 Euro pro Einzelfall vor. Dieses Bußgeld wurde nun auf einen Beitrag von bis zu 20.000.000 Euro oder 4 Prozent des globalen Jahresumsatzes des vorangegangenen Geschäftsjahres erhöht (Artikel 83 DSGVO).

Die Geldbuße wird im Einzelfall festgelegt und soll wirksam, verhältnismäßig und abschreckend sein. Die Aufsichtsbehörde berücksichtigt dabei festgelegte Kriterien, die sich auf die Höhe der zu verhängenden Geldbuße auswirken. So kommt es unter anderem auf

  • die Art, Schwere und Dauer des Verstoßes,
  • die Kategorien der betroffenen Daten,
  • vorsätzliches oder fahrlässiges Handeln,
  • die zur Schadensminderung getroffener Maßnahmen,
  • einschlägige frühere Verstöße von Verantwortlichen oder des Auftragsverarbeiters,
  • die Einhaltung früherer angeordneter Maßnahmen,
  • die Art und Weise, auf die der Verstoß der Aufsichtsbehörde bekannt wurde sowie
  • den Umfang der Zusammenarbeit mit der Aufsichtsbehörde an.

Die Höhe des Bußgeldes wird reduziert, wenn nachgewiesen werden kann, dass ausreichende technische und organisatorischer Maßnahmen zum Schutz der Daten getroffen wurden. Hier werden beispielsweise auch die Grundsätze „Privacy by Design“, „Privacy by Default“, Zertifizierungen und Einhaltung genehmigter Verhaltensregeln zu Gunsten des Verarbeiters berücksichtigt.

>>> Verantwortliche können also bereits durch eine Implementierung angemessener und sicherer Datenverarbeitungsvorgänge die Höhe einer Geldbuße maßgeblich beeinflussen.

Weitere Sanktionen können von den Mitgliedsstaaten bestimmt werden.

IT-Sicherheit dank Privacy by Design und Privacy by Default

Die DSGVO legt einen starken Fokus auf das Thema technischer Datenschutz und IT-Sicherheit.

In Abhängigkeit vom jeweiligen Schutzbedarf müssen konkrete Sicherheitsmaßnahmen implementiert werden (Artikel 32 DSGVO).
Die erforderlichen technischen und organisatorischen Maßnahmen umfassen:

  • Pseudonymisierung und Verschlüsselung von Daten,
  • Maßnahmen zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der mit der Datenverarbeitung befassten Systeme und Dienste,
  • Maßnahmen, die es ermöglichen, im Falle eines physischen oder technischen Zwischenfalls die personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen,
  • Maßnahmen, die sicherstellen, dass Daten nur auf Anweisung des Verantwortlichen verarbeitet werden und
  • das Aufsetzen eines Verfahrens, anhand dessen die Sicherheit der Datenverarbeitung regelmäßig überprüft, bewertet und evaluiert wird.

Bei der Ermittlung des individuellen Schutzbedarfs müssen Sie darauf achten, welche Risiken Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugang zu den personenbezogenen Daten für den Betroffenen mit sich bringt.

Privacy by Design

Nach Artikel 25 DSGVO sollen Sie die Grundsätze des Datenschutzes bereits bei der Implementierung und Entwicklung von Produkten, Diensten, Anwendungen und technischen Prozessen, die personenbezogene Daten verarbeiten, berücksichtigen (Privacy by Design). Durch entsprechende technische Implementierung soll sichergestellt werden, dass

  • nur bestimmte Daten erhoben werden,
  • diese schnellstmöglich pseudonymisiert und verschlüsselt und
  • diese nur in dem erforderlichen Umfang verarbeitet werden,
  • sie nach Ablauf der Speicherfrist gelöscht werden und
  • nur bestimmte Personen Zugriff auf die Daten haben.

Privacy by Default

Der Grundsatz der datenschutzfreundlichen Voreinstellungen (Privacy by Default) in Artikel 25 DSGVO sieht vor, dass IT-Systeme und Anwendungen so voreingestellt sind, dass sie nur solche personenbezogenen Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich sind.

Diese Grundsätze sollten Sie als zukunftsweisende Grundentscheidung unbedingt beachten. Die DSGVO setzt hier auf Prävention statt nachgelagerter Abhilfe, Datenschutz per Default, eine Einbettung von Datenschutz und Datensicherheit im Design, volle Funktionalität, Schutz über den gesamten Lebenszyklus, Sichtbarkeit und Transparenz und ein Respektieren der Privatsphäre. Wenn Sie bereits auf technischer Ebene für eine Minimierung der zu verarbeitenden Daten und ihren Schutz durch technische und organisatorische Maßnahmen sorgen, sinkt das Verarbeitungsrisiko deutlich.

Welche konkreten Sicherheitsmaßnahmen Sie treffen müssen, wird durch eine individuelle Analyse von Art, Umfang und Inhalt der verarbeiteten Daten, den Zwecken der Datenverarbeitung und den Umständen der Datenverarbeitung, einschließlich der jeweiligen Geschäftsprozesse, IT-Systeme, Anwendungen und Infrastrukturen festgestellt. Für Unternehmen bietet es sich an, das Thema IT-Sicherheit und Privacy by Design mit Hilfe entsprechender Compliance Audits, Zertifizierungen nach Artikel 42 DSGVO und Best Practice Guidelines anzugehen. Die DSGVO sieht auch die Möglichkeit vor, sich hierbei an genehmigte branchenspezifische Verhaltensregeln nach Artikel 40 DSGVO zu halten.

 

Was können Sie tun, um Ihre Daten sicher und DSGVO-konform auszutauschen und zu speichern?

Für jedes Unternehmen weltweit, das Daten von EU-Bürgern speichert, verwaltet oder damit arbeitet, ist die Europäische Datenschutzgrundverordnung bindend. Hier ist es erst einmal unerheblich, wo sich der Hauptsitz eines Unternehmens befindet. Wurden in den vergangenen Jahren Daten an verschiedensten Stellen gespeichert, schiebt nun die EU-DSGVO einen Riegel vor, in dem sie einen permanenten Überblick über im Unternehmen verteilte Daten fordert. Im Zuge dessen wird die Hoheit über gespeicherte Daten immer wichtiger.

Denn gerade Einzelpersonen haben verschiedenste Rechte, die Sie und Ihr Unternehmen auf Anfrage jederzeit erfüllen müssen:

  • Auskunftsrecht
  • Zugriffsrecht
  • Nachbesserungsrecht
  • Recht auf Löschung
  • Recht auf eingeschränkte Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht

Untrennbar damit verbunden steht, dass Sie nachweisen müssen, dass der Datenschutz und die Datensicherheit (auch durch den Einsatz einer entsprechend EU-DSGVO-konformen Software) eingehalten wird. Laut DSGVO gilt der sogenannte „eingebaute“ Datenschutz „Privacy by Design“ als verpflichtend. Er besagt, dass nur eine Software eingesetzt werden darf, die diese Voraussetzungen automatisch erfüllt. Insgesamt stellt die DSGVO stärker auf das Prinzip des risikobasierten Datenschutzes ab.

Mit der Umsetzung der neuen EU-DSGVO ist das Haftungsrisiko bei Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für deren CIOs, Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte enorm gestiegen. Seit dem 25. Mai 2018 müssen alle Beteiligten bei Verstößen gegen die Datenschutzvorschriften oder ihre Aufsichtspflichten mit viel höheren Strafen als bislang rechnen. Bei Verstößen im Umgang mit personenbezogenen Daten drohen lt. § 42 DSAnpUG (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) über die Geldbußen hinaus strafrechtliche Sanktionen wie eine Freiheitsstrafe von bis zu drei Jahren. Um sich vor diesen schwerwiegenden Strafen zu schützen, müssen Sie eine entsprechende Compliance-Struktur aufbauen und konkrete Maßnahmen zur Einhaltung der EU-DSGVO entwickeln. Schulen Sie Ihre Mitarbeiter und bereiten Sie diese auf die geänderten Bestimmungen vor. Ein externer Datenschutzbeauftragter mindert Ihr persönliches Risiko, weil sich dadurch die Haftung verlagert. Regelmäßige Audits dienen dazu, um zu prüfen, inwieweit Sie und Ihr Unternehmen den datenschutzrechtlichen Anforderungen entsprechen.

Ein DSGVO-konformer IT-Partner kann vieles erleichtern, wenn die Infrastruktur bei diesem betrieben wird. Nutzen Sie technische Lösungen, die sich an die Grundsätze „Privacy by Design“ und „Privacy by Default“ halten sowie in Deutschland oder Europa hergestellt und betrieben werden. Diese Lösungen unterliegen den strengen europäischen Datenschutzgesetzen und sichern Ihnen eine DSGVO-konforme Datenverarbeitung. Verfügt die Software über eine Ende-zu-Ende-Verschlüsselung inklusive clientseitiger Verschlüsselung, können Sie außerdem sicher sein, dass Ihre Daten maximal geschützt sind. Denn in diesem Fall werden die Daten bereits am Endgerät verschlüsselt. Auf dem Server selbst besteht keine Möglichkeit, die Daten zu entschlüsseln, da sich das Schlüsselmaterial auf dem Client befindet. So wird sichergestellt, dass weder der Cloud-Anbieter selbst noch Dritte in der Lage sind, auf gespeicherte Daten zuzugreifen.

DRACOON ermöglicht einen datenschutzkonformen Datenaustausch

Christian Volkmer: Deutsche Cloud-Anbieter wie DRACOON bieten DSGVO konformen Datenaustausch

Christian Volkmer: „Deutsche Cloud-Anbieter wie DRACOON bieten DSGVO-konformen Datenaustausch.“

Unternehmen sollten die DSGVO nutzen, um sich für die Risiken, die eine Digitalisierung mit sich bringt, sicher aufzustellen. Die deutsche Cloud-Lösungen DRACOON unterstützt Firmen dabei, eine sichere und EU-DSGVO-konforme Datenverarbeitung zu gewährleisten.

Das findet auch Christian Volkmer, Datenschutzexperte und Geschäftsführer der Projekt 29 GmbH & Co. KG: „Ich sehe in der DSGVO die Chance für Unternehmen, um sich für die Herausforderungen, die eine Digitalisierung mit sich bringt, gut aufzustellen. Dabei liefern deutsche Cloud-Lösungen wie DRACOON die perfekte elektronische Basis, um Daten DSGVO-konform auszutauschen und zu speichern.“

DRACOON wird in Deutschland entwickelt und in ISO27001-zertifizierten Rechenzentren betrieben. Durch die integrierte clientseitige Verschlüsselung vermeiden Sie, dass Daten abfliessen. Dank datenschutzfreundlicher Technikgestaltung (Privacy by Design) und datenschutzfreundlicher Voreinstellungen (Privacy by Default) arbeiten Ihre Nutzer zudem von Beginn an datenschutzkonform. Das universell einsetzbare API ermöglicht außerdem eine Anbindung oder Integration zu anderen Anwendungen wie MS Office oder auch spezieller Branchensoftware – DRACOON dient Ihnen so als zentraler Datenspeicher für alle (sensiblen) Unternehmensdaten. Über die DRACOON Web App und Mobile Apps haben berechtige Benutzer jederzeit und überall Zugriff auf die Daten.

Im Überblick: So erfüllt DRACOON die konkreten Grundsätze der DSGVO

GRUNDSÄTZE DEFINITION LÖSUNG MIT DRACOON
Vertraulichkeit Angemessen Sicherheit der personenbezogenen Daten, einschließlich Schutz vor unbefugtem oder unrechtmäßigem Zugriff Clientseitige Verschlüsselung, Rechtevergabe
Integrität Daten liegen unverändert vor, Veränderungen sind nachweisbar Audit-Log, Rechtevergabe, Papierkorb (Versionierung)
Verfügbarkeit Verfügbarkeit und Belastbarkeit der Systeme und Dienste Vorteile einer Cloud-Lösung, Daten sind überall und jederzeit verfügbar, Backup, Papierkorb
Transparenz Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden Audit-Log, Transparenz der Berechtigungen

 

Im Überblick: So erfüllt DRACOON die konkreten rechtlichen Vorgaben der DSGVO

RECHTLICHE VORGABE DEFINITION LÖSUNG MIT DRACOON
Artikel 15
Auskunftsrecht der betroffenen Person
Auskunft über u.a. Verarbeitungszwecke, Verarbeitungskategorien, Empfänger, Speicherungsdauer Aktivitätenprotokoll,
Audit-Log
Artikel 17
Recht auf Vergessen werden
Persönliche, digitale Daten sollen zeitlich nicht unbegrenzt zur Verfügung stehen Ablaufdatum für Benutzer, Dateien und Freigaben
Artikel 20
Recht auf Datenübertragbarkeit
Herausgabe und Übermittlung der Dateien in einem strukturierten, gängigen und maschinenlesbaren Format Über offene JSON/REST-API
Artikel 25
Datenschutzfreundliche Voreinstellung
Privacy by Default
Privacy by Design
Verschlüsselungsstandards, Rechtemanagement und Dateifreigaben
Artikel 28
Verpflichtung zur sorgfältigen Auswahl des Auftragsverarbeiters
Sorgfältige Auswahl des Auftragsverarbeiters, so dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt DRACOON erfüllt relevante Datenschutz- und Compliance-Richtlinien und trägt relevante Datenschutzsiegel sowie Zertifizierungen
Artikel 32
Sicherheit der Verarbeitung
Angemessenes Schutzniveau der Daten muss gewährleistet werden Clientseitige Verschlüsselung, Rechtevergabe
Artikel 34
Benachrichtigung bei Verletzung des Datenschutzes
Entfall der Benachrichtigungspflicht bei Verletzung des Schutzes personenbezogener Daten, wenn die Daten verschlüsselt waren Clientseitige Verschlüsselung

 

Datenschutz