Rechtsanwältin Dr. Bettina Kähler hat im Auftrag von Sophos einen Blick hinter die Kulissen der neuen EU-Datenschutzverordnung geworfen. Was es mit den neuen Vorschlägen auf sich hat und welche Auswirkungen sie auf Unternehmen haben, beschreibt sie in einer kleinen Blogserie.
Es hat sich viel verändert seit 1995, als das letzte Mal eine wichtige europäische Rechtsvorschrift zum Datenschutz verabschiedet wurde; die „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (Richtlinie 95/46/EG). Anders als noch vor 20 Jahren passen heute riesige Speicherkapazitäten in jede Westentasche und mobile Geräte sind aus unserem Alltag nicht mehr wegzudenken. In Anbetracht der neuen Möglichkeiten von Cloud Computing und allgegenwärtiger, schneller Verfügbarkeit von Informationen
und Daten erscheint E-Mail mitunter als ein fast schon antiquiertes Medium. Die Grenzen von Netzwerken und Geräten lösen sich auf: Sensible Geschäftsdaten verlassen immer öfter die traditionell sicheren vier Wände des Unternehmens, Mitarbeiter greifen mit dienstlichen oder auch privaten Smartphones und Tablets auf geschäftskritische Informationen zu und speichern Daten auf fremden Servern. Aber nicht nur der Gebrauch, auch der Missbrauch personenbezogener Daten ist heute ein Leichtes. Fast täglich werden Unternehmen und deren Kunden Opfer von Datenpannen, bei denen persönliche und höchst vertrauliche Daten in die Hände von Kriminellen fallen. Den betroffenen Unternehmen drohen in solchen Fällen
erhebliche wirtschaftliche Einbußen und der Vertrauensverlust ihrer Kunden und Investoren, den Kunden Schäden durch Identitätsdiebstahl. Ziel der Datenschutzverordnung ist es, die Datenschutzrechte von EU-Bürgern zu stärken, das Vertrauen in die digitale Wirtschaft wiederherzustellen und Kundendaten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser zu schützen.
Für wen gilt die Verordnung?
Die EU-Datenschutz-Verordnung erfasst alle Unternehmen und Behörden, die in irgendeiner Form, sei es off- oder online, automatisiert oder teilautomatisiert, mit personenbezogenen Daten umgehen. Grundsätzlich gilt sie also für jedes Unternehmen aus jeder erdenklichen Branche, das selber oder im Auftrag von anderen personenbezogene Daten verarbeitet. Die Definition des Begriffs der personenbezogenen Daten umfasst nunmehr
nicht nur die Merkmale, die eine Person direkt identifizieren (Name und Anschrift z.B.), sondern auch die Angaben, die sie mittelbar identifizierbar machen, wie z.B. IP-Adressen, Cookies, RFID-Tags, Standortdaten. Ausschlaggebend für die Anwendung der EU-Datenschutz-Verordnung ist ferner, dass ein datenverarbeitendes Unternehmen eine Niederlassung in der EU hat. Neu ist insoweit, dass zusätzlich auch Unternehmen mit Sitz außerhalb der EU die Vor-gaben der Verordnung beachten müssen, wenn sie sich mit ihrem – kommerziellen oder nicht-kommerziellen – Angebot an EU-Bürger richten oder, z.B. im Rahmen des Webtracking, deren Verhalten überwachen. Dieser Aspekt ist insbesondere für die Schweiz von Bedeutung; das Nicht-EU-Mitglied Schweiz erwirtschaftet einen großen Teil seines Bruttosozialprodukts durch Handel mit EU-Staaten und wird aufgrund dieser Neuerung mit Sicherheit an vielen Stellen ebenfalls die neuen Regeln der EU-Verordnung einhalten müssen.
Welche Anforderungen wird es geben?
Verglichen mit dem in Deutschland, Österreich und der Schweiz noch geltenden Datenschutzrecht beinhaltet der Entwurf der EU-Datenschutz-Grundverordnung erheblich gesteigerte Anforderungen an Unternehmen, die personenbezogene Daten verarbeiten, diese Daten technisch und organisatorisch gegen Verlust, Veränderung und Manipulation zu schützen. Waren bisher offene und eher allgemeine Formulierungen im Gesetz die Grundlage für die Verpflichtung der Unternehmen, personenbezogene Daten technisch und organisatorisch gegen Missbrauch zu abzusichern, bestehen dann detaillierte Vorgaben, wie diese Absicherung zu geschehen hat. Unternehmen werden daher zukünftig deutlich mehr Überlegung und Aufwand in die dann vorgeschriebenen Risikoanalysen, Verfahrensdokumentationen, Folgeabschätzungen und datenschutzfreundliche Techniken
investieren müssen. Hinzu kommen Nachweispflichten und Informationspflichten an die Aufsichtsbehörden im Fall von Datenpannen, die ausgeweitet wurden. Die in dem Verordnungsentwurf formulierten gesteigerten Anforderungen lesen sich in Teilen wie eine Antwort auf die Missstände und Regelungslücken der vergangenen Jahre:
Transparenz und Information: Neu sind umfangreiche datenschutzrechtliche Transparenz- und Informationspflichten. Datenverarbeitende Unternehmen müssen zukünftig beispielsweise genau vorgeschriebene standardisierte Datenschutzerklärungen nach einer Art „Ampelprinzip“ mit standardisierten Symbolen erstellen und leicht erkennbar und gut lesbar bereithalten. Bei der ersten Erhebung von Daten sind den betroffenen Personen zahlreiche weitere Mindest-Informationen mitzuteilen, wie z.B. die Zwecke der Datenverarbeitung, die getroffenen Datensicherheitsmaßnahmen und mögliche Datenübermittlungen an Dritte. Anders als unter der jetzt gültigen Rechtslage müssen die Unternehmen die Betroffenen im Fall von Datenpannen nicht nur benachrichtigen, wenn besonders sensible Daten betroffen sind, sondern in jedem Fall.
Compliance: Auf der technischen Seite sind die datenverarbeitenden Unternehmen weitreichender als bisher verpflichtet, technische und organisatorische Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten zu ergreifen und vor allem auch deren Einhaltung nachzuweisen. Die Compliance-Maßnahmen müssen mindestens alle zwei Jahre überprüft, ggf. aktualisiert und regelmäßig dokumentiert werden.
Technische Sicherheitsmaßnahmen: Die zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den Schutzzielen der Vertraulichkeit, der Integrität und Authentizität der personenbezogenen Daten. Die Unternehmen müssen eine Sicherheitspolitik etablieren, die auf der Grundlage einer Risikoanalyse die zahlreiche Punkte umfasst.
Datenschutz durch Technik: Darüber hinaus müssen Unternehmen sicher-stellen, dass die von ihnen zur Verarbeitung personenbezogener Daten ein-gesetzten Systeme und Prozesse von Beginn an datenschutzfreundlich aus-gestaltet sind („privacy by design“). Dabei sind insbesondere „dem gesamten Lebenszyklusmanagement personenbezogener Daten von der Erhebung über die Verarbeitung bis zur Löschung besondere Aufmerksamkeit zu schenken“ und der Schwerpunkt ist „systematisch auf umfassende Verfahrensgarantien hinsichtlich der Richtigkeit, Vertraulichkeit, Vollständigkeit, physischen Sicherheit und Löschung personenbezogener Daten“ zu legen.
Die Folgen abschätzen: In bestimmten Fällen sind nach der EU-Datenschutzverordnung Risikoanalysen und datenschutzrechtliche Folgenabschätzungen durchzuführen. Werden dabei besondere Risiken festgestellt, sind diese unter bestimmten Voraussetzungen der
zuständigen Datenschutzaufsichtsbehörde zu melden. Für die Folgenabschätzungen muss das gesamte „Lebenszyklusmanagement“ der personenbezogenen Daten einbezogen werden – vom ersten Schritt der Erhebung bis zur Löschung sind alle Schritte zu regeln. Die Verordnung gibt auch noch vor, welche Maßnahmen mindestens dabei zu berücksichtigen sind, wie z.B. eine Erklärung, welche Maßnahmen in Bezug auf den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen umgesetzt wurden. Die Folgenabschätzung muss dokumentiert werden, und darüber hinaus ist die Erstellung eines Plans für die regelmäßige Überprüfung der Einhaltung der Datenschutzbestimmungen
festzulegen. Auch muss die Folgenabschätzung „ohne unangemessene Verzögerung“ aktualisiert werden, wenn die Ergebnisse der Überprüfung der Einhaltung der Datenschutzbestimmungen „Unstimmigkeiten bei der Einhaltung“ aufzeigen.
Haftung: Für Unternehmen, die als Auftragsdatenverarbeiter für andere Unternehmen tätig sind, wird die Haftung verschärft. Neben generell strengen Anforderungen an den Einsatz von Auftragsdatenverarbeitern haftet mit der EU-Datenschutz-Verordnung neben der verantwortlichen Stelle (dem Auftraggeber der Datenverarbeitung) nunmehr grundsätzlich auch der Auftragnehmer gegenüber den Betroffenen auf Schadensersatz, sollte es zu Datenverlusten und der damit einhergehenden Verletzung von Rechten kommen.
Im zweiten Teil dieses Artikels gehen wir in Kürze auf die Auswirkungen des Gesetztes für KMUs ein und was unternommen werden muss.
Quelle: Sophos von Jörg Schindler