Wissenswertes zur EU-Datenschutzgrundverordnung (DSGVO)

Seit rund einem Jahr veröffentlichen wir zur kommenden EU-Datenschutzgrundverordnung (englisch GDPR = General Data Protection Regulation) immer mal wieder Informationen und haben dazu auch bereits Info-Veranstaltungen abgehalten. Was viele nicht wissen ist die Tatsache, dass die DSGVO bereits am 24.05.2016 in Kraft getreten ist, allerdings erst ab 25.05.2018 EU-weit anzuwenden ist. Das Thema ist also alles andere als brandneu und daher bin ich nach wie vor immer wieder überrascht, wie viele Unternehmen in unterschiedlichen Branchen und Größen das Thema leider auch jetzt noch nicht oder kaum auf dem Schirm haben bzw. sich der Konsequenzen daraus nicht bewusst sind.
Insofern möchte ich die wichtigsten Punkte dazu nochmals zusammenfassen. Hierbei sollte allerdings zwingend beachtet werden, dass ich weder Jurist noch Datenschutzexperte bin und die folgenden Angaben lediglich auf meinen Recherchen und bisherigen Erkenntnissen beruhen. Daher soll dieser Beitrag lediglich nochmals dazu dienen, für das Thema zu sensibilisieren und sich – sofern noch nicht geschehen – umgehend mit der DSGVO intensiv auseinander zu setzen und sich im besten Fall professionellen Beistand zu holen.
Daten und Fakten:
- Die kommende EU-Datenschutzgrundverordnung (DSGVO) wird das bisherige Bundesdatenschutzgesetz (BDSG) ersetzen.
- Die DSGVO gilt für alle Branchen und Unternehmensgrößen.
- Es wird hier keinerlei Übergangsfristen o. ä. geben, d. h. ab 25.05.2018 gilt die DSGVO vollumfänglich und ohne Einschränkungen, daher spricht man hier auch von einem sog. Fallbeileffekt!
- Während Bußgelder bei Datenschutzverstößen im Rahmen des bisherigen BDSG im Extremstfall bei EUR 30.000.- lagen, bewegt man sich bei den Strafen gemäß DSGVO in einem ganz anderen Strafrahmen:
- Bußgeldstufe 1: bis 10 Mio. EUR oder 2% des weltweiten Gesamt-Jahresumsatzes (Stufe 1 kann hier in etwa mit Fahrlässigkeit umschrieben werden).
- Bußgeldstufe 2: bis 20 Mio. EUR oder 4% des weltweiten Gesamt-Jahresumsatzes (Stufe 2 kann in etwa mit grober Fahrlässigkeit umschrieben werden.)
- Sehr wichtig: Im Unterschied zum aktuellen Stand nach BDSG, wonach erst ein Nachweis über einen Schaden erbracht werden muss, gilt für die DSGVO zukünftig eine sog. Rechenschaftspflicht. D. h. Unternehmen müssen auf Nachfrage Informationen zur Datenverarbeitung, Datensicherheit und den gespeicherten Daten vorlegen (können). Hier braucht man sicherlich nicht sonderlich viel Phantasie, um ableiten zu können, dass dies für manch einen ein neues/zusätzliches Betätigungsfeld erschließen kann….
Geltungs- und Anwendungsbereich der DSGVO
Es geht um die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von natürlichen Personen mit Wohnsitz in der EU oder “aufhältig” innerhalb der EU (z. B. Urlaub).
Dies gilt grundsätzlich für alle Unternehmen und Behörden mit Sitz, Niederlassung oder einem Auftragsverarbeiter innerhalb der EU. Aber auch in allen Fällen, in denen Daten von EU-Bürgern durch außereuropäische Verarbeiter (Unternehmen bzw. insbesondere Tool- Anbieter) im Zusammenhang mit dem Absatz von Waren und Dienstleistungen verarbeitet werden. Gerade letzteres ist besonders zu berücksichtigen, da hierunter so Dinge wie Google Analytics, Facebook sowie unzählige weitere Tools fallen.
So zeigt eine Studie von Martech, dass in Unternehmen durchschnittlich bis zu 91 verschiedene Tools für Marketing, Vertrieb, Prozessmanagement uvm. eingesetzt werden (!!!). Diese wiederum nutzen häufig vielschichtige Strukturen (Rechenzentrum A wird betrieben von B, für die dortige Sicherheit ist C zuständig usw).
Eine weitere Studie besagt, dass im letzten Jahr lediglich 18% der Unternehmen ein sog. 3rd Party Security Assessment durchgeführt haben. Darauf sollte die DSGVO in Zukunft sicherlich massive Auswirkungen haben.
Was aber sind eigentlich personenbezogene Daten?
Hier kann man grundsätzlich zwischen offensichtlichen und weniger offensichtlichen Daten unterscheiden.
Offensichtliche Daten:
- Name/Adresse
- Geburtsort
- Geburtsdatum inkl. Alter alleine
- Staatsbürgerschaft
- Arbeitgeber
- Telefonnummern
- E-Mail-Adressen
- Sozialversicherungsnummer
- Steuernummer
- Personalausweisnummer
- Kredit- und Bankkartennummer und -daten
- Krankenversicherungsnummer
- Bilder und Videos mit Aufnahmen der Person
Weniger offensichtliche Daten:
- Bonusprogramme
- Kundennummern
- Vorgangsnummern
- Reisebuchungsnummern
- Persönliche Gutscheinnummern
- KFZ-Kennzeichen
- Gesundheitsstatus
- Meldungen von Tracking-Tools (z. B. Smartwatches)
- Urkunden und weitere Nachweisdokumente
- Finanzstatus (insbes. Einnahmen und Vermögen)
Darüber hinaus sieht Art. 9 der DSGVO noch besondere Kategorien vor, deren Verarbeitung grundsätzlich nur mit expliziter Einwilligung möglich ist (es gibt jedoch sog. Erlaubnisvorbehalte für Gesundheitsvorsorge, Strafverfolgung und statistische Zwecke etc.):
- Rassische oder ethnische Herkunft
- Politische Meinung
- Religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische Daten
- Gesundheitsdaten (Labordaten etc.)
Wichtig!!!
“Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.” (Quelle: www.privacy-regulations.eu)
Daher gelten inzwischen auch dynamische IP-Adressen bzw. MAC-Adressen gemäß EuGH und BGH als personenbezogene Daten!
In der Konsequenz bedeutet dies, dass damit nahezu jeder Webseiten- bzw. Online-Shop-Betreiber unter die DSGVO fällt.
Grundsätze und Prinzipien der EU-Datenschutzgrundverordnung
Für die DSGVO gelten die nachfolgenden Grundsätze und Prinzipien:
- Rechtmäßigkeit und Verantwortlichkeit
- Fairness und Transparenz
- Zweckbindung und Datensparsamkeit
- Sachliche Richtigkeit und begrenzte Speicherung
- Datensicherheit, Integrität und Vertraulichkeit
- Datenschutzfreundliche Technikgestaltung (Privacy by Design)
- Datenschutzfreundliche Voreinstellungen (Privacy by Default)
Privacy by Design bedeutet dabei, dass man beispielsweise innerhalb einer App oder eines Softwaretool die Sicherheitseinstellungen und Optionen zu personenbezogenen Daten umfassend konfigurieren kann und das Tool in der Folge auch ohne umfangreiche Bereitstellung bzw. Übermittlung von (personenbezogenen) Daten grundsätzlich funktionsfähig ist.
Bei Privacy by Default sind etwaige Datenübermittlungen bereits im Standard deaktiviert bzw. es werden per se keine entsprechenden Daten übertragen.
Wesentliche Änderungen bei Datensicherheit und Datenschutz
Durch das bisherige Bundesdatenschutzgesetz (BDSG) gab es bereits umfangreiche Vorgaben in Bezug auf Datenschutz und Datensicherheit. Durch die neue DSGVO wird dies aber nochmals signifikant erweitert, wozu u. a. folgende Punkte gehören:
- Recht auf mehr Transparenz
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch
- Schutz vor automatisierter Entscheidung
- Meldepflichten gegenüber Aufsichtsbehörden und Betroffenen
- Umfangreiche Dokumentationspflichten
- Klare Anforderungen an die IT
In der Praxis bedeutet dies, dass Unternehmen zukünftig proaktiv ihre Interessenten und Kunden darüber informieren müssen, welche Daten wofür und wie lange erhoben werden. Kunden und Interessenten haben hier dann die Möglichkeit, die Löschung etwaiger Daten zu beantragen sowie Auskunft zu bekommen, wer die Daten sonst noch erhalten hat. Bei Löschung bzw. der Beantragung von Löschung muss allerdings berücksichtigt werden, dass etwaige Gesetzesvorgaben (Aufbewahrungspflichten) hier dennoch Vorrang haben. Sollte eine Löschung der Daten unverhältnismäßig sein, kann die Person in diesem Fall jedoch die Sperrung einer Weiterverarbeitung verlangen. Sofern eine Person Widerspruch gegen die Datenverarbeitung einlegt, dürfen etwaige Daten nicht mehr weiterverarbeitet werden.
Meldepflichten nach DSGVO
Auf die Meldepflichten muss zukünftig ganz besonders geachtet werden. So ist mit Inkrafttreten der DSGVO mit Bekanntwerden eines Verstoßes gegen die Verordnung unverzüglich und innerhalb von 72 Stunden eine Meldung gegenüber der zuständigen Aufsichtsbehörde und den Betroffenen zu machen. Dabei sind Wochenenden und Feiertage mit zu rechnen, d. h. ein Verstoß darf im Worst-Case nicht erst am nächsten Wochentag gemeldet werden!
Eine Datenschutzverletzung liegt nach Art. 4 Nr. 12 DSGVO stets vor bei einer „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.”
Im Unterschied zu § 42a BDSG gilt die Meldepflicht unter der Datenschutzgrundverordnung nach Art. 33 DSGVO nicht nur bei Datenpannen bzgl. bestimmter „sensibler“ personenbezogener Daten (wie etwa Gesundheits- oder Bankdaten), sondern bei jeglicher Verletzung personenbezogener Daten.
Mit der Meldepflicht einher geht eine umfassende Dokumentationspflicht gem. Art. 33 Abs. 5 DSGVO und zwar der Datenschutzverletzung, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen.
Verfahrensverzeichnis nach DSGVO
Mit Inkrafttreten der DSGVO entfällt die Pflicht, jedermann das (öffentliche) Verfahrensverzeichnis auf Antrag in geeigneter Weise verfügbar zu machen. Es gibt dann kein öffentliches Verfahrensverzeichnis mehr.
Ein internes Verfahrensverzeichnis nach DSGVO müssen sowohl Verantwortliche für den Datenschutz als auch Auftragsverarbeiter (natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten) führen in dem die nachfolgende Informationen hinterlegt sind.
Bei Unternehmen und deren Datenschutzverantwortlichen:
- Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
- Zwecke der Verarbeitung
- Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentierung geeigneter Garantien für den Datenschutz
- wenn möglich, vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
Bei Auftragsverarbeitern:
- Name und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten,
- Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation sowie die Dokumentierung geeigneter Garantien für den Datenschutz,
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).
Technische und Organisatorische Maßnahmen (TOM)
In Artikel 32 der DSGVO werden die technischen und organisatorischen Maßnahmen zur Erfüllung der Datenschutzgrundverordnung erläutert. Die wichtigsten Punkte daraus lauten dabei wie folgt:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
- Schnelle Wiederherstellung der Verfügbarkeit von Daten und Zugängen bei einem physischen oder technischen Zwischenfall.
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs
Vorgehensweise
Da die DSGVO nur zu einem Teil auf Cyber Security abzielt und hier insbesondere auch Prozesse und Personen/Mitarbeiter gefordert sind, sollte das Thema strategisch und vollumfänglich angegangen und abgedeckt werden. Die nachfolgenden Punkte können hierbei als Orientierung dienen:
- Analyse der bestehenden Systeme und der IT-Infrastruktur
- Analyse und Überarbeitung der Datenschutzprozesse und -Strategien im Hinblick auf die DSGVO
- Schulung und Sensibilisierung der Mitarbeiter (“Elephant in the room”, d. h. ein nicht unwesentlicher Gefahrenherd – häufig auch ganz unbewusst – sind hier die Mitarbeiter)
- Aktualisierung der Systemlandschaft (Patch Management)
- Einführung einer entsprechenden Verschlüsselungstechnologien (sofern noch nicht vorhanden)
- Intensive Prüfung neuer Software, Tools und ggf. auch Hardware in Bezug auf Datenschutz (3rd Party Data Security Assessment).
Bei Einführung und Aktualisierung der Maßnahmen der DSGVO kann ein Blick auf den sog. Data Security Lifecycle hilfreich sein, wonach sechs Stufen unterschieden werden:
- Erstellen: Wie werden Daten klassifiziert, wer ist Eigentümer?
- Speichern: Wo werden Daten abgelegt (Speicherort) und wie werden Sie geschützt?
- Nutzen: Wer darf in welchem Umfang Daten nutzen?
- Teilen: Wie findet ein Datenaustausch (intern/extern) statt und wie sensitiv sind die Daten?
- Archivieren: Wie wird die Verfügbarkeit im Rahmen der DSGVO garantiert?
- Löschen: Welche Methoden können genutzt werden, um Datenbestände gezielt und sicher zu löschen?
Ziele der EU DSGVO
Wie heißt es heutzutage doch so schön: “Daten sind das neue Gold!”. Um diesem Ausspruch auch von Seiten des Gesetzgebers zukünftig mehr Rechnung zu tragen, wurde die DSGVO entwickelt, mit der insbesondere folgende Ziele erreicht werden sollen:
- Schutz gespeicherter Daten in der Organisation
- Schutz bei der Übertragung von Daten
- Absicherung der Datenübermittlung zwischen zwei Speicherorten
- Blockierung/Einschränkung des Zugriffs auf bestimmte Daten
- Ermöglichung des sicheren Zugriffs auf Daten
- Gewährleistung sicherer Datenspeicherung von personenbezogenen Daten
- Gewährleistung einer sicheren Löschung (redundanter) Daten
Fazit
Die kommende EU-Datenschutzgrundverordnung bedeutet auf der einen Seite zwar – insbesondere bei der Implementierung im Unternehmen – ggf. einiges an Arbeit und Aufwand, allerdings kann damit für Kunden, Interessenten aber auch Mitarbeiter ein deutlich besserer und transparenterer Datenschutz gewährleistet werden, der – diverse Studien zeigen dies auch – bei entsprechender “Vermarktung” zu einer noch höheren Bereitschaft zur Abgabe von entsprechenden Daten führen kann (“Wenn ich weiß, welche Daten in welcher Form verarbeitet werden und hier ggf. Widersprechen kann, bin ich auch bereit mehr Daten/Informationen preis zu geben.”).
Naben technischen Vorgaben und Tools stellt die DSGVO aber insbesondere auch auf Prozesse und Mitarbeiter ab. Aus unserer eigenen Erfahrung wissen wir, dass gerade in diesen Bereichen häufig die größere Herausforderung und der höhere Aufwand liegen. Die ausgefeiltesten Technologien nutzen mir nur wenig, wenn beispielsweise sensible Daten in ausgedruckter Form frei zugänglich auf dem Schreibtisch liegen. Insofern muss für Mitarbeiter zukünftig besonderes Augenmerk und besondere Sorgfalt bei der Arbeit an und mit personenbezogenen Daten gelten und im Zweifelsfall Rücksprache mit dem zuständigen Datenschutzbeauftragten gehalten werden.
Autor

Als Geschäftsführer der TechDivision GmbH, einer der führenden Magento- und E-Commerce-Agenturen im deutschsprachigen Raum, beschäftigt sich Josef Willkommer seit vielen Jahren sehr intensiv mit E-Commerce und Online-Marketing. Darüber hinaus ist er als Chef-Redakteur des eStrategy-Magazins sowie als Autor diverser Fachbeiträge rund um E-Commerce und Online-Marketing auch journalistisch tätig. Neben diversen Beratungstätigkeiten für unterschiedlichste Unternehmen trifft man ihn bei diversen Fachkonferenzen auch als Speaker zu E-Commerce- und Online-Marketing-Themen.
www.techdivision.com
j.willkommer(at)estrategy-magazin.de
www.xing.com/profile/Josef_Willkommer