Datenschutz-Grundverordnung – nur noch wenige Tage Zeit!
Am 25. Mai 2018 tritt die EU Datenschutz-Grundverordnung in Kraft, nachdem sie am 27. April 2016 beschlossen wurde. Die Übergangszeit ist damit also fast vorbei. Über den Inhalt und mögliche kurzfristige Handlungsempfehlungen wird aktuell viel berichtet, verstärkt auch noch durch den aktuellen Facebook-Skandal. Sind Sie mit der Umsetzung schon fertig, sind Sie mitten im Prozess oder haben Sie noch gar nicht angefangen? Neben hohen Risiken wie Geldbußen im Millionenbereich gibt es aber auch Chancen für Unternehmen, die Sie nun nutzen sollten.
Verantwortlich für die Umsetzung der Datenschutz-Grundverordnung sind neben der Geschäftsführung auch Datenschutzbeauftragte, Fachabteilungen und IT. In diesem Artikel werden für diese Rollen wesentliche Artikel kurz vorgestellt und Anregungen für die Umsetzung gegeben. Die Auszüge aus dem Gesetzestext sind entsprechend gekennzeichnet und teilweise verkürzt, für viele gibt es auch weitere Regelungen und Einschränkungen, die bei Bedarf nachzulesen sind [1].
Naturgemäß liegen wesentliche Aufgaben der Datenschutz-Grundverordnung beim Datenschutzbeauftragten, laut Artikel 39 unter anderem "Unterrichtung und Beratung des Verantwortlichen" sowie "Überwachung der Einhaltung dieser Verordnung".
Nach Artikel 4: "Begriffsbestimmungen" sind personenbezogenen Daten "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen". Einige Daten wie Name, Anschrift und E-Mail fallen sicher unter diese Definition, aber dies wird im Regelfall nicht ausreichen. Im Wiki der Datenschutzbeauftragten [2] werden unter anderem auch berufliche Gepflogenheiten und Praktiken, dynamische IP-Adressen und nicht aggregierte Daten für Statistiken als personenbezogene Daten aufgelistet. Auch die Kombination von einzeln an sich nicht relevanten Daten kann zur Identifizierung einer Person führen, beispielsweise listet eine Google-Suche nach FH Würzburg und Big Data als erstes Ergebnis den Autor dieses Artikels, der somit durch diese Kombination identifizierbar wird.
Der Datenschutzbeauftragte sollte also eine Liste von personenbezogenen Daten einschließlich Speicherorten und Zuständigkeiten in seinem Unternehmen pflegen, dabei mögliche Kombinationen von Daten berücksichtigen und die Relevanz der betrachteten Daten priorisieren, damit eine schrittweise Umsetzung geplant werden kann.
Artikel 25 beschreibt den "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" wie "Pseudonymisierung" und "Datenminimierung". Dabei ist sicherzustellen, "dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden" und "dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden".
Der Datenschutzbeauftragte sollte also zusammen mit den Fachabteilungen und der IT eine entsprechende Bestandsaufnahme von Verarbeitungszwecken, dafür erforderlichen Daten und deren Weitergabe erstellen, entsprechend prüfen und Daten möglichst minimieren bzw. pseudonymisieren lassen.
Artikel 30 fordert ein "Verzeichnis von Verarbeitungstätigkeiten", welches unter anderem "die Zwecke der Verarbeitung", "Kategorien betroffener Personen und der Kategorien personenbezogener Daten" und "wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien" enthält. Es genügt nicht, dass ein Unternehmen einfach auf die Einhaltung der Datenschutz-Grundverordnung hinarbeitet. Es muss auch in der Lage sein, diese Einhaltung nachzuweisen und den Weg zur Erfüllung der Vorschriften aufzuzeigen.
Der Datenschutzbeauftragte sollte also die Verarbeitung von personenbezogenen Daten im Unternehmen inkl. deren Kategorisierung und etwaiger Löschfristen detailliert dokumentieren und darauf vorbereitet sein, dieses Verzeichnis der Aufsichtsbehörde auf Verlangen zur Verfügung zu stellen.
Artikel 32 regelt die "Sicherheit der Verarbeitung", hier geht es um "Pseudonymisierung", "Vertraulichkeit", "Verfügbarkeit" und "Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung". Die Datensicherheit ist heute generell eine größere Herausforderung als je zuvor.
Der Datenschutzbeauftragte sollte also in seinem Unternehmen die Verpflichtung überwachen, Sicherheitsmaßnahmen zu implementieren, die den Schutz von sensiblen, insbesondere von personenbezogenen Daten verbessern.
Artikel 33 regelt die "Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde" "unverzüglich und möglichst binnen 72 Stunden", Artikel 34 die "Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person".
Der Datenschutzbeauftragte sollte also zunächst einmal prüfen, ob solche Verletzungen sicher erkannt und dokumentiert werden, und die entsprechenden Vorkehrungen falls erforderlich entsprechend erweitern und optimieren. Weiterhin sind Prozesse und Ablaufpläne vorzubereiten, um Aufsichtsbehörden und Kunden unverzüglich über Schutz-Verletzungen informieren zu können.
Der Artikel 35: "Datenschutz-Folgenabschätzung" gilt für "eine Form der Verarbeitung", die "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge" hat. Sie "ist insbesondere in folgenden Fällen erforderlich": bei der "automatisierten Verarbeitung einschließlich Profiling". "Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein."
Der Datenschutzbeauftragte sollte also mit den Fachabteilungen in einem ersten Schritt zumindest vorhandene oder geplante Profiling-Anwendungen erfassen, deren Risiko für die Rechte und Freiheiten natürlicher Personen bewerten und dann gegebenenfalls dafür eine Datenschutz-Folgenabschätzung durchführen.
Neben dem Datenschutzbeauftragten haben natürlich auch Fachabteilungen wie beispielsweise Marketing und Vertrieb Verantwortung im Bereich personenbezogener Daten. Einige Beispiele wurden schon genannt, einige weitere Verpflichtungen werden im Folgenden aufgezeigt.
Artikel 7 beschreibt "Bedingungen für die Einwilligung" der Verarbeitung personenbezogener Daten. "Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat." "Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, (…) so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen". Die Einwilligung muss bewusst und aktiv erteilt werden, "Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen."
Die Fachabteilungen sollten also zunächst die Erfüllung der revisionssicheren Nachweispflicht prüfen und evtl. ausbauen, etwa durch Speicherung im Stammdatensystem zusammen mit den Kundendaten. Weiterhin muss geprüft werden, ob die Form bereits erteilter Einwilligungen der Datenschutz-Grundverordnung entspricht, bei Abweichungen sind gegebenenfalls neue Einwilligungen einzuholen und Prozesse entsprechend anzupassen. Neben einer reaktiven Herangehensweise besteht aber natürlich auch die Option, neue Services mit leicht nachvollziehbarem Datenbedarf anzubieten, deren Zusatz-Nutzen Kunden überzeugt und zur Einwilligung der Verarbeitung ihrer personenbezogenen Daten bewegt. Dies sollte auch durch das Angebot von feingranularen Zustimmungs-Aspekten statt wie bisher häufig nur einer unflexiblen Ja/Nein-Option bei der Einwilligung flankiert werden.
Artikel 15 regelt das "Auskunftsrecht der betroffenen Person", insbesondere "Verarbeitungszwecke", "Empfänger", "geplante Dauer, für die die personenbezogenen Daten gespeichert werden", "Herkunft der Daten" und bei "einer automatisierten Entscheidungsfindung einschließlich Profiling" "aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person."
Die Fachabteilung sollte also bei einer Auskunfts-Anfrage die Speicherorte aller benötigten Daten kennen, diese einfach zusammenfassen und dem Kunden zuschicken können. Optimalerweise existiert diese 360 Grad-Kundensicht schon im Stammdatensystem. Falls nicht kann eine automatische Klassifizierung der Unternehmensdaten beispielsweise E-Mail-Adressen, Anschriften oder Telefonnummern erkennen und katalogisieren. Die Umsetzung des Auskunftsrechts kann neben der gesetzlichen Verpflichtung auch geschäftliche Vorteile bringen, ein besseres Kundenverständnis erlaubt auch optimierte Angebote und reduziert Kosten.
Artikel 16, das "Recht auf Berichtigung", geht einen Schritt weiter. "Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen."
Die Fachabteilung sollte also auch in der Lage sein, personenbezogene Daten zu ändern, natürlich erst nach fachlicher Prüfung der Richtigkeit. Hierbei empfiehlt sich eine Historisierung, also nicht einfach das Überschreiben der alten Datenwerte, sondern das Setzen eines gültig-bis-Zeitstempels beim bisherigen und eines gültig-ab-Zeitstempels beim neuen Wert. Dadurch können Analysen historischer Daten durchgeführt werden. Außerdem lassen Daten sich (im Gegensatz zum Überschreiben) zurücksetzen, falls Fehler in den neuen Daten bemerkt werden. Eine Herausforderung könnte das konsistente Berichtigen eines Datensatzes darstellen, der in verschiedenen Systemen redundant gespeichert wird, falls die Synchronisation von Änderungen nicht automatisch erfolgt, zum Beispiel über ein Stammdatensystem oder Replikation.
Noch einen Schritt weiter geht Artikel 17, das "Recht auf Löschung (Recht auf Vergessenwerden)". "Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden", falls entsprechende Gründe vorliegen. "Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht (…), so trifft er (…) angemessene Maßnahmen, (…) um für die Datenverarbeitung Verantwortliche … darüber zu informieren, dass eine betroffene Person von ihnen die Löschung (…) verlangt hat."
Die Fachabteilung sollte also auch Daten löschen können. Dies erfordert zunächst fachlich die Prüfung, ob entsprechende Gründe vorliegen und die Löschung überhaupt erlaubt wäre (Aufbewahrungsfristen, Vertragsverhältnisse). Auch technisch sollte geprüft werden, ob eine Löschung aus allen redundanten Speichermedien möglich ist, etwa bei Speicherung von Datenbank-Backups auf Magnetbändern. Bei einer Löschung stehen die Daten für zukünftige Analysen natürlich nicht mehr zur Verfügung, daher sollten mögliche Alternativen wie Anonymisierung der personenbezogenen Daten, Löschkennzeichen oder Aggregierung zu Gruppen geprüft werden. Auch eine Nachfrage beim Kunden mit dem Angebot eines interessanten Services bei Einwilligung zum weiteren Verarbeiten seiner Daten könnte durchgeführt werden. Neben der Löschung im eigenen Unternehmen müssen auch Fremdfirmen, an die die Daten weitergegeben wurden, über die Löschaufforderung informiert werden.
Artikel 20 regelt das "Recht auf Datenübertragbarkeit". "Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten".
Die Fachabteilung hat hier also das Risiko, Kundendaten an den Mitbewerb weitergeben zu müssen, aber auch die Chance, neue Kunden samt deren personenbezogener Daten-Historie zu gewinnen. Dies setzt fachlich voraus, dass Wechselangebote mit Kundennutzen erarbeitet werden, zum Beispiel Tarife, die bisherige geringe Risiken beim Beitrag berücksichtigen, Beibehaltung des bisherigen Gold-Status beim Mitbewerb oder Rabatte bei Neu-Umsätzen basierend auf der Kaufhistorie. Technisch müssen die vom Kunden mitgebrachten Daten dafür natürlich in die bestehenden Systeme eingepflegt werden können, was eventuell auch Anpassungen voraussetzt.
Artikel 22 regelt die "Automatisierten Entscheidungen im Einzelfall einschließlich Profiling". "Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden", es gibt "mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung".
Die Fachabteilung sollte beim Einsatz von Profiling also einen manuellen Prozess als Eskalationsstufe aufbauen, was durchaus auch als positive Werbung genutzt werden kann, etwa im Sinne von: Bei uns hat immer ein Mensch das letzte Wort und nicht die künstliche Intelligenz. Wenn, wie beim Einsatz von Neuronalen Netzen, Entscheidungen nicht immer nachvollzogen und erklärt werden können, bietet eine manuelle Prüfung im Einzelfall auch die Möglichkeit von Anpassungen und Justierung bei dadurch erkannten Fehlern.
Sowohl Datenschutzbeauftragte als auch Fachabteilungen benötigen natürlich häufig die Unterstützung der IT bei der Umsetzung der gesetzlichen Anforderungen. Viele Aspekte wurden bereits genannt, beispielhaft sollen folgende für die IT relevanten Beispiele vertieft werden.
Artikel 7: "Bedingungen für die Einwilligung" setzt voraus, dass das Setzen von Häkchen in Eingabemasken oder die Position von Schiebereglern in Apps, die die Einwilligung von Kunden zur Verarbeitung personenbezogener Daten definieren, dokumentiert werden. Dies sollte nachvollziehbar, unveränderbar und mit kompletter Historie geschehen. Über von der IT bereitgestellte Sichten nur auf personenbezogene Daten mit Einwilligung sollte sichergestellt werden, dass Analysen der Fachabteilung nur auf freigegebene Daten erfolgen können.
Artikel 15: "Auskunftsrecht der betroffenen Person" erfordert zunächst die Integration aller personenbezogenen Daten einschließlich verwendeter Logik bei Profiling in eine Datei im geeigneten Format, die dann über einen Workflow an den Kunden geschickt wird. Auch dies sollte dokumentiert werden, unter anderem aus Kostengründen, denn: "Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen."
Die Information von Kunden über die erfolgte Löschung kann ohne deren bereits gelöschte Adressdaten eigentlich nicht erfolgen.
Artikel 16: "Recht auf Berichtigung" impliziert eine Update-Möglichkeit aller für das Auskunftsrecht integrierten Kundendaten. Je nach Ablauf der Datenbewirtschaftung müssen die Updates verschiedener Teildaten eventuell in verschiedenen Systemen erfolgen. Bei einer redundanten Speicherung (beispielsweise in Quellsystem, Data Warehouse und Data Mart) sollten die Änderungen entweder zeitnah in allen Systemen erfolgen oder alternativ nur im führenden System, das dann aber automatisiert die Verteilung der Updates auf die anderen betroffenen Systeme übernimmt. Eine Historisierung der Änderungen mit Gültigkeitsdaten verschiedener Stände erlaubt Fehlerkorrekturen und Analysen der Vergangenheit.
Artikel 17: "Recht auf Löschung (Recht auf Vergessenwerden)" kann natürlich durch Löschung der Daten inkl. aller Redundanzen umgesetzt werden, was eine zukünftige Analyse dieser Daten ausschließt. Eine intelligente Pseudonymisierung personenbezogener Daten, die eine Identifizierung von Personen ausschließt, aber weiterhin Analysen ermöglicht, wäre eine sinnvolle Alternative. Komplexe Fragen wie der Umgang mit Backup-Tapes oder die Zulässigkeit von Löschkennzeichen (ohne echte Löschung der Daten) könnten erst durch die Rechtsprechung geklärt werden. Auch die Information von Kunden über die erfolgte Löschung kann ohne deren ja bereits gelöschte Adressdaten eigentlich nicht erfolgen.
Artikel 20: "Recht auf Datenübertragbarkeit" fordert ein strukturiertes, gängiges und maschinenlesbares Format. Dies könnte beispielsweise mit JSON oder XML umgesetzt werden. Neben den eigentlichen Daten werden auch beschreibende Metadaten erforderlich sein, eventuell werden sich hier zukünftig auch Austausch-Standards entwickeln. Wenn eine Übertragung über E-Mail wegen der Datenmenge nicht praktikabel erscheint, sollte über Speichermedien wie DVDs oder USB-Sticks nachgedacht werden. Auch der umgekehrte Weg sollte von der IT vorbereitet werden, also die Übernahme externer personenbezogener Daten vom Mitbewerb in die entsprechenden eigenen Formate und Systeme.
Artikel 30: Das "Verzeichnis von Verarbeitungstätigkeiten" beinhaltet – wenn möglich – vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien. Zunächst sollten diese Fristen festgelegt und dann abgespeichert werden. Bei Erreichung der Frist sollte eine automatisierte Löschung oder alternativ eine Pseudonymisierung erfolgen, eventuell nach vorgelagerter manueller Prüfung und Freigabe. Eine Löschung nicht mehr benötigter Daten reduziert natürlich auch operative Kosten. Um mögliche negative Auswirkungen für Analysen zu minimieren, könnten Daten so aggregiert werden, dass kein Personenbezug mehr hergestellt werden kann.
Fazit
Lesen Sie die Datenschutz-Grundverordnung am besten erst einmal selbst, bevor Sie sie sich von anderen erklären lassen. Sie ist auf Deutsch direkt von der EU verfügbar und mit 88 Seiten durchaus noch lesbar [1].
Bringen Sie alle Beteiligten – also Geschäftsführung, Datenschutzbeauftragte, Fachabteilungen und IT – an einen Tisch, diskutieren Sie die Stufen der Umsetzung und beginnen Sie mit der Dokumentation und der Implementierung. Jeder weitere Schritt ist besser als untätiges Abwarten!
Überlegen Sie, welche Teile der Datenschutz-Grundverordnung Sie intern in Ihrem Unternehmen umsetzen wollen und welche Daten und Verantwortlichkeiten Sie einem externen Auftragsverarbeiter übergeben wollen. Die Nutzung von externen Cloud-Angeboten und die Konzentration auf Ihr Kerngeschäft kann Sie von Risiken entlasten und interne Kapazitäten freisetzen, um proaktiv neue Chancen zu nutzen.
Gern können Sie die beschriebenen Aspekte mit dem Autor auf der CEBIT 2018 im IBM Pavillon 35 im Bereich Data Analytics diskutieren – Terminvereinbarung hier.