Die DSGVO – Wie Sie Risiken im Unternehmen minimieren
Die Zeit des Wartens ist vorbei. Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Mit ihr gehen wesentliche Veränderungen im Vergleich zur bisherigen Rechtslage einher. Die DSGVO reformiert vieles: Das betrifft sowohl inhaltliche Vorgaben für datenschutzrechtlich relevante Prozesse als auch Konsequenzen für Verstöße gegen diese Vorgaben. Insbesondere die Rechte von Betroffenen und der Umgang mit diesen Rechten unterliegen neuen Regelungen. Zudem enthält die DSGVO deutlich höhere Bußgelder für Verstöße, als es das bisher geltende Bundesdatenschutzgesetz (BDSG) vorgesehen hat. Unternehmen können das Risiko solcher Bußgelder vor allem vermeiden, indem sie die Transparenz- und Informationsvorschriften der DSGVO einhalten und im geforderten Umfang mit den Aufsichtsbehörden kooperieren.
Die DSGVO verfolgt das Ziel, die Datenschutzvorschriften der Mitgliedstaaten zu harmonisieren und ein einheitlich hohes europäisches Datenschutzniveau zu schaffen. Anders als viele andere Rechtsakte der EU soll die DSGVO daher wirklich Wirkung zeigen. Ein Forum-Shopping in Mitgliedstaaten mit besonders niedrigem Datenschutzniveau soll ausgeschlossen werden. Ob die Europa-Niederlassung von Facebook in Irland oder Deutschland liegt, soll nach der DSGVO keinen Einfluss mehr darauf haben, wie hoch die Bußgelder für Datenschutzverstöße ausfallen, solange die Datenverarbeitung einen Bezug zur Europäischen Union aufweist.
Wann ist eine Datenverarbeitung erlaubt?
Auch nach der DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich verboten. Nur, wenn ein spezieller Erlaubnisgrund vorliegt, ist eine solche Verarbeitung zulässig. Der wichtigste Erlaubnisgrund für die Verarbeitung personenbezogener Daten ist die Einwilligung des Betroffenen. Dies bedeutet jedoch dann ein Risiko für Unternehmen, wenn eine Einwilligung nicht ordnungsgemäß eingeholt wird oder die Grenzen einer ordnungsgemäß erteilten Einwilligung überschritten werden.
Eine Einwilligung stellt grundsätzlich eine vorherige Zustimmung in die Verarbeitung von Daten dar. Diese Einwilligung muss vom Betroffenen freiwillig erteilt werden. In diesem Zusammenhang sollten Unternehmen unbedingt das sog. Koppelungsverbot der DSGVO berücksichtigen. Dieses Verbot besagt, dass die Erteilung der Einwilligung dann nicht mehr als freiwillig gilt, wenn sie zur Voraussetzung für die Wahrnehmung einer (ansonsten) kostenlosen Dienstleistung gemacht wird. Beispiele sind Online-Gewinnspiele, bei denen die Anmeldung zu einem E-Mail-Newsletter zur Teilnahmevoraussetzung gemacht wird. Durch die Eingabe der E-Mail-Adresse ermöglicht der Betroffene dem Anbieter des Gewinnspiels dieses personenbezogene Datum (u. U. in Verbindung mit der IP-Adresse und dem Zeitpunkt der Anmeldung sowie weiteren personenbezogenen Daten) zu verarbeiten. Wird beispielsweise in einer Checkbox die Einwilligung des Nutzers zum E-Mail-Versand erfragt, ist es fraglich, ob diese Einwilligung noch freiwillig erteilt wurde, wenn ohne die Einwilligung die Teilnahme am Glücksspiel nicht mehr möglich ist. Unternehmen können in solchen und ähnlichen Konstellationen das Risiko von Bußgeldern senken, wenn sie den Nutzern transparent und leicht verständlich erklären, dass ihre Daten die "Gegenleistung" für die Teilnahme am Gewinnspiel darstellen, etwa weil Unternehmen diese Daten für Direktmarketingzwecke benötigen (Stichwort "Bezahlen durch Daten"). Wird der Nutzer dergestalt aufgeklärt, so spricht einiges dafür, dass das Koppelungsverbot dann nicht greift.
Darüber hinaus muss der Betroffene im Vorfeld der Einwilligung darüber aufgeklärt werden, in was er einwilligt (= informierte Einwilligung).
Der wohl größte Unterschied zwischen der DSGVO und der bisherigen Rechtslage besteht in den veränderten Transparenz- und Informationsvorschriften. Der Betroffene muss über die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle den Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung aufgeklärt werden. Weiterhin sind dem Betroffenen detaillierte Informationen über die Betroffenenrechte v. a. über Auskunft, Löschung, Widerspruch und Datenübertragbarkeit mitzuteilen.
Beruht die Datenverarbeitung auf automatisierter Entscheidungsfindung (Profiling), ist der Betroffene auch hierüber aufzuklären. Die erforderlichen Informationen sind dem Betroffenen sofort bei Datenverarbeitung zu übermitteln, also z. B. bei Registrierung, Anmeldung usw. Um das Risiko von unvollständig kommunizierten Betroffenenrechten und weiteren wesentlichen Informationen und damit das Risiko von Bußgeldern zu minimieren, sollten Unternehmen daher eine möglichst genaue und vollständige und dennoch leicht verständliche Datenschutzerklärung anfertigen.
Wesentliches Leitprinzip der DSGVO ist auch das Prinzip der Datensparsamkeit.
Bezüglich der Form der Information des Betroffenen enthält die DSGVO weitere Vorgaben, die bei der Erstellung der Datenschutzerklärung genau zu berücksichtigen sind. Die Informationen sind dem Betroffenen in "transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" zu präsentieren. Dabei lässt die DSGVO eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern müssen diese Informationen leicht verständlich übermittelt werden. Die Informationspflicht besteht nur dann nicht, wenn der Betroffene bereits vor der Datenverarbeitung über die erforderlichen Informationen verfügt.
Neben der Einwilligung in die Datenverarbeitung ist vor allem die Interessenabwägung wichtiger Erlaubnisgrund für eine Datenverarbeitung. Abgewogen werden dabei die Interessen des Verantwortlichen, also in der Regel des datenverarbeitenden Unternehmens und des Betroffenen. Folgt aus dieser Interessenabwägung, dass die Interessen des Unternehmens die Interessen des Betroffenen überwiegen, ist die Datenverarbeitung zulässig. Die DSGVO lässt dabei das Direktmarketing ausdrücklich als berechtigtes Interesse des Unternehmens zu. Unternehmen können Risiken von Bußgeldern vermeiden, indem sie tatsächlich eine Interessenabwägung vornehmen und diese auch vorbeugend dokumentieren. Bei der Interessenabwägung ist stets zu berücksichtigen, dass die DSGVO grundsätzlich ein hohes Niveau für den Schutz personenbezogener Daten anstrebt. Bei der Interessenabwägung wird auch berücksichtigt, ob Unternehmen die Daten für ihre Zwecke auch in einer datenschutzfreundlicheren Weise erlangen können, etwa indem Daten anonymisiert erhoben werden. Zudem ist wesentliches Leitprinzip der DSGVO das Prinzip der Datensparsamkeit, was ebenfalls in die Interessenabwägung einfließt. Auch im Falle einer Interessenabwägung haben Unternehmen zudem auf eine transparente Information der Betroffenen zu achten. Die Interessen des Unternehmens müssen so präzise wie möglich gefasst sein.
Welche technischen Vorgaben macht die DSGVO?
Die wohl wichtigsten technischen Vorgaben der DSGVO sind die Vorgaben für privacy by design und privacy by default. Bei der Gestaltung von Websites und Apps sollten Unternehmen diese Vorgaben dringend berücksichtigen. Grundidee dieser Konzepte ist der Schutz personenbezogener Daten durch entsprechende technische Vorgaben. Privacy by default stellt dabei eine besondere Kategorie des privacy by design dar und bezieht sich speziell auf technische Voreinstellungen, etwa in Browsern zum Ausschluss von Cookies. Auch Privatsphäreeinstellungen, Zugriffsrechte auf Bilder etc. bei Apps können technisch so voreingestellt werden, dass Betroffene zunächst den größtmöglichen Schutz ihrer Daten erhalten und dann selbst aktiv werden müssen, um etwa den Zugriff auf Bilder zu erlauben oder Posts öffentlich einsehbar zu gestalten. Ebenfalls soll durch privacy by default sichergestellt werden, dass Umfang und Menge der verarbeiteten Daten gering bleibt, Speicherfristen möglichst kurz sind und Daten nicht unberechtigt Dritten zur Verfügung gestellt werden. Für Unternehmen bietet es sich hier an, eigene Löschkonzepte zu entwickeln, die mit den Vorgaben der Betroffenenrechte korrespondieren. Die Löschung nicht mehr benötigter Daten kann dann automatisch erfolgen und die Vorgaben von privacy by default umsetzen.
Dagegen kann privacy by design auch auf vielen anderen Wegen, etwa durch besonders übersichtliche Websites mit deutlich erkennbaren Warnungen vor Datenschutzeingriffen etc. erreicht werden. Die Erwägungsgründe der DSGVO, die als Auslegungshilfe erhebliche Bedeutung erlangen können, beschreiben privacy by design u. a. mit Vorgaben durch die gewährleistet wird "dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern".
Privacy by design und default verfolgen das Ziel der Harmonisierung des mitgliedstaatlichen Datenschutzrechts, nicht nur in Bezug auf unterschiedliche Schutzniveaus in den Mitgliedstaaten, sondern auch, um dem technischen Fortschritt gerecht zu werden. Der aktuelle Datenskandal um Facebook verdeutlicht, dass die Konzepte von privacy by design auch in den Führungsetagen von Großkonzernen Einzug erhalten haben. Die öffentliche Wahrnehmung von Verstößen gegen die Grundsätze von privacy by design hat auch den Fokus der Aufsichtsbehörden geschärft, sodass Unternehmen hier unbedingt nachbessern sollten, falls noch Handlungsbedarf besteht.
Welche Betroffenenrechte gibt es?
Die Rechte des Betroffenen existieren in der DSGVO, um vor unrechtmäßigen Datenverarbeitungen zu schützen. Sie tragen dem Umstand Rechnung, dass Datenverarbeitungen nach der DSGVO grundsätzlich verboten sind und es vor allem der Entscheidung des Betroffenen obliegen soll, inwieweit sie dennoch erfolgen.
Das Recht auf "Vergessenwerden" oder Recht auf Löschung hat medial hohe Wellen geschlagen, nachdem einem Betroffenen das Recht eingeräumt wurde, von Google die Löschung von Hinweisen auf seine Person zu verlangen. Wichtig ist, dass Unternehmen, denen gegenüber von einem Recht auf Löschung Gebrauch gemacht wurde, binnen vier Wochen auf den Antrag reagieren. Um das Risiko von Bußgeldern zu minimieren, sollten automatisierte Verfahren installiert werden, um entsprechende Prüf- und Löschverfahren einzuleiten. Diese Verfahren sollten unbedingt auch Mechanismen enthalten, mittels deren andere Unternehmen darüber informiert werden, dass der Betroffene von seinem Löschrecht Gebrauch gemacht hat. Dieser Pflicht haben Unternehmen unverzüglich nach Ausübung des Löschrechts nachzukommen. Dabei müssen alle Links, Replikationen, Datenträger etc. vernichtet werden, mittels derer Zugriff auf die Daten genommen werden kann. Wichtigste Anwendungsfälle für das Löschungsrecht sind der Widerruf der Einwilligung, unrechtmäßige Datenverarbeitung oder Daten, die für den ursprünglichen Zweck nicht mehr benötigt werden, bspw. die Versandadresse bei einem einmaligen Online-Kauf.
Während darüber hinaus das Auskunftsrecht an die Informationsrechte anknüpft und die Rechte auf Berichtigung und Einschränkung der Datenverarbeitung weitere Fälle der unrechtmäßigen Datenverarbeitung betreffen und weitestgehend bekannt sind, enthält die DSGVO auch ein gänzlich neues Betroffenenrecht.
Das Recht auf Datenübertragbarkeit ist kein klassisches Betroffenenrecht im Sinne des Schutzes des Betroffenen gegen unrechtmäßige Datenverarbeitungen. Vielmehr beinhaltet es das Recht des Betroffenen, seine Daten in einem gängigen, maschinenlesbaren und elektronischen Format von einem Anbieter (etwa einem sozialen Netzwerk) zu erhalten und auf einen Anbieter zu übertragen. Zudem hat der Betroffene das Recht, eine solche Übertragung vom ersten Anbieter selbst vornehmen zu lassen. Um das Risiko für Bußgelder zu minimieren, müssen Unternehmen unbedingt die Voraussetzungen dafür schaffen, den Anforderungen an das gängige, maschinenlesbare und elektronische Format nachzukommen. Diese Anforderungen müssen zunächst darin münden, dass das Format interoperabel ist, wofür Unternehmen entsprechende Schnittstellen bereithalten müssen. Anerkannte Dateiformate dürften daher txt, rtf, Excel, csv, XML, HTML sowie OpenDocument/ODF darstellen. Das Recht auf Datenübertragbarkeit dient der Verhinderung von Monopolen und soll den Wettbewerb fördern.
Datenschutzbeauftragter und Datenschutzfolgenabschätzung
In Fällen, in denen das Risiko für die Verletzung der Rechte und Interessen von betroffenen Personen besonders hoch ist, müssen Unternehmen eine Datenschutzfolgenabschätzung durchführen. Ein solches Risiko besteht vor allem dann, wenn die Daten einer großen Anzahl von Personen (auch durch Profiling) oder besonders sensible Daten wie Gesundheitsdaten verarbeitet werden. Mittels der Datenschutzfolgenabschätzung sollen die Risiken für die Verletzung von Rechten des Betroffenen ermittelt und mögliche Maßnahmen zum Schutz dieser Daten erarbeitet werden. In Kooperation mit den Aufsichtsbehörden kann dann sowohl das Risiko für Datenverletzungen als auch für Bußgelder minimiert werden. Die Datenschutzfolgenabschätzung ist, soweit sie erforderlich ist, zwingend vor der Verarbeitung personenbezogener Daten durchzuführen. Die Datenschutzfolgenabschätzung ermöglicht nicht nur die Minimierung von Risiken, sondern auch die Dokumentation von Sicherungsmaßnahmen und trägt damit auch der Beweislastverteilung der DSGVO Rechnung. Da die Datenschutzfolgenabschätzung auch Maßnahmen berücksichtigt, die von den Aufsichtsbehörden vorgeschlagen werden, können die hohen Bußgeldzahlungen der DSGVO vermieden werden.
In engem Zusammenhang mit dem Konzept der Datenschutzfolgenabschätzung steht auch die Bestellung eines Datenschutzbeauftragten. § 38 BDSG (neu) verlangt grundsätzlich, dass ein Datenschutzbeauftragter bestellt wird, wenn mindestens 10 Personen mit der Verarbeitung personenbezogener Daten in einem Unternehmen beschäftigt sind. Allerdings ist auch geregelt, dass ein Datenschutzbeauftragter immer dann zu bestellen ist, wenn nach der DSGVO eine Datenschutzfolgenabschätzung durchzuführen ist.
Ein Datenschutzbeauftragter hat die Möglichkeit, die Einhaltung der Vorgaben der DSGVO zu prüfen und die Kooperation zwischen Unternehmen und Aufsichtsbehörden zu koordinieren. Auch auf diese Weise kann das Risiko von Bußgeldern erheblich minimiert werden.
Cyber-Attacken, Datenpannen und Meldepflichten
Trotz aller Vorsichtsmaßnahmen kann es zu Cyber-Attacken auf Unternehmen kommen. Die wohl größte Bedrohungslage stellen Spam-Mails, Mal- und Junkware, Drive-by-Exploits, Brute-Force-Angriffe, DDoS-Attacken, Phishing Mails und Ransomsoftware dar. Darüber hinaus kann es auch zu Datenpannen, etwa dem Verlust von Daten kommen. Aktuelle Studien haben ergeben, dass nur eine geringe Anzahl von Unternehmen auf solche Ereignisse vorbereitet ist. Neben technischen Konzepten zur Abwehr solcher Angriffe verlangt die DSGVO ein Konzept für Umsetzung der Meldepflichten, die in solchen Fällen existieren, zu installieren. Die Meldepflichten bestehen dabei einerseits gegenüber den Aufsichtsbehörden und andererseits gegenüber den Betroffenen. Unternehmen müssen für solche Fälle ein klares Konzept erarbeiten, aus dem hervorgeht, an wen Mitarbeiter, die einen Angriff oder eine Datenpanne bemerken, sich zu wenden haben und wie die entsprechende Kommunikation mit Aufsichtsbehörden und Betroffenen zu erfolgen hat.
Mitarbeiterschulungen
Die bisher dargestellten Vorgänge im Zusammenhang mit der DSGVO verdeutlichen, dass eine zentrale Rolle für die Einhaltung der Vorgaben der DSGVO den Mitarbeitern eines Unternehmens zukommt. Es sind in erster Linie die Mitarbeiter, die Einwilligungserklärungen vorbereiten, Interessenabwägungen durchführen, Datenpannen erkennen und in Kontakt mit Kunden treten. Sind Mitarbeiter über die wesentlichen Vorgaben der DSGVO informiert, sinkt das Risiko von Bußgeldern erheblich. Vor allem HR-Mitarbeiter und der Betriebsrat sind über die Vorgaben der DSGVO und des BDSG-neu zu unterrichten, da sie mit den personenbezogenen Daten von Bewerbern und Mitarbeitern in Kontakt kommen und dabei auch häufig Zugriff auf besonders sensible Daten wie Gesundheitsdaten haben.
Fazit und Handlungsempfehlung
Die DSGVO hatte eine lange Vorlaufzeit. Ihr Ziel, tatsächlich etwas zu bewegen, ist ihren hohen Bußgeldern von bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro deutlich zu erkennen. Die teilweise durch die DSGVO ausgelöste Panik ist jedoch unbegründet, wenn man die wesentlichen Vorgaben zu Erlaubnis und Verbot der Datenverarbeitung und transparenter Information der Betroffenen, auch auf technischer Ebene, berücksichtigt. Dennoch bleibt festzustellen, dass einige Vorgaben der DSGVO noch einer Konkretisierung durch die Rechtsprechung bedürfen. So ist bspw. unklar, welche Anforderungen genau an das "gängige, maschinenlesbare und elektronische" Format im Rahmen des Rechts auf Datenübertragbarkeit zu stellen sind. Unternehmen sollten daher auch stets die aktuelle Rechtsprechung verfolgen und ihre Praxis gegebenenfalls anpassen.