EU-Datenschutzgrundverordnung (DSGVO) im Überblick

Da die 2-jährige Übergangsphase für die seit dem 24.05.2016 geltende EU Datenschutzgrundverordnung am 25.05.2018 abläuft, wird es für Unternehmen Zeit sich mit dem Thema zu beschäftigen. Insbesondere für Unternehmen, die personenbezogene Daten EDV-basiert, z.B. über eCommerce Plattformen, verarbeiten sind davon betroffen.

Wir, die Firma Unit M, möchten aber explizit darauf hinweisen, dass es sich bei diesem Beitrag um KEINE Rechtsberatung handelt, sondern lediglich um eine Informationssammlung ohne Anspruch auf Vollständigkeit und inhaltliche Korrektheit handelt. Wer unter die Regelungen der DSGVO fällt sollte sich in jedem Fall zur DSGVO von einem Fachmann oder einem Rechtsanwalt beraten lassen.

Ziele der Datenschutzgrundverordnung (DSGVO)

Ein Ziel der DSGVO ist, das Thema Datenschutz auf europäischer Ebene zu harmonisieren. Darüber hinaus sollen die Rechte der betroffenen Personen besser geschützt werden. Ergänzend ist auch beabsichtigt, das Datenschutzrecht an die aktuellen technologischen Entwicklungen anzupassen.

Darüber hinaus ist der wesentlich Effekt für Unternehmen die Umkehr der Beweislast bei Datenschutzrechtsfragen. Zukünftig muss nämlich das Unternehmen nachweisen, dass es datenschutz-konform gehandelt hat. Wer also z.B. das Auskunftsrecht über die gespeicherten personenbezogenen Daten bei Mitarbeitern, Kunden oder Dienstleistern falsch oder garnicht beantwortet, riskiert empfindliche Strafen.

Dies, in Kombination zu den drastisch gestiegenen Strafen für Verstöße, sollte jedem klar machen, dass man sich dringend mit der DSGVO beschäftigen muss.

Wichtige Grundsätze der Datenschutzgrundverordnung (DSGVO)

Alles ist verboten, es sein denn es ist erlaubt

Die DSGVO sorgt erstmal dafür, das jeder Verarbeitung von personenbezogenen Daten verboten ist, es sei denn, das z.B. die Einwilligung des Betroffenen oder ein “gesetzlicher Ausnahmetatbestand” vorliegt. Ein “gesetzlicher Ausnahmetatbestand” ist z.B. die Erfüllung eines Vertrages, z.B. Bestellungen in einem Onlineshop.

Zweckbindung

Für jede Datenverarbeitung von personenbezogenen Daten gilt, dass im Vorfeld ein Verarbeitungszweck festgelegt sein muss und das bei der Datenverarbeitung der Grundsatz der Datenminimierung, also nur die Daten zu erheben, die für die Verarbeitung auch wirklich benötigt werden, einzuhalten ist.

Wichtig ist, dass, sobald dieser Verarbeitungszweck entfällt, alle personenbezogenen Daten zu löschen sind. Dies kann ebenfalls gelten, wenn der Zweck der Verarbeitung sich ändert. Eventuell muss hier vor der Verarbeitung einen neue Einwilligung des Betroffenen besorgt werden.

Datensicherheit

Die DSGVO fordert u.a., dass die Vertraulichkeit und die Integrität von personenbezogenen Daten gewährleistet sein muss. Zu diesem Zweck muss der Verarbeiter geeignete technische und organisatorische Maßnehmen ergreifen. Was dies im konkreten Fall bedeutet, läßt der Gesetzgeber aber offen. Es empfiehlt sich hier zwischen dem Stand der Technik, den Kosten und dem Schutzniveau der personenbezogen Daten abzuwägen.

Rechte der Betroffenen

Datenlöschung

Wenn z.B. folgende Voraussetzungen erfüllt sind, haben Personen das Recht das Ihre Daten gelöscht werden:

  • Die Datenverarbeitungszweck wurde erfüllt
  • Die Person widerruft Ihre Einwilligung zur Datenverarbeitung
  • Die Person legt Widerspruch gegen die Verarbeitung ihrer Daten ein
  • Die Daten wurden unrechtmäßig verarbeitet

Datenübertragung

Mit Einführung der DSGVO haben Personen das Recht, dass, z.B. bei einem Anbieterwechsel, die gespeicherten personenbezogenen Daten zum anderen Anbieter hin übertragen werden müssen. Auch hier ist unklar, wie z.B. mit vermischten Datensätzen umzugehen ist.

Auskunftsrecht

Mit Gültigkeit der DSGVO können Personen jederzeit Auskunft über die zu Ihnen gespeicherten Informationen verlangen. Im Wesentlichen sind dies die folgende Informationen:

  • Zweck zu dem die Datenverarbeitung erfolgt
  • Empfänger, an die die Daten weitergegeben worden sind
  • Geplante Speicherdauer der Daten
  • Offenlegung der Quellen für sonstige personenbezogenen Daten, die nicht von der Person durch Erfassung zur Verfügung gestellt wurden

Pflichten von Unternehmen

Risikoanalyse

Unternehmen sind zukünftig verpflichtet Risikoanalysen rund um die Verarbeitung von personenbezogenen Daten durchzuführen und auf der Basis des Risikos geeignete Schutzmaßnahmen zu ergreifen. Wichtig ist, dass darunter nicht nur Kundendaten, sondern alle personenbezogenen Daten, also auch z.B. die Mitarbeiterdaten, fallen.

Aus diesem Grund sind fast alle Unternehmen verpflichtet ein sogenanntes Verarbeitungsverzeichnis zu führen. Ausnahmen gelten nur für Unternehmen mit weniger als 250 Mitarbeitern, sofern die Verarbeitung von personenbezogenen Daten nur gelegentlich erfolgt. Diese Ausnahme können aber kaum Unternehmen für sich in Anspruch nehmen. Fehlt dieses Verzeichnis ist droht ein Bußgeld.

Das Verfahrensverzeichnis muss u.a. die folgenden Daten beinhalten:

  • Kontaktdaten der Verantwortlichen und des Datenschutzbeauftragten
  • Dokumentation des Zwecks der jeweiligen Datenverarbeitung
  • Auflistung von Empfängern, an die ggfs. die Daten weitergegeben werden
  • Vorgesehene Fristen für die Löschung

Diese Verfahrensverzeichnisse müssen zukünftig übrigens auch von allen Auftragsverarbeitern geführt werden.

Datenschutzbeauftragte

Auch wenn die DSGVO dies nicht explizit fordert, hat hier der deutsche Gesetzgeber die Regelungen verschärft und fordert z.B. für alle Unternehmen mit mehr als 10 Mitarbeitern einen Datenschutzbeauftragten zu benennen.

Um potentielle Interessenskonflikte zu vermeiden, dürfen u.a. folgende Personen nicht als Datenschutzbeauftragte benannt werden:

  • Mitglieder der Unternehmensführung
  • Leiter der Abteilungen Personal, Buchhaltung, Revision, IT und Recht
  • Externe Anwälte, sofern sie das Unternehmen in anderen als Datenschutzrechtsbelangen beraten

Datenschutzdokumentation

Die DSGVO beinhaltet ebenfalls zahlreiche Dokumentationspflichten. Dazu gehört z.B das Führen des oben erwähnten Verfahrensverzeichnisses und Regelungen über die Meldung von Datenschutzvorfällen.

Privacy by Design und Privacy by Default

Privacy by Design bedeutet, dass bei der Entwicklung und beim Betrieb aller Hard- und Softwarekomponenten darauf geachtet werden muss, dass alle zumutbaren technischen und organisatorischen Maßnahmen zu Datensicherheit und zur Datensparsamkeit ergriffen werden.

Privacy by Default fordert das möglichst wenig personenbezogene Daten verarbeitet werden dürfen.

Umgang mit Datenschutzverletzungen

Sofern Datenschutzverletzungen bekannt werden, müssen Unternehmen sich innerhalb von 72 Stunden nach Bekanntwerden bei den zuständigen Behörden gemeldet haben. Darüber hinaus sind alle betroffenen Personen unverzüglich zu informieren.

Beauskunftungspflicht

Die DSGVO gewährt Personen umfassende Rechte, um sich über die über sie gespeicherten Daten informieren zu können. Unternehmen sind deshalb zukünftig gefordert, die folgenden Informationen bereitzustellen:

  • Name und Kontaktdaten des für die Datenerhebung verantwortlichen
  • Die Kontaktdaten des Datenschutzbeauftragten
  • Die Zwecke und die Rechtsgrundlage der Verarbeitung
  • Empfänger der personenbezogenen Daten
  • Die Absicht der Übermittlung an ein Drittland oder einen internationale Organisation

Dokumentationspflicht

Alle oben aufgeführten Pflichten sind in einer geeigneten schriftlichen Form zu dokumentieren. Sofern hier externe Unternehmen, wie z.B. Steuerberater, Hoster oder Webagentur, eingesetzt werden, sind entsprechende TOMs (technisch und organisatorische Maßnahmen) mit jedem einzelnen zu treffen. Auch hier ist das Ziel das Risiko für die Rechte der betroffenen Personen möglichst zu minimieren.

Wann ist sind Schutzmaßnahmen ausreichend?

Der Gesetzgeber fordert, dass alle geeigneten Maßnahmen getroffen werden müssen, läßt hier aber Interpretationsspielraum, und benennt folgende Kriterien zu Bewertung der Angemessenheit:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • Eintrittswahrscheinlichkeit des Risikos
  • Schwere des Risikos

Das zwingt erstmal dazu, sich tatsächlich mit den Themen zu beschäftigen, da sich keine “einfache” Checkliste ermitteln lässt, die es ermöglicht das Thema DSGVO “abzuhaken”. Auf der andere Seite fordert der Gesetzgeber aber zum Glück auch nicht den bestmöglichen Schutz.

Für die Interpretation der Kriterien hier einige aus unserer Sicht geeignete Ansatzpunkte:

Stand der Technik

Hieraus ist abzuleiten, dass die getroffenen Maßnahmen regelmäßig überprüft werden müssen, denn der Stand der Technik ändert sich. Es sagt aber auch, dass der Fokus auf etablierten Technologien liegen soll. Das heißt umgekehrt aber auch, dass keine Maßnahmen erforderlich sind, die sich noch in der Entwicklungs- oder Testphase befinden.

Implementierungskosten

Hieraus läßt sich ableiten, dass Wirtschaftlichkeit auch hier vom Gesetzgeber als Leitlinie akzeptiert wird. Dazu ist es wichtig den Wert einer Information zu ermitteln und sich daran bei den Schutzmaßnahmen zu orientieren. Eine DSGVO relevante Information, die einen Wert von 1.000.000 € hat mit 100 € zu schützen ist sicherlich nicht angemessen. Dies gilt aber auch umgekehrt.

Informationsverarbeitung

Die verarbeitungsorientierten Risiken sind z.B. wenn Personendaten unbeabsichtigt oder unrechtmäßig vernichtet, verloren oder verändert werden. Darüber hinaus ist eines der zu beachtenden Risiken, die unbefugte oder unbeabsichtigte Offenlegung von Informationen.

Eintrittswahrscheinlichkeit des Risikos

Diese läßt sich z.B. anhand der folgenden Parameter ermitteln:

  • Dauer der Speicherung
  • Zahl der Personen, die Zugriff auf diese Informationen haben
  • Bewertung ob ein unberechtigter Zugriff zu finanziellen Verlusten, einer Rufschädigung oder gesellschaftlichen Nachteilen für den Betroffenen führen können.

Schwere des Risikos

Die Schwere des Risikos lässt sich anhand der Schadenshöhe, ermitteln. Diese steigt übrigens i.d.R. proportional damit, wie sensibel die Informationen sind. Als besonders sensibel gelten übrigens medizinische Daten, genetische Daten, sowie Daten über strafrechtliche Verurteilungen. Darüber hinaus gelten auch die Daten von Kindern als besonders sensibel.

Was sind geeignete Maßnahmen?

Hier möchten wir auf Art 32 Abs. 1 der DSGVO verweisen. Hier ist eine nicht abschließende Liste mit vier Maßnahmenarten aufgeführt, die zu treffen sind:

  1. Pseudonymisierung und Verschlüsselung personenbezogenen Daten.
  2. Fähigkeit die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme imd Dienste ins Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
  3. Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
  4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Pseudonymisierung ist erfüllt, wenn Personendaten so verarbeitet werden, dass sie ohne zusätzliche Informationen nicht mehr mit einer konkreten Person zu verbinden sind. Vertraulichkeit ist i.d.R. durch Zutritts, Zugriffs- oder Zugangskontrollen oder Verschlüsselung sicherstellbar. Die Integrität von Daten kann mittels Verschlüsselung, VPN basiertem Zugriff oder elektronischer Signatur sichergestellt werden. Verfügbarkeit bedeutet Schutz gegen mutwillige Zerstörung z.B. durch Firewall, Virenschutz und Backups. Belastbarkeit soll z.B. die Funktionsfähigkeit auch bei sogenannten “Denial of Service” (DOS), z.B. durch den Einsatz von CDNs oder Loadbalancern, regeln.

Fazit

Die Datenschutzgrundverordnung (DSGVO) ist mit Ihren umfassenden Änderungen nicht auf die leichte Schulter zu nehmen. Erstaunlich ist, das aktuell sich immer noch so wenig Unternehmen auf diese Verordnung vorbereitet haben.

Betroffen sind auch z.B. die Benutzer von Clouddiensten jeglicher Form. Als Nutzer ist man zukünftig verpflichtet das Erfüllen der Anforderungen der DSGVO durch geeignete technische und organisatorische Maßnahmen zu prüfen.

Wir haben für uns übrigens die Entscheidung getroffen, das Thema Datenschutz bei uns in professionelle Hände zu legen. Seit 2018 hat die Firma Unit M einen zertifizierten Datenschutzbeauftragten, der das Thema Datenschutz für uns und unsere Projekte fachlich versiert betreut.

Betreiber von eCommerce Lösungen sollten sich darüber hinaus an die Hersteller wenden und um Unterstützung bitten. Viele Hersteller, wie z.B. unser Partner oroCommerce, haben sich aber bereits vorbereitet und stellen eigene Unterlagen zum Thema DSGVO oder GDPR zur Verfügung.