Viele Regeln, wenig Neues
Von Ariane Rüdiger, freie Autorin (München)
Nach jahrelangem Gezerre wurde im Mai 2016 die EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet, die das europäische Datenschutzrecht vereinheitlicht und damit für sichere Geschäftsgrundlagen auf diesem Gebiet in allen europäischen Ländern sorgt. Nun haben deutsche Unternehmen und Rechenzentrumsbetreiber bis 25. Mai 2018 Zeit, die Regelungen umzusetzen. Dies dürfte deutschen Institutionen vielfach leichter fallen, da sie bereits die relativ strengen Regeln des deutschen Datenschutzrechts gewohnt sind. Allerdings konnte sich der „deutsche Standard“ nicht überall durchsetzen. So wurde die Größe der Unternehmen, die nun einen Datenschutzbeauftragten brauchen, erheblich heraufgesetzt – was jedoch nicht bedeutet, dass deutsche Firmen, die nach dem bis Juni 2018 geltenden Recht einen Datenschutzbeauftragten bestellt haben, diesen abschaffen sollten.
Geltungsbereich
Die EU-DSGVO gilt letztlich für jeden, der europäischen Kunden Güter oder Dienste über das Internet anbietet, und zwar auch dann, wenn in Europa gar keine Niederlassung oder Vertretung besteht. Solche Unternehmen müssen für die europäischen Behörden einen Ansprechpartner benennen. Daneben gilt die EU-DSGVO natürlich für alle Unternehmen und Institutionen, die in Europa aktiv sind, und sei es auch nur über einen einzigen Vertreter oder Handelspartner.
Einbezogen in die Regulierung sind folgende Daten: Rasse/ethnische Zugehörigkeit, politische Ansichten, Religionsangehörigkeit oder Weltanschauung, Mitgliedschaft in Gewerkschaften, Daten zu Gesundheit, sexueller Identität oder Orientierung. Für diese Daten gelten auch jetzt schon nach der EU-Datenschutzrichtlinie spezielle Regeln. Neu hinzu kommen in der EU-DSGVO biometrische Daten, soweit sie die Identifikation einer Person erlauben, und genetische Daten. Videos und Fotos sind dann erfasst, wenn sie die Identifikation von Personen erlauben. Zusätzliche Regeln in Mitgliedsländern sind möglich.
Die wichtigsten Änderungen auf einen Blick
Die folgenden Themen wurden gegenüber dem geltenden Recht vieler EU-Länder gravierend geändert und bedürfen daher unbedingt größerer Beachtung; in einigen Fällen allerdings ähneln speziell die in Deutschland geltenden strengen Regeln schon dem nun kodifizierten Recht, beispielsweise bei der Einwilligung. Diese Themen werden hier trotzdem angeführt, zumal Unternehmen häufig in mehreren Ländern Geschäfte machen und unter Umständen in nicht-deutschen Märkten die laxeren Auslandsregeln verwenden:
- Einwilligungsregelungen
- Datenbestände, auf die sich die Regulierungen beziehen
- Meldepflichten bei Zwischenfällen
- Verantwortung für Datenbestände
- Datenschutzkonzepte
- Mehr Rechte für die Kunden/Datensubjekte
- Strafzahlungen und andere Sanktionen
Einwilligung
Hier orientiert sich die EU-Verordnung stark am deutschen Recht und ähnlichen Rechtsordnungen: Ab 2018 ist zum Sammeln und verarbeiten von Daten eine individuelle, aktive Einwilligung gefordert. Sowohl die gesammelten Daten als auch die jeweils geplanten Verarbeitungszwecke sind dabei vollständig anzugeben. Eine allgemeine Zustimmung reicht nicht aus, genauso wenig wie ein irgendwo verstecktes Kästchen, das man anklicken soll, wenn man mit der Datenverarbeitung nicht einverstanden ist. Anwender müssen ihre Einwilligung außerdem genauso einfach und klar widerrufen können, wie sie sie erteilt haben, und müssen über dieses Recht auch informiert werden. Kommen später weitere Einsatzzwecke für die Daten in den Blick, ist eine weitere Einwilligung für den neuen Zweck nötig.
Wer also Daten zunächst nur für die eigene Statistik erhebt und dafür eine Einwilligung erhält, muss eine weitere Einwilligung einholen, wenn später geplant ist, die Daten zu verkaufen, und auch dann, wenn vorgesehen ist, weitere Daten in Erfassung und Analyse einzubeziehen. Auch diese Einwilligung kann verweigert oder zurückgezogen werden.
Wird eine Einwilligung zurückgezogen, gilt dies nicht nur für den, der die Einwilligung zuvor eingeholt hat, sondern auch für alle, die die entsprechenden Daten später von dieser Institution erworben haben und so weiter. Im Datenhandel braucht man also zukünftig das, was im Lebensmittelrecht über Jahrzehnte mühsam durchgesetzt wurde: einen lückenlosen Herkunftsnachweis der Daten, die in irgendwelche Analysen einfließen. Denn anders lässt sich im Ernstfall das europäische Recht nicht einhalten. Man darf gespannt sein, wie sich die Regeln auf so manches abenteuerliche Geschäftsmodell im Bereich Datenservices auswirken. Gerade diese Bestimmungen könnten angesichts der vielen neuen Technologien zur Datenanalyse und regem Datenhandel den Gerichten Arbeit bescheren.
Überhaupt nicht online einwilligungsfähig werden Kinder unter 13 sein. Hier ist auf jeden Fall die elterliche Einwilligung nötig. Zwischen 13 und 15 Jahren darf jeder Mitgliedsstaat gegebenenfalls eigene Regeln festlegen, ab dem vollendeten 16. Lebensjahr entscheidet der oder die Jugendliche generell allein.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe „Rechenzentren und Infrastruktur“. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Recht auf Löschung
Neu in der europäischen Rechtsordnung ist das Recht auf Löschung, das lange als „Recht auf Vergessenwerden“ durch die Gazetten und Debatten geisterte. Dieses Recht greift, sobald ein Individuum seine Zustimmung zur Datenverarbeitung widerruft oder die Verarbeitung nicht nach den festgelegten Regeln erfolgt ist. Im Fall von Rechtsunsicherheit können Individuen verlangen, dass ihre Daten nur eingeschränkt verwertet werden. Außerdem müssen Daten auch gelöscht werden, wenn sie den ursprünglich vorgesehenen Zweck erfüllt haben. Wer also Daten nur für eine einmalige Marketing-Aktion erhoben hat, muss sie anschließend löschen und darf sie nicht ohne zusätzliche Einwilligung in die dauerhafte Unternehmensstatistik eingliedern.
Die Löschpflicht gilt auch dann, wenn Daten weiterverkauft oder veröffentlicht wurden. Dann muss derjenige, der die Daten erhoben hat, alle nachgelagerten Nutzer über die Löschpflicht informieren. Mitgliedsstaaten können allerdings Ausnahmeregeln erlassen. Liegen bestimmte legitime Interessen vor (amtliche Statistik, Beweiszwecke im Rechtsverfahren, rechtliche Verpflichtungen etc.), gilt das Löschverlangen nicht.
Verwaltung und Schutzmaßnahmen
Unternehmen sind verpflichtet, Datenschutzmaßnahmen zu ergreifen. Die Pflicht, einen Datenschutzbeauftragten zu ernennen, erstreckt sich laut Verordnung auf öffentliche Einrichtungen, alle Organisationen, die Datensubjekte regelmäßig und systematisch überwachen oder in großem Umfang sensitive Daten oder Strafregister verarbeiten, und Institutionen, die das Sozialrecht dazu verpflichtet. Die Wahrnehmung der Aufgabe durch Externe ist möglich. Das deutsche Recht geht hier erheblich weiter. Weil deutsche Unternehmen ohnehin Mitarbeiter mit den umfangreichen Aufgaben rund um die EU-DSGVO betrauen müssen, sollten sie sich gut überlegen, ob sie einen vorhandenen Datenschutzbeauftragten abschaffen. Der Datenschutzbeauftragte wird den zuständigen Behörden gemeldet.
Stellt eine Form der Datenverarbeitung ein hohes Risiko für die persönlichen Rechte und die Freiheit betroffener Personen dar, weil beispielsweise ihre persönlichen Daten ständig automatisch und umfassend bewertet werden, ist eine Datenschutz-Risikoabschätzung, ein Privacy Impact Assessment (PIA) erforderlich. Dies dürfte bei vielen Big-Data-Geschäftsmodellen zutreffen, zum Beispiel bei Kredit- oder Versicherungsscorings, aber auch bei der externen Videoüberwachung zum Beispiel des Bereichs vor der Eingangstür von Geschäften. Ein PIA muss die Verarbeitungsaktivitäten und ihren Zweck beschreiben, die Angemessenheit des Umfangs in Relation zum angestrebten Zweck darstellen, die Risiken, die sich für die Rechte und Freiheiten der erfassten Personen ergeben, sowie die Maßnahmen, um diese Risiken gering zu halten, insbesondere Schutzmaßnahmen für die Personendaten in Übereinstimmung mit der Verordnung. Ein vorhandener Datenschutzverantwortlicher muss hinzugezogen werden. Das PIA wird einer zuständigen Behörde vorgelegt, bevor die Institution mit der Datenverarbeitung beginnt. Diese erklärt ihr Einverständnis oder gibt beratende Hinweise, wo noch Änderungen erforderlich sind und wie diese unter Umständen umgesetzt werden können.
Grundsätzlich muss Datenschutz schon in die Systeme eingebaut werden (Privacy by Design) und sich in den Voreinstellungen der Systeme widerspiegeln (Privacy by Default). Die aktive Zustimmung per Ankreuzen zur Datenverarbeitung ist dafür nur ein spezifisches Beispiel. Dazu gehört auch die sorgfältige Auswahl von Geschäftspartnern und Mitarbeitern. Eine weitere Standardmethode ist die Pseudonymisierung persönlicher Daten. Dabei werden die Daten so verändert, dass der Name als Zuordnungsfaktor eines Datensatzes durch ein anderes, anonymes Merkmal ersetzt wird, zum Beispiel eine laufende Nummer. Die Liste der Zuordnung zwischen Namen und Nummern wird getrennt von den eigentlichen Datensätzen aufbewahrt, sodass im Regelfall nicht aus den Daten auf eine Person geschlossen werden kann. Allerdings lassen sich die beiden Listen wieder zusammenführen, sodass eine Personalisierung der Daten nicht komplett ausgeschlossen ist. Das unterscheidet die Pseudonymisierung von der Anonymisierung, bei der eine Wiederherstellung der persönlichen Zuordnung nicht mehr möglich sein sollte.
Umgang mit Zwischenfällen
Kommt es zu Diebstahl, Verlust, Veränderung, Zerstörung oder unerlaubten Zugriffen auf persönliche Daten, haben Datenverantwortliche und Datenverarbeiter Meldepflichten. Bemerkt ein Verarbeiter einen Zwischenfall, muss er diesen unverzüglich an den Verantwortlichen berichten. Dieser wiederum muss den zuständigen Behörden berichten, und zwar ebenfalls unverzüglich, womit maximal 72 Stunden nach dem Zwischenfall gemeint sind, ansonsten ist eine gesonderte Begründung für die Verspätung nötig. Die Behörde kann die Verantwortlichen anweisen, die Personen, deren Daten von dem Zwischenfall betroffen sind, persönlich zu benachrichtigen. Diese Meldung darf nur unterbleiben, wenn die Daten verschlüsselt oder anderweitig so geschützt waren, dass Missbrauch ausgeschlossen ist, wenn keine Risiken für die Datensubjekte zu befürchten sind und wenn eine persönliche Adressierung unverhältnismäßig hohen Aufwand fordern würde, sofern es andere Möglichkeiten der Benachrichtigung gibt. Die Institutionen müssen darüber hinaus eine interne Liste von Datenzwischenfällen unterhalten. Die bisher in der EU geltenden Regeln für TK-Provider gelten wohl weiter.
Die Meldung an die Behörden muss die Art des Zwischenfalls enthalten, die Kategorie und Menge der betroffenen Daten und Dateien, die Kommunikation mit den betroffenen Personen, Name und Kontaktinformationen des Verantwortlichen oder Datenschutzbeauftragten, die vorhersehbaren Konsequenzen des Zwischenfalls und die ergriffenen Maßnahmen.
Verstöße und die Folgen
Nach der EU-DSGVO sind bei Zuwiderhandlungen gegen festgelegte Regeln empfindliche Strafen möglich. Davon betroffen sind Datenverantwortliche und Datenverarbeiter. Es gibt dabei zwei Level.
Die höchsten Strafzahlungen, nämlich bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes (jeweils das höhere) werden unter anderem fällig, wenn die grundsätzlichen Bedingungen für die Datenverarbeitung einschließlich der Einwilligungsregeln verletzt werden, die Rechte der Datensubjekte verletzt, Daten rechtswidrig in andere Länder transferiert oder Anordnungen der Behörden missachtet werden. Eine geringere Höchststrafe, nämlich bis zu 10 Millionen Euro oder 2 % vom Umsatz, wird verhängt, wenn die Einwilligungsregeln für Kinder missachtet, Datenverarbeiter nicht sorgfältig ausgewählt, Subdatenverarbeiter ohne Zustimmung des Datenverantwortlichen beauftragt und Datenzwischenfälle nicht berichtet werden, wenn kein Datenschutz bei Design/Default eingebaut, keine schriftliche Dokumentation aufbewahrt und nicht mit den Behörden kooperiert wird. Die Summe stellt nur den Maximalwert dar, geringere Strafen sind wie üblich nach Bewertung der Schwere des Zwischenfalles, des Maßes von Verschulden etc. möglich.
Dazu kommen gegebenenfalls Schadenersatzregelungen. Intern haftet der Datenverarbeiter lediglich für den Schaden, der durch die Verletzung seiner spezifischen Pflichten zustande gekommen ist, während der Datenverantwortliche für den gesamten Schaden verantwortlich ist, der durch unrechtmäßige Datenverarbeitung entstanden ist. In Hinblick auf die betroffenen Personen haften aber beide (Verantwortlicher und Verarbeiter) jeweils für den kompletten Schaden, damit eventuell betroffene Individuen mit hoher Wahrscheinlichkeit zu ihrem Recht kommen, beispielsweise wenn eine der beiden Parteien insolvent ist. Untereinander können sie dann später Geld voneinander verlangen, wenn das die Verteilung der Verantwortung nahelegt. Das Unternehmen haftet also auch dann gegenüber den Endkunden, wenn Daten verloren gegangen sind, weil der Rechenzentrumsbetreiber sein Datacenter nicht ordnungsgemäß gegen unbefugtes Eindringen geschützt hat und deswegen Daten entwendet wurden.
Zertifizierungen und Vereinbarungen
Eine weit größere Rolle als heute sollen in Zukunft Zertifizierungen und bindende Verhaltensregeln spielen. Entsprechende Codes of Conduct können beispielsweise Industrievereinigungen formulieren, müssen sie dann aber der Aufsichtsbehörde zur Prüfung, Registrierung und Zertifizierung vorlegen. Die Einhaltung solcher Verhaltensregeln, die für viele Themen formuliert werden können, spricht für die Einhaltung der entsprechenden Vorschriften der EU-DSGVO. Dass die Regeln eingehalten werden, sollen akkreditierte Gremien überwachen. Wer gegen solche Regeln verstößt, kann aus dem Teilnehmerkreis ausgeschlossen werden und müsste im Zweifel (also zum Beispiel bei gerichtlichen Verfahren) jeweils individuell die Einhaltung aller vorgeschriebenen Regeln nachweisen.
Gerade bei der Auswahl von Datenverarbeitern, aber auch für Datenverantwortliche selbst, könnten Siegel, Zertifikate und Ähnliches sehr viel wichtiger werden als heute. Der Erwerb von Zertifikaten etc., soll freiwillig sein, ihr Besitz aber für die Einhaltung der Regeln der Verordnung sprechen. Zertifikate sollen drei Jahre gültig sein und von entsprechend qualifizierten Zertifizierungsgremien vergeben werden. Eine zentrale, öffentlich zugängliche Liste derartiger Qualifikationen wird beim European Data Protection Board geführt (siehe unten).
Neue und alte Gremien
Die meisten Regelungen erfordern kein aktives Handeln von Unternehmen oder Institutionen, man sollte sie aber trotzdem kennen, zum Beispiel um die richtigen Berichts- oder Beschwerdewege einzuhalten.
Die nationalen oder gegebenenfalls regionalen Datenschutzbehörden (wie in Deutschland) bleiben bestehen, sie agieren unabhängig voneinander, müssen aber miteinander und mit der europäischen Ebene kooperieren und die Anwendung der EU-DSGVO überwachen. Gibt es mehrere nationale Datenschutzbehörden wie in Deutschland, muss eine dieser Behörden bestimmt werden, die die Schnittstelle zu den EU-Behörden bildet. Konflikte untereinander lösen die Aufsichtsbehörden durch ein in der Verordnung festgelegtes formelles Verfahren. Außerdem sollen die nationalen Behörden ihre Regierungen in Sachen Datenschutz beraten. Sie sollen die Ausbildung von Zertifizierungssystemen fördern und die Akkreditierungskriterien festlegen und publizieren. Die Mitglieder aller Gremien müssen fachlich kompetent sein und auf transparente Weise bestimmt werden.
Neben den nationalen gibt es eine übergeordnete EU-weit zuständige Datenschutzbehörde für länderübergreifende Angelegenheiten: das European Data Protection Board (EDPB). Die EU-Kommission ist im EDPB durch ein nicht stimmberechtigtes Kommissionsmitglied vertreten, ebenso alle beteiligten Länder. Das EDPB ist unabhängig, hat eine eigene Rechtspersönlichkeit und einen eigenen Vorsitzenden, zwei Stellvertreter und ein eigenes Sekretariat. Sie organisieren die Arbeit der Behörde und verwalten die Mechanismen für die Lösung zwischen Konflikten unter den nationalen Behörden. Die Behörde entscheidet mit einfacher Mehrheit, Vorgehensregeln und bindende Entscheidungen mit Zweidrittelmehrheit. Hauptaufgabe ist eine konsistente Anwendung der EU-DSGVO in der gesamten EU.
Die Behörden können zum Beispiel Datenverarbeiter oder -verantwortliche um Informationen ersuchen, Audits durchführen, Zugang zu Einrichtungen und Daten verlangen, Warnungen und Rügen herausgeben und Bußgelder verhängen, die Einhaltung der Verordnung verlangen, die Verarbeitung von Daten und grenzüberschreitenden Datentransport außerhalb der EU verbieten sowie Standardvertragsbedingungen und bindende Geschäftsregeln formulieren. Ihre Maßnahmen sind gerichtlich überprüfbar. Auch die Behörden selbst können die Gerichte anrufen. Ihre Arbeit müssen die Behörden in Jahresberichten dokumentieren.
Sind mehrere Länder betroffen, weil eine Institution oder ein Unternehmen in mehreren Ländern aktiv ist, bekommt in der Angelegenheit diejenige nationale Aufsichtsbehörde die Leitungsfunktion, in deren Zuständigkeitsbereich sich die Haupt- oder einzige Niederlassung dieser Einrichtung befindet. Bei Beschwerden ist das Land zuständig, in dem die Beschwerde stattfand oder die Regelverletzung ihre Wirkungen zeigt, sofern die Wirkungen vorwiegend auf das Land beschränkt sind. Die leitende Behörde entscheidet im Zweifel, ob sie eine Angelegenheit an sich zieht oder nicht.
Die leitende Behörde kann andere Behörden zur Mitarbeit auffordern, zum Beispiel für gemeinsame Ermittlungen. Sie muss die übrigen Behörden hinsichtlich ihrer Entscheidungen aber auch konsultieren. In dringlichen Fällen können die Informations- und Kooperationsregeln umgangen werden, etwa um Schaden abzuwenden.
Ohne Export nach Großbritannien?
Großbritannien gehört zu den wichtigsten EU-Märkten. Doch ob die EU-Verordnung dort jemals gelten wird, steht derzeit in den Sternen. Es liegt nun an den Ergebnissen des Austrittsprozesses, der gerade erst beginnt. Dann könnte Großbritannien frühestens 2019 die EU verlassen – genau ein halbes Jahr nach Inkrafttreten der EU-Verordnung. Die Verordnung könnte im Rahmen bilateraler Handelsverträge auch nach dem Austritt gelten, sofern sie in diese eingeschlossen wird, doch ob das geschieht, weiß heute keiner.
Der aus Unternehmenssicht denkbar umständlichste Fall wäre der, dass sich die EU und Großbritannien nicht über eine Paketlösung hinsichtlich Handel und Freizügigkeit einigen. Das könnte passieren, wenn Großbritannien auf Einschränkungen bei der Freizügigkeit von EU-Bürgern pocht, während die EU Handelsprivilegien nur dann gewähren will, wenn im Gegenzug auch Freizügigkeit besteht. Dann müssten für den Datenschutz ähnliche Vereinbarungen getroffen werden wie mit den USA (Privacy Act), ansonsten wäre der Transfer von Daten nach Großbritannien unter Umständen verboten.