Einheitliches Datenschutzrecht in Europa (2)
Die EU-Datenschutz-Grundverordnung ist seit Mai 2016 in Kraft und wird nach einer zweijährigen Übergangsfrist geltendes Recht. Die Verordnung ersetzt in den EU-Mitgliedstaaten die bislang geltende EU-Datenschutzrichtlinie aus dem Jahre 1995 und die in deren Umsetzung erlassenen nationalen Datenschutzgesetze. Mit dem 25. Mai 2018 wird sie auf Unternehmen und Behörden als Verantwortliche für die Datenverarbeitung unmittelbar anwendbar. IT-Administrator beleuchtet die wesentlichen Aspekte der DSGVO. Im zweiten Teil unserer Artikelreihe wenden wir uns unter anderem den nötigen technischen Maßnahmen zu.
Die Regelungen der Datenschutz-Grundverordnung (DSGVO) über die Datensicherheit sind zum Gutteil den inländischen Regelungen des Bundesdatenschutzgesetzes nachempfunden. Verlangt wird unter anderem ein angemessenes Datenschutzkonzept. Der Verantwortliche muss durch technisch-organisatorische Strategien und deren Umsetzung sicherstellen und nachweisen können, dass er die Verordnung einhält. Es besteht die Möglichkeit eines solchen Nachweises durch Zertifizierung oder die behördliche Genehmigung von Binding Corporate Rules (BCR).
Die technischen und organisatorischen Maßnahmen für die Datensicherheit sollen grundsätzlich auf Basis einer Risikobewertung erfolgen. Ähnlich wie im bereits aus dem Aktien- und Handelsrecht bekannten Teilbereich der "Corporate Governance" mit den dortigen Rechtspflichten für ein effizientes Risikomanagement (und ein hierauf bezogenes internes Kontrollsystem) soll diese Risikobewertung dokumentiert sein. Gleiches gilt für die ieraus abgeleiteten Maßnahmen in Bezug auf die IT-Sicherheit und insbesonere für von der IT ausgehende unternehmensgefährdende Risiken durch Datenverlust oder Verletzungen des Datengeheimnisses und des geschäftlichen Geheimnisschutzes.
Die Maßnahmen sollen dabei den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen sowie die technologische Entwicklung berücksichtigen. Eine frühzeitige und regelmäßige Soll-/Ist-Analyse mit Risikobewertung und mit einer entsprechenden Datenschutz- und Datensicherheits-Folgeabschätzung ist aus diesem Grund dringend anzuraten. Diese GapAnalyse ist ein wichtiger Baustein bei der Umsetzung der in der DSGVO postulierten Transparenz-, Dokumentations-, ADV- und Sicherheitsmanagementpflichten. In einem ersten Schritt der Gap-Analyse sollten alle von der Umsetzung der DSGVO betroffenen Organisationseinheiten und Prozesse und rechtlichen Einheiten identifiziert werden.
Datenschutz durch Technik
Die Datenschutz-Grundverordnung orientiert sich an den Maximen des "Datenschutzes durch Technik" ("Privacy by Design") und der "datenschutzfreundlichen Voreinstellungen" ("Privacy by Default", etwa bei Formularen und Erklärungen wie im Rahmen von Einwilligungen). Der Grundsatz des Datenschutzes durch Technik verlangt, dass der Datenschutz während des gesamten Lebenszyklus der Technologie "eingebaut" sein muss, von der frühesten Entwicklungsphase über ihre Einführung und Verwendung bis zur endgültigen Außerbetriebnahme. Die Ermittlung der Risiken und die hieraus abzuleitenden Maßnahmen zu deren Eindämmung sind also bereits im Vorfeld des Einsatzes der Technik konzeptionell zu entwickeln und dokumentieren. Sie müssen ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.
Es lassen sich insgesamt wichtige gemeinsame technische und organisatorische Standards wie Verschlüsselung, konfigurationsfehlerfreie Internet- und spezielle Sicherheitssoftware (Firewall, MalwareScanner, Intrusion Detection und Data Loss Prevention), Backup- und Information-Security-Management-Systeme, fortlaufend zu aktualisierende Datenschutz-/Datensicherheitskonzepte (inklusive Maßnahmen zur Angriffsprävention und Desaster Recovery/Business Continuity-Management) als Stand der Technik und Best Practice herausfiltern.
Angesichts des sprunghaften Anstiegs der Cyberkriminalität und der mit ihr verbundenen Milliardenverluste der Wirtschaft kommt hierbei in organisatorischer Hinsicht geeigneten Notfallplänen, in denen Reaktionen auf Angriffe und Desaster-Szenarien festzulegen und in regelmäßigen Abständen Notfälle testweise zu simulieren sind, besondere Bedeutung zu.
Die getroffenen technischen und organisatorischen Vorkehrungen sind zu dokumentieren und nach dem Maßstab des Standes zu bewerten, damit gegebenenfalls ein sachkundiger Dritter die umgesetzten Maßnahmen substanziell überprüfen und ein Gericht zu einem Urteil hinsichtlich der Verantwortlichkeiten im verkehrssicherungspflichtigen oder nebenvertraglichen Bereich gelangen kann.
Benachrichtigungspflichten bei Verstößen
Künftig muss jede Datenschutzverletzung grundsätzlich unverzüglich, spätestens jedoch binnen 72 Stunden nach Kenntniserhalt, den Aufsichtsbehörden gemeldet werden. Ausgenommen sind solche Fälle, in denen der Verantwortliche nachweist, dass kein Risiko für Rechte und Freiheiten der Betroffenen besteht. Will er Bußgelder ausschließen, muss er einen belastbaren Prozess für das Meldemanagement aufsetzen – oder grundsätzlich jede Datenschutzverletzung melden. Unternehmen müssen Verletzungen und entsprechende Risikoprognosen ohnehin ausnahmslos dokumentieren.
Ähnlich dem deutschen Vorbild in § 109a Telekommunikationsgesetz sind Verlautbarungspflichten ("Data Breach-Notifications") vorgesehen, vor allem bei Sicherheitsvorfällen. Eine Benachrichtigung der Betroffenen entfällt, wenn der Aufsichtsbehörde nachgewiesen wird, dass geeignete technische Sicherheitsvorkehrungen getroffen wurden. Bei ausreichenden Sicherheitsmaßnahmen und/oder regelmäßiger Verschlüsselung der Daten oder Beseitigung der Gefahr ist eine Meldung an die Aufsichtsbehörde nicht erforderlich. Die DSGVO gewährt also eine Privilegierung durch IT-Sicherheit.
Betriebliche und behördliche Datenschutzbeauftragte
Die Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB) geschieht künftig auf freiwilliger Basis, es sei denn, die Bestellung ist durch EU- oder nationales Recht gefordert. Dies ist freilich in den meisten EU-Mitgliedsstaaten der Fall, jedoch mit unterschiedlichen Eintrittsschwellen nach Unternehmensgröße. Deutschland wird die bisherige Verpflichtung zur Bestellung eines bDSB beibehalten. Öffentliche Stellen haben, sofern sie personenbezogene Daten verarbeiten, nun stets einen DSB zu bestellen.
Ebenfalls neu ist die Auferlegung einer Kontroll- und Überwachungsfunktion gegenüber dem Management anstelle der bisherigen (bloßen) Hinweispflicht. Die Rolle des bDSB wird mithin durch die DSGVO künftig gestärkt, wenngleich er auch weiterhin ohne Weisungskompetenz bleibt. Spiegelbildlich trifft allerdings – neben Management, CIO und Compliance-Officer – nun auch ihn ein Haftungsrisiko, sofern er seinen gesetzlichen und sonstigen Pflichten nicht ordnungsgemäß nachkommt.
Verschärfte Sanktionsmittel
Mit Inkrafttreten der Datenschutz-Grundverordnung drohen Unternehmen, ihrem Management (und gegebenenfalls auch den Kontrollgremien wie insbesondere dem Aufsichtsrat) und ihren Sonderbeauftragten für Compliance, Datenschutz und Informationssicherheit nochmals deutlich höhere Gefahren einer haftungsrechtlichen Inanspruchnahme als bislang.
Die DSGVO stellt allgemein die Forderung auf, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein müssen. Sie gibt den Bußgeldrahmen vor und erweitert gegenüber dem bisherigen Recht den Freiheitsstrafrahmen. Sanktionen sind im Ergebnis zumeist mit Haftung gleichzusetzen. Haftung impliziert im Falle der DSGVO die volle Bandbreite zivilrechtlicher und öffentlich-rechtlicher Sanktionen.
Umfasst sind vor allen Dingen Kriminalstrafen (Geldstrafe, Freiheitsstrafe), Verwaltungsstrafen/Bußgelder und Ordnungsmaßnahmen, die über die Unterlassung bestimmter (Geschäfts-) Handlungen und Datenverarbeitungsvorgänge bis zur Stilllegung des Betriebs führen können. Die Haftung kann sich auch auf natürliche Personen erstrecken. Beschränkt sich die Bußgeldforderung auf das Unternehmen selbst, wird das zuständige Kontroll- und Aufsichtsgremium freilich dennoch gehalten sein, Regressansprüche gegen die verantwortlichen Personen geltend zu machen.
Zivilrechtliche Ansprüche sind demgegenüber in der Regel auf Schadensersatz ausgerichtet. Ansprüche, die aus der Verletzung der DSGVO entstanden sind, beinhalten auch die reinen Vermögensschäden wie den entgangenen Gewinn, hierbei gibt es keinerlei Haftungshöchstgrenze. Der Berechnungsansatz für die Bußgelder, die aufgrund von Verstößen gegen die DSGVO verhängt werden können, ist der weltweite Konzernumsatz. Sie werden in zwei Stufen bemessen (wobei unter Umständen ersatzweise die Möglichkeit einer Freiheitsstrafe eröffnet ist). Auf Stufe 1 werden für allgemeine Verstöße (etwa gegen die DSGVO-Bestimmungen zur Auftragsdatenverarbeitung) bis zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes fällig, davon der höhere Betrag.
Auf Stufe 2 fallen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes an, davon der höhere Betrag. Dazu gehören die Verletzung der Grundsätze der Datenverarbeitung etwa bei unwirksamer Einwilligung, die Verletzung von Betroffenenrechten, Verstöße gegen Bestimmungen des internationalen Datentransfers, Regelungen von Mitgliedsstaaten wie etwa im Bereich des Mitarbeiterdatenschutzes sowie Nichtbefolgung von Anweisungen oder Auflagen.
Bisher reichten in Deutschland die Bußgelder nur bis 300.000 Euro bei materiellen Datenschutzverstößen und 50.000 Euro bei formellen Verstößen. Neu ist der Strafrahmen von bis zu drei Jahren Freiheitsstrafe für Fälle, in denen der Verantwortliche wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt.
Auswirkungen auf Industrie 4.0 und Big Data
Die Schlagworte Internet of Things (IoT) und Industrie 4.0 (I4.0) stehen vereinfacht dargestellt für neue, innovative Geschäftsmodelle, die möglich werden durch rasante technische Entwicklungen in den Bereichen Vernetzung von Endgeräten, autonome "Maschinenentscheidungen" durch Systeme der künstlichen Intelligenz (KI) und Auswertbarkeit großer Datenmengen durch hochleistungsfähige Computersysteme (Big Data/HPC). Die Auswertung und Steuerung solcher Systeme erfolgt durch Datenaustausche, die sich zumeist über Ländergrenzen hinweg vollziehen.
Big Data, I4.0 und KI-Verfahren müssen daher von vornherein international-datenschutzrechtlich bis ins Detail durchgeplant werden, dies insbesondere unter Einschluss der neuen datenschutzrechtlichen Verpflichtungen zu "Privacy by Design/Default" und der DatenschutzFolgeabschätzung. Etwas anderes gilt wie gesehen bei Aufhebung der Personenbeziehbarkeit. Da dies die absolute Anonymisierung "gegenüber jedermann" erfordert, bedarf es hierfür einer effektiven und zeitgemäßen Verschlüsselung und deren Dokumentation.
Bei den datenschutzrelevanten Handlungen, auf die die DSGVO Anwendung findet, handelt es sich um die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, wobei Unterkategorien der Verarbeitung die Speicherung, Übermittlung, Veränderung, Sperrung und Löschung sind und es sich bei dem Nutzungsbegriff um den Auffangtatbestand jeder sonstigen Verwendung handelt. Damit unterliegt die gesamte Datenverarbeitungs-Wertschöpfungskette den Datenschutzgesetzen, von der Generierung oder Erhebung bis zur Löschung.
Für das Design von KI, Big Data und I4.0-Prozessen ist ferner auf weitere bestimmende Prinzipien des EU-Datenschutzrechts Rücksicht zu nehmen, namentlich das grundsätzliche Verbot der Datenverarbeitung von personenbezogenen Daten mit Erlaubnisvorbehalt, den Zweckbindungsgrundsatz und die Notwendigkeit einer Rechtfertigung (Gesetz, Einwilligung), die wiederum in Wechselwirkung mit dem bestimmten Verwendungszweck steht. Dies bedeutet, dass eine Verwendung einmal vorhandener Daten zu anderen Zwecken oder die Zusammenführung von Daten mit Daten aus anderen Quellen oder jede Zweckänderun einer neuen, zusätzlichen Rechtfertigung bedarf.
Dies führt bei diesen Prozessen häufig zu Problemen, da Daten aus ihrem ursprünglichen Zweckzusammenhang gerissen, zusammengeführt, umstrukturiert und analysiert und damit neuen Nutzungen zugeführt werden müssen. Eine individuelle Einwilligung erscheint hier mit Blick auf die hohen Wirksamkeitshürden nicht praktikabel. Die Einwilligung wäre nur dann wirksam, wenn sie auf einer hinreichend informierten Grundlage erklärt wurde und den Bestimmungen des AGB-Rechts, vor allem dem Transparenzgebot, genügen würde. Als weiteres Manko kommt die jederzeitige Widerruflichkeit der Einwilligung hinzu.
Soweit also gesetzliche Rechtfertigungstatbestände zur Verfügung stehen, sollten diese für I4.0-Verfahren primär genutzt werden. Alternativ bedürfte es eines Vertragsmanagements, das gewährleistet, dass die jeweilige DV für die Anbahnung und Erfüllung eines Vertrages mit dem oder den Betroffenen erforderlich ist, sodass eine entsprechende Gestaltung der Vertragsbeziehungen zweites Mittel der Wahl ist. Erst wenn und soweit gesetzliche Rechtfertigungsbestände nicht eingreifen, sollte auf das Instrument der Einwilligung zurückgegriffen werden.
Fazit
Im ersten Teil unserer Artikelreihe zur DSGVO haben wir einen Blick in den Anwendungsbereich der Verordnung sowie die Frage, was personenbezogene Daten sind, geworfen. Doch zieht die DSGVO für Unternehmen auch technische wie organisatorische Maßnahmen nach sich, denen wir uns im zweiten Teil gewidmet haben. Besonders betroffen sind Branchen, die von Daten leben etwa im Bereich Big Data. Die Strafen sind jedenfalls im Vergleich zum vorherigen Datenschutzrecht deutlich gestiegen, weshalb Firmen im reinen Eigeninteresse die Bestimmungen zum Stichtag 25. Mai erfüllen sollten.
Dieser Rechtsbeitrag entstand mit Unterstützung der SEP AG. Der Autor Dr. Jens Bücking ist Rechtsanwalt und Fachanwalt für IT-Recht. Er ist Gründungspartner der Kanzlei e/s/b Rechtsanwälte sowie Fachbuchautor im IT-Recht und Lehrbeauftragter an der Hochschule für Technik in Stuttgart und als Associate Professor an der E.N.U. in Kerkrade, Niederlande tätig.
Dr. Jens Bücking/dr