Original-URL des Artikels: https://www.golem.de/news/datenschutz-grundverordnung-was-unternehmen-und-admins-jetzt-tun-muessen-1803-133122.html    Veröffentlicht: 06.03.2018 12:01    Kurz-URL: https://glm.io/133122

Datenschutz-Grundverordnung

Was Unternehmen und Admins jetzt tun müssen

Ab dem 25. Mai gilt europaweit ein neues Datenschutz-Gesetz, das für Unternehmen neue rechtliche Verpflichtungen schafft. Trotz der nahenden Frist sind viele IT-Firmen schlecht vorbereitet. Wir erklären, was auf Geschäftsführung und Admins zukommt.

Als im Frühjahr 2016 der finale Text der neuen Datenschutz-Grundverordnung (kurz: DSGVO) veröffentlicht wurde, erntete die EU viel Zuspruch dafür. Die Verordnung sei "eine gute Nachricht für Verbraucher und Unternehmen", zeigten sich die Verbraucherschützer des VZBV (Verbraucherzentrale Bundesverband) überzeugt. Auch die EU-Kommission war voll des Lobes: Das neue Gesetz markiere einen "wichtigen Meilenstein" und sei "der Höhepunkt" für Europas Datenschutz.

Aber wie sieht es auf Unternehmensseite aus? Was müssen Admins und IT-Verantwortliche beachten, um nach dem 25. Mai weiterhin gesetzeskonform zu arbeiten? Trotz der nahenden Frist für die Einhaltung der neuen Regeln schleift die Umsetzung in der Praxis offenbar noch immer erheblich. "Nur rund jedes achte Unternehmen wird nach eigener Einschätzung bis zum Stichtag die Vorgaben der DSGVO vollständig umgesetzt haben", sagt der deutsche Verband der Digitalwirtschaft Bitkom. Und einer Umfrage des IT-Sicherheitsunternehmens Watchguard zufolge wissen fast die Hälfte von 277 befragten Unternehmen in Deutschland noch nicht einmal, ob die DSGVO für sie überhaupt greift.

Grund genug, die wichtigsten Neuerungen und Verpflichtungen für Unternehmen und Admins genau zu untersuchen. Denn wer den neuen Verpflichtungen nach dem 25. Mai nicht nachkommt, riskiert hohe Bußgelder. Auch wenn die häufig zitierten Maximalstrafen von 20 Millionen Euro beziehungsweise 4 Prozent des globalen Unternehmensumsatzes in der Praxis eher die Ausnahme bleiben dürften, können Bußgelder in Abhängigkeit der Schwere des Vorfalls und der Unternehmensgröße schnell an die Substanz gehen.

Was sind personenbezogene Daten?

Die DSGVO regelt, wie Unternehmen mit personenbezogenen Daten umgehen müssen. Die Verordnung fasst den Begriff der personenbezogenen Daten sehr weit. Beispiele für personenbezogene Daten nach DSGVO sind laut EU-Kommission neben Name, Anschrift und E-Mail-Adresse auch Ausweisnummer, Standortdaten, IP-Adressen, Cookie-Kennungen, Werbe-IDs und Gesundheitsdaten aus Krankenhäusern oder bei Ärzten, die zur eindeutigen Identifizierung einer Person führen könnten.

Grundsätzlich gelten alle Informationen als personenbezogen, die sich auf eine "identifizierte oder identifizierbare lebende Person" beziehen. Identifizierbar bedeutet, dass selbst wenn es auch nur theoretisch möglich ist, durch die Kombination verschiedener Teilinformationen bestimmte Personen zu identifizieren, diese Teilinformationen bereits ebenfalls personenbezogene Daten darstellen.

Dies betrifft Informationen der EU-Kommission zufolge auch personenbezogene Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person genutzt werden könnten. Erst wenn die Daten so anonymisiert wurden, dass auch mit größerem Aufwand keine Rückschlüsse mehr auf die betroffenen Personen gezogen werden können, gelten Daten als nicht mehr personenbezogen.

Wie schwer eine rechtssichere Anonymisierung großer Datenmengen ist, demonstrierte Netflix unfreiwillig schon vor über zehn Jahren. Die von dem Unternehmen veröffentlichten anonymisierten Filmbewertungen von rund einer halbe Million Kunden konnten von Forschern direkt mit öffentlichen Ratings der Internet Movie Database IMDb korreliert und ein Teil der Datensätze so Personen zugeordnet werden.

Ähnlich erging es vor einigen Jahren einem rund 20 GByte großen, eigentlich pseudonymisierten Datensatz mit Informationen über 170 Millionen Taxifahrten in New York. Wegen Fehlern beim Hashen sowie mit Hilfe zuvor bekannter Eigenschaften der pseudonymisierten Daten war die anschließende Deanonymisierung der betroffenen Taxis ein Kinderspiel. Auch deswegen verlangt die DSGVO, dass die Anonymisierung unumkehrbar sein muss, damit die Daten ihre rechtliche Eigenschaft der Personenbezogenheit verlieren.

Technische Vorgaben dazu, wie eine rechtssichere Anonymisierung oder Pseudonymisierung gelingen kann, enthält die DSGVO nicht. "Es gibt im Prinzip zwei Möglichkeiten", erklärt Rechtsanwalt Martin Schirmbacher im Gespräch mit Golem.de. "Entweder man entfernt identifizierende Merkmale wie etwa Namen oder Geburtsdaten oder man aggregiert die Daten so, dass man den Rückschluss auf eine Person nicht mehr ziehen kann." In jedem Fall empfiehlt Schirmbacher Unternehmen, die jeweils gewählte Anonymisierungstechnik ausgiebig zu dokumentieren. "Wie überall in der DSGVO ist eine transparente Dokumentation hier essenziell."

Keine Datenverarbeitung ohne Rechtsgrundlage

Grundsätzlich gilt in der DSGVO das sogenannte "Verbot mit Erlaubnisvorbehalt". Das heißt, jede Verarbeitung personenbezogener Daten ist verboten, es sei denn ein Gesetz erlaubt sie explizit. Es muss also stets eine Rechtsgrundlage her, von denen die DSGVO aber glücklicherweise bereits fünf bereithält. Die Frage, welche Rechtsgrundlage sich für welchen Anwendungszweck am besten eignet, ist heute noch schwer abschließend zu klären. Die Antwort hängt von der Art der Datenverarbeitung und insbesondere von der zukünftigen Rechtsprechung zur DSGVO ab.

Personenbezogene Daten dürfen grundsätzlich verarbeitet werden, wenn dies zur Erfüllung eines Vertrages oder aufgrund gesetzlicher Verpflichtungen notwendig ist. Dazu gehören beispielsweise Bestell- und Adressdaten von Kunden eines Onlineshops oder Daten, die aufgrund steuerrechtlicher Archivierungspflichten aufbewahrt werden müssen.

Weiterhin ist eine Datenverarbeitung wie bisher auch aufgrund eines "berechtigten Interesses" möglich. "Hierunter fallen nicht nur rechtliche, sondern auch tatsächliche, wirtschaftliche oder ideelle Interessen, die von der Rechtsordnung anerkannt werden", schreibt der Rechtsanwalt Henry Pohling. Dabei müsse ein solches berechtigtes Interesse in Zukunft aber von Fall zu Fall gegen "die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern", abgewogen werden.

Wie diese rechtliche Abwägung genau ausgestaltet werden wird, ist derzeit noch nicht vollständig absehbar. Pohling zufolge müssen die schutzwürdigen Interessen der Betroffenen die Interessen des Datenverarbeiters aber überwiegen, damit eine Datenverarbeitung unzulässig ist. Für eine Datenverarbeitung wie beim E-Mail-Marketing komme man aber mit dem berechtigten Interesse nicht weit, sagt Rechtsanwalt Schirmbacher. Handele es sich bei den Empfängern nicht ausschließlich um Bestandskunden, denen man das bereits erworbene Produkt noch einmal anbieten möchte, brauche es die Einwilligung der Betroffenen. Aber auch die hat in der DSGVO ihre Tücken.

Komplizierte Einwilligung

Personenbezogene Daten dürfen natürlich weiterhin auch dann verarbeitet werden, wenn dafür die Einwilligung der Betroffenen vorliegt. Diese ist jedoch unter den neuen Regeln der DSGVO viel schwerer zu bekommen, muss aufwendig belegt sein und kann jederzeit widerrufen werden. Zwar ist es nicht mehr nötig, eine Einwilligung per Schriftform einzuholen, eine digitale Einwilligung ist jedoch im Streitfall auch schwerer zu belegen. Sie sollte idealerweise in einer Datenbank einschließlich Datums- und Zeitangabe protokolliert sein. Technisch eignet sich dafür wie bisher auch ein per E-Mail versandter Bestätigungslink, auf den Nutzer klicken müssen, um so ihre explizite Einwilligung zur Datenverarbeitung mitzuteilen.

"Der Nachweis der Einwilligung muss konkret erfolgen", sagt Rechtsanwalt Schirmbacher. "Da reicht es nicht zu sagen, man hole ja immer Einwilligungen ein. Ich muss nachweisen können, dass jemand, der sich beispielsweise für einen Newsletter eingetragen hat, diesen Text angezeigt bekommen hat. Und wer seine E-Mail-Adresse eingetragen hat, hat auch eine Bestätigungsmail bekommen." Es sei zudem ratsam, die Bestätigungsmail einschließlich Datums- und Zeitstempel des Klicks auf den Bestätigungslink sowie die IP-Adresse der Betroffenen in einem ausdruckbaren Format zu speichern, um die Einwilligung gegebenenfalls beweisen zu können.

Informiert und freiwillig zustimmen

Darüber hinaus muss eine Einwilligung in informierter Weise unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen Handlung abgegeben werden. Das soll eine bloße implizite Zustimmung zum Beispiel durch das Nichtwegklicken eines vorausgewählten Häkchens oder einen anderen fehlenden Widerspruch (Opt-out) ausschließen. Entscheidend ist laut DSGVO eine eindeutige Handlung der Betroffenen.

Komplex ist die Einwilligung zudem, weil sie vollkommen freiwillig abgegeben werden muss. In der Praxis wird eine Freiwilligkeit wohl nur als gegeben gelten, wenn sich die Betroffenen in keiner Weise gedrängt oder gezwungen fühlen, eine Einwilligung abzugeben. Nur wer ohne Konsequenzen auch nein sagen kann, hat demnach wirklich freiwillig zugestimmt. In der Bewertung der Freiwilligkeit kann auch ein zum Beispiel in Onlineshops künstlich suggerierter Zeit- oder Knappheitsdruck eine Rolle spielen.

Auch wenn einige Kommentatoren ein absolutes Kopplungsverbot verneinen, scheint der Gesetzgeber doch verhindern zu wollen, dass Nutzer allzu leichtfertig in den Deal "kostenlose Dienste gegen persönliche Daten" einwilligen. Ein Anbieter eines kostenlosen E-Mail-Postfachs sollte jedenfalls in Zukunft gut argumentieren, wenn er Nutzer von seinem Angebot ausschließen will, weil diese der Verarbeitung ihrer Daten zu Werbezwecken nicht zustimmen wollen.

Dokumentations-, Nachweis- und Rechenschaftspflichten

Die neuen Verpflichtungen der DSGVO erschöpfen sich jedoch nicht in der Feststellung einer Rechtsgrundlage. Über das Dokumentieren von Einwilligungen hinaus müssen Unternehmen mit 250 oder mehr Mitarbeitern ein umfangreiches Verzeichnis aller dort stattfindenden Datenverarbeitungsvorgänge führen. Unter bestimmten Voraussetzungen kann diese Pflicht sogar für kleinere Unternehmen gelten.

Zwar macht die Verordnung keine Vorgaben dazu, wie ein solches Verzeichnis auszusehen hat, es ist aber ratsam, dieses im Zweifel eher zu detailliert zu führen. Zu jedem Datenverarbeitungsvorgang sollte festgehalten werden, auf welcher Rechtsgrundlage er durchgeführt wird, welche Art personenbezogener Daten zu welchem Zweck verarbeitet werden, auf welche Art und Weise sie gesammelt wurden und wie lange sie aufbewahrt werden. Die deutschen Landesdatenschutzbehörden stellen ein Musterverzeichnis über Verarbeitungstätigkeiten gemäß DSGVO zum Download zur Verfügung, an dem sich Unternehmen orientieren können.

Selbst in überschaubar großen Unternehmen mit einer limitierten Anzahl vorhandener Datenverarbeitungsvorgänge wird deutlich, dass ein solches Verzeichnis schnell beachtliche Ausmaße annehmen kann. Wer jetzt erst mit dessen Erstellung beginnt, ist bereits spät dran.

Weitergabe personenbezogener Daten und Outsourcing der Verarbeitung an Dritte

Insbesondere für IT-Unternehmen, Plattform- und App-Anbieter hält die DSGVO noch eine weitere Herausforderung bereit. Sobald personenbezogene Daten an Dritte zur Verarbeitung weitergegeben werden - sogenannte Auftragsverarbeitung -, sollte ein Auftragsverarbeitungsvertag her. Dieser regelt die Rechte und Pflichten des Auftragsverarbeiters und bestätigt, dass dieser ebenfalls DSGVO-konform arbeitet, wozu unter anderem wiederum ein eigenes Verzeichnis der Datenverarbeitungsvorgänge zählt.

Achtung: Schon das einfache Speichern personenbezogener Daten in einem S3-Bucket von Amazon oder in einer Dropbox gilt als Auftragsverarbeitung. "Bereits die Möglichkeit eines Zugriffs zum Beispiel durch einen Hoster reicht, damit man eine Datenverarbeitung annehmen kann", erklärt Martin Schirmbacher. "Wenn die Daten nicht verschlüsselt sind, fallen sie unter die Auftragsverarbeitung." Weitere Beispiele für eine Auftragsverarbeitung sind die Verwaltung von Kundendaten auf einer extern gehosteten CRM-Plattform, das Speichern von E-Mail-Adressen bei Mailchimp oder der Einsatz eines externen Projektmanagement-Dienstes wie Podio.

"Das ist an sich keine Katastrophe", sagt Schirmbacher. Auftragsverarbeiter müssten eben eine Vereinbarung anbieten, die die Kunden mit ihnen schließen können. Unternehmen, die personenbezogene Daten verarbeiten, sollten also bei der Auswahl ihres Cloud-Anbieters darauf achten, sich abzusichern. Auch hier gilt laut Schirmbacher: "Ich muss den Dienstleister ordentlich auswählen. Das heißt, ich muss mich selbst davon überzeugen, dass es technische und organisatorische Maßnahmen zum Schutz der Daten gibt und dass nicht jeder Praktikant in die Daten reinschauen kann."

Darunter könnten in Zukunft möglicherweise kleinere Cloud-Anbieter leiden, wenn es ihnen nicht gelingt, ihre Kunden von der Rechtssicherheit der Datenverarbeitung auf ihren Systemen zu überzeugen. Um den Prozess zu vereinfachen, bietet die niedersächsische Landesdatenschutzbeauftragte ein Muster für einen DSGVO-konformen Auftragsverarbeitungsvertrag auf ihrer Webseite zum Download an.

Permanente Auskunftspflicht

Über das sogenannte "Recht auf Vergessenwerden" in der EU wurde viel geschrieben und noch mehr gestritten. Die DSGVO gestaltet dieses Recht nun aus und kombiniert es mit einer Reihe weitreichender Pflichten für Verarbeiter personenbezogener Daten. Diese müssen zukünftig auf Anfrage einer Person nicht nur jederzeit Auskunft darüber geben, ob sie personenbezogene Daten über diese Person verarbeiten oder nicht. Unternehmen sind außerdem verpflichtet, auf Anfrage eine Kopie solcher personenbezogenen Daten zur Verfügung zu stellen.

Werden die betreffenden Daten auf elektronischem Wege verarbeitet, müssen solche Auskunftsersuchen auch auf elektronischem Weg gestellt werden können. Eine Postanschrift alleine ist in solchen Fällen also unzulässig. Insbesondere Unternehmen, die personenbezogene Daten einer großen Anzahl von Einzelpersonen verarbeiten, wie es bei den meisten Onlinediensten heute der Fall ist, sollten sich auf solche Anfragen technisch gut vorbereiten. Denn die DSGVO verpflichtet Datenverarbeiter, solche Anfragen "unverzüglich" zu beantworten, laut EU-Kommission grundsätzlich "spätestens innerhalb eines Monats nach Eingang des Antrags".

Einer repräsentativen Verbraucherumfrage zufolge geben zudem 55 Prozent der Befragten an, ihre eigenen Daten einsehen zu wollen und 59 Prozent sagen, sie hätten Interesse daran, Informationen löschen zu lassen. Für Entwickler ist es also ratsam, in ihrer Software bereits jetzt automatisierte Möglichkeiten für den individuellen Datenexport auf Anfrage von Nutzern vorzusehen. Liegen die ersten Auskunftsersuchen erst einmal auf dem Tisch, ist es für eine Umstellung möglicherweise zu spät.

Datenschutz "by Design" und "by Default"

Und noch einen weiteren Punkt sollten Produktentwickler und Programmierer berücksichtigen: Die DSGVO enthält erstmals die verpflichtenden Prinzipien des Datenschutzes durch Technikgestaltung ("by Design") und durch datenschutzfreundliche Voreinstellungen ("by Default"). Bei Ersterem handelt es sich um die Verpflichtung, bei der Verarbeitung personenbezogener Daten technische und organisatorische Maßnahmen zu treffen, um diese angemessen zu schützen.

Das kann laut DSGVO beispielsweise dadurch erreicht werden, dass die Verarbeitung personenbezogener Daten von Anfang an minimiert und solche Daten im System so schnell wie möglich pseudonymisiert werden. Außerdem sollten Entwickler unter Berücksichtigung des Stands der Technik entsprechende technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten zu schützen. Das könnte beispielsweise neue Messenger-Apps ohne zumindest eine Transportverschlüsselung in Zukunft ausschließen.

Das Prinzip des Datenschutzes by Default dagegen verpflichtet Entwickler, Standardeinstellungen in ihren Produkten und Programmen so zu setzen, dass "durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden", wie es in der DSGVO heißt. Bietet ein Browser beispielsweise an, Cross-Site-Tracking zu blockieren oder Cookies von Drittanbietern abzulehnen, müssten solche Optionen in Zukunft standardmäßig eingeschaltet sein, wenn die damit gesammelten Daten nicht für die Funktion des Browsers notwendig sind.

Neue Datenschutzerklärung

Wie bisher auch werden Unternehmen, die personenbezogene Daten verarbeiten, in der DSGVO dazu verpflichtet, Betroffene darüber in einer Datenschutzerklärung zu informieren. Neu sind die hohen Anforderungen, denen eine Datenschutzerklärung genügen muss: Alle Informationen müssen "leicht zugänglich, verständlich und in klarer und einfacher Sprache" abgefasst sein und "gegebenenfalls zusätzlich visuelle Elemente" enthalten, heißt es in der Verordnung. Angesichts der Menge an Informationen, die eine Datenschutzerklärung zukünftig mindestens enthalten muss, ist das alleine bereits eine enorme Herausforderung.

Informiert werden müssen Betroffene unter anderem über ihr Recht auf Auskunft bezüglich der über sie verarbeiteten Daten, ihr Recht auf Berichtigung derselben, ihr Recht auf Widerspruch gegen die Verarbeitung sowie ihre Rechte auf Vergessenwerden und auf Datenübertragbarkeit. Darüber hinaus müssen Betroffene natürlich über den Zweck und die Rechtsgrundlage der Datenverarbeitung aufgeklärt werden.

Als ob dies nicht schon schwierig genug wäre, müssen solche Informationen, wenn es sich zum personenbezogene Daten von Kindern handelt, aufgrund deren besonderer Schutzwürdigkeit so formuliert sein, dass sie auch von Kindern verstanden werden. Möglicherweise entwickelt sich wegen der DSGVO ein ganz neuer Berufszweig für "Datenschutzerklärungsformulierer" als eine Schnittmenge aus Juristinnen, Erziehern und Sprachwissenschaftlerinnen.

Fazit

Die neue DSGVO wird ab dem 25. Mai 2018 europaweit weitgehend einheitliche, insgesamt strengere Datenschutzregeln etablieren. Diese werden jedes Unternehmen und jede Organisation betreffen, die in irgendeiner Form personenbezogene Daten verarbeiten. Auch wenn die Rechtsgrundlagen, aufgrund derer eine solche Datenverarbeitung zulässig ist, viel Raum für verschiedene Verarbeitungszwecke lassen, sind die Anforderungen an die Verarbeiter erheblich gestiegen.

Die neuen Dokumentations-, Nachweis- und Rechenschaftspflichten, die Auskunftspflichten gegenüber Betroffenen und erst recht die Herkulesaufgabe einer DSGVO-konformen Datenschutzerklärung sollte jedes Unternehmen schnellstens in Angriff nehmen. Dazu gehört mindestens die Lektüre des Rechtstextes selbst beziehungsweise eines juristischen Ratgebers. Für die meisten Unternehmen empfiehlt sich außerdem die Hinzuziehung interner oder externer Rechtsberatung.

Bei der Vorbereitung auf die neue Rechtslage sollten neben der Geschäftsleitung und der Datenschutzbeauftragten auch die für die Umsetzung zuständigen Admins miteinbezogen werden. Zwar haftet bei Verstößen zuerst einmal das Unternehmen beziehungsweise die Unternehmensleitung, nicht der Sysadmin. Eine korrekte Umsetzung der Anforderungen der DSGVO ist aber ohne die Einbeziehung und Schulung der verantwortlichen Mitarbeiter nur schwer zu machen.

Die hohen potenziellen Strafen für eine Nichteinhaltung der neuen Regeln machen den Versuch, irgendwie unbemerkt unter dem Radar durchzufliegen, für Unternehmen zu einem riskanten Unterfangen.

Nachtrag vom 7. März 2018, 12:03 Uhr

Wir haben eine Ergänzung bezüglich der möglichen Verpflichtung kleinerer Unternehmen zur Führung eines Verzeichnisses von Datenverarbeitungstätigkeiten hinzugefügt.  (jaw)


Verwandte Artikel:
Facebook-Anhörung: Zuckerbergs Illusion von der vollen Kontrolle   
(11.04.2018, https://glm.io/133780 )
Europäische Union: Neue Hilfe für die Datenschutz-Grundverordnung   
(25.01.2018, https://glm.io/132379 )
Malware: Chef der Carbanak-Bande in Alicante festgenommen   
(26.03.2018, https://glm.io/133532 )
Verimi: Deutsche Konzerne starten Single Sign-on   
(10.04.2018, https://glm.io/133761 )
Sicherheit: Zugang zu 10.000 Kundendaten im ungesicherten Onlineshop   
(09.04.2018, https://glm.io/133727 )

© 1997–2018 Golem.de, https://www.golem.de/