Wenngleich der 25. Mai 2018 und die dafür noch durchzuführenden Maßnahmen für viele noch in weiter Ferne erscheinen, zeigt eine Beschäftigung mit den Anpassungserfordernissen sowohl in fachlich/technischer Hinsicht als auch rechtlich, dass die Zeiträume sehr überschaubar sind. Von uns betreute Unternehmen, die hier frühzeitig mit der Umsetzung begannen, haben nun ausreichend Spielraum, weitere Anpassungen vorzunehmen.

Ein kleiner Erfahrungsbericht soll verdeutlichen, vor welchen Aufgaben ein Unternehmen in diesem Kontext steht. Wenngleich die Anforderungen sehr unterschiedlich sind, weil die Geschäftstätigkeiten wie auch -prozesse unterschiedlichen Bedürfnissen folgen, so kristallisieren sich doch diverse zentrale „Learnings“ aus solchen Projekten heraus.

Gute Vorbereitung und der Teufel im Detail

Unternehmen, die bereits aufgrund eigener Fortbildung sich intensiv mit der EU-DSGVO beschäftigt haben, bereits für das BDSG die Anforderungen erfüllten und auch über entsprechend geschultes Personal verfügen, benötigen nur sehr bedingt Erläuterungen zu den grundsätzlichen Anforderungen.

Wie immer steckt indes der Teufel im Detail. Bei der Verarbeitung von Kundendaten stellt sich stets die Frage, ob man hier mit einer Einwilligung gemäß Art. 6 Abs. 1 arbeiten möchte und dann entsprechend den Anforderungen an Einwilligung informiert hat und Freiwilligkeit folge leistet. Auch stellt sich die Frage unter welchen Voraussetzungen Alt-Einwilligungen mit Anwendung der EU-DSGVO fortgelten, wofür einiges spricht, gleichwohl es zwar Stellungnahmen der Landesdatenschutzbeauftragten gibt, aber nicht solche der Art. 29 Datenschutzgruppe.

Besonders zu beachten ist, dass eine Einwilligung nach Artikel 7 EU-DSGVO von dem Koppelungsverbot erfasst ist, sodass in Zukunft das Geschäftsmodell „Dienstleistung gegen Daten“ bzw. andere Vertragsabschlüsse oder Vorteile, die an Datenverarbeitung gekoppelt sind, kritisch zu überprüfen sind.

Meist ändert sich wenig an der Rechtsmäßigkeit der Verarbeitung von personenbezogenen Daten, sofern sie regelmäßig gemäß Art. 6 Abs. (1) lit. b) EU-DSGVO für die Erfüllung eines Vertrages erforderlich sind.

Im Detail stellen sich dann allerdings die Fragen nach den Grundsätzen privacy by default, die insbesondere die Prozesse und Technikgestaltung zur Datensparsamkeit und Datenvermeidung konkretisieren (vgl. Art. 25 EU-DSGVO), also welche Datenfelder wirklich für die Erfüllung eines Vertrages erforderlich sind.

Hat man dies ermittelt, bedarf es sodann der Erfüllung der Informationspflichten nach Art. 13f. vor der Erhebung von personenbezogenen Daten, wobei auch die Tatbestände nach dessen Abs. (2) bedeutsam sind:

Zum einen ist z.B. eine Information über die Dauer der Speicherung zu geben, zum anderen ist im Rahmen eines Datenlöschkonzepts dies auch entsprechend technisch zu hinterlegen. Da dies idealerweise automatisiert erfolgt, ist somit zu untersuchen, welche Daten beispielsweise auch aus steuerlichen Gründen aufbewahrt werden müssen, andere dagegen als nicht mehr vom Zweck getragen zu löschen sind.

Auftragsdatenverarbeitung, Garantien und dokumentierte Weisung

Eine weitere in der Praxis besondere Herausforderung stellt die Auftragsdatenverarbeitung (Auftragsverarbeitung) dar.

Als Verantwortlicher gelten zunächst für das Unternehmen die allgemeinen Anforderungen der Art. 24 und 25, deren Lektüre äußerst empfehlenswert ist. Hier einige Auszüge:

Artikel 24, Verantwortung des für die Verarbeitung Verantwortlichen, Abs. (1)

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Artikel 25, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Abs. (1)

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“

Die Auftragsdatenverarbeitung ist nunmehr in Artikel 28 geregelt, wonach nach dessen Absatz 1 der Auftragsverarbeiter hinreichende Garantien dafür zu bieten hat, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der getroffenen Rechte gewährleistet.

Ohne den gesamten Katalog und die Details aufzuführen, bedarf es hier – wie bisher auch – eines Vertrags über die Auftragsdatenverarbeitung, der insbesondere vorsieht, dass personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden und neben weiteren anderen Erfordernissen auch die Sicherheit der Verarbeitung nach Art. 32 sichergestellt ist. Insoweit empfiehlt sich auch hier speziell die Lektüre des Art. 28 Abs. 2 lit. a bis h, sowie Art. 32 [Hinweis: Link schalten].

Rechenschaftspflicht – Nachweis der Einhaltung der Anforderungen

In diesem Kontext von besonderer Bedeutung ist die Rechenschaftspflicht, wie sie in Art. 5 Abs. 2 kodifiziert ist:

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

 Dies bedeutet somit, dass das datenverarbeitende Unternehmen als Verantwortlicher hier die Einhaltung nachweisen muss. Hier findet sich eine bedeutsame Neuerung der EU-DSGVO, weil mit dieser Vorschrift eine Art der Beweislastumkehr eingeführt wird. Ohne Vorliegen einer geeigneten und belastbaren Dokumentation kann ein Nachweis über die Einhaltung der Anforderungen schon im Grundsatz nicht gelingen.

„Lackmustest“ für die Belastbarkeit des Gesamtkonzepts ist der Fall eines behaupteten Datenschutzverstoßes.

Hier hat das Unternehmen nachzuweisen warum und in welchem Umfang Daten eines Betroffenen gespeichert werden. Setzt das Unternehmen Auftragsdatenverarbeiter ein, hat es neben dem konzeptionell vorzusehenden Anforderungen an privacy by default auch die Einhaltung der Anforderung an die Auftragsdatenverarbeitung gemäß Art.28 in Verbindung mit Art. 32 konkret nachzuweisen. Kann dieser Nachweis nicht erbracht werden, stehen die bereits viel zitierten Bußgelder als auch die Durchsetzung zivilrechtlicher Ansprüche im Raum.
Helfen kann hier eine Zertifizierung durch das Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP).

Praktische Abwägung und Rechtssicherheit

Im Rahmen der Beratung ist indes zum gegenwärtigen Zeitpunkt auch klar darauf hinweisen, dass es eine hundertprozentige Sicherheit der Einhaltung datenschutzrechtlicher Vorgaben nach Einschätzung auch vieler anderer Kollegen kaum erzielen lassen dürfte, möchte man nicht ins uferlose reichende Implementierungskosten generieren.

In diesem Zusammenhang könnte man pointiert diskutieren, dass der EU-Gesetzgeber zwar unter Art. 12  Abs. 1 beispielsweise fordert, die Informationen über die Verarbeitung in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren einfachen Sprache zu übermitteln“.

Setzt man sich dann aber mit den vielfältigen Anforderungen des Art.13 auseinander, steht zu befürchten, dass der zu informierende Betroffene durch diesen „Belehrungs-Overflow“ diese gar nicht mehr zur Kenntnis nimmt, bzw. nehmen möchte.

Viele Themen noch ungeklärt

Zu vielen Fragen werden sich die zuständigen Datenschutzbehörden und die dann anstehende Jurisdiktion noch justieren müssen. Über die bewusst unklar gefassten Tatbestände, die Interpretation zulassen, wird sich zeigen, was beispielsweise unter „Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art des Umfangs der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere“ für Anforderungen geboten sind. Im Zweifel läuft dies stets auf eine Einzelfallentscheidung hinaus.

Nach diesseitiger Einschätzung dürfte es hier durchaus die auch bisher mit den zuständigen Datenschutzbehörden gelebte Abstimmung geben können. Empfindlich dürften allerdings Behörden darauf reagieren, wenn zu erkennen ist, dass ein Unternehmen die Umsetzung der Anforderungen nicht ernst nimmt, allen voran die Vereinbarungen über Auftragsverarbeitung löcherig sind, insbesondere dann, wenn eine Verarbeitung außerhalb der EU mit Ländern ohne vergleichbares Datenschutzniveau erfolgt. Die nunmehr in Art. 83 Abs. 5 genannten Bußgelder von bis zu 20 Millionen € oder bis zu 4 % des weltweit erzielten Jahresumsatzes wurden bereits mehrfach angesprochen

Zusammenfassend und abschließend gilt somit das eingangs Gesagte. Der Bedarf an Änderungen ist aufgrund einer Soll/Ist-Analyse festzustellen, ein Maßnahmenkatalog aufzustellen und das weitere Vorgehen zu definieren.
Sie hierzu auch EU-DSGVO – Die nächsten Schritte zur Umsetzung.

Beiträge zur EU-DSGVO