Security-Lösungen auf der it-sa 2017

Frage der Organisation

Umsetzung der EU-Datenschutzgrundverordnung

Den Überblick behalten

Quelle: Eset

Die Europäische Datenschutzgrundverordnung (EU-DSGVO) verfolgt mehrere Ziele. Dazu gehört einerseits die Schaffung eines einheitlichen Datenschutzniveaus in allen EU-Mitgliedstaaten – was auch als Beitrag zu gleichwertigen wirtschaftlichen Bedingungen verstanden werden kann. Andererseits geht es um die Modernisierung des Datenschutzes angesichts rasanter technischer Entwicklungen – aber auch um die Verbesserung des Grundrechtsschutzes. Wichtig: Die hier gemachten Ausführungen beziehen sich immer auf personenbezogene Daten.

Gültigkeit

Damit die Europäische Datenschutzgrundverordnung (EU-DSGVO) auch zügig in allen Mitgliedsländern der EU umgesetzt werden kann, haben die Verantwortlichen eine passende Form gefunden: Mit einer unionsrechtlichen Verordnung wird dieses Ziel erreicht, da Verordnungen in den Mitgliedstaaten ohne Mitwirkung der nationalen Gesetzgeber unmittelbare Wirkung entfalten. Das wäre beispielsweise bei Richtlinien wie der bislang geltenden „ Datenschutzrichtlinie“ anders. Hier müssten die Länder bzw. Landesparlamente zustimmen.

Eine weitere Auswirkung ergibt sich amerikanische IT-Unternehmen wie Google oder Facebook: Sie müssen zukünftig mehr Rücksicht auf das europäische Datenschutzrecht und den hiesigen Grundrechtsschutz nehmen. Denn die Regelungen der EU-DSGVO finden auch auf Unternehmen Anwendung, die in der EU keine Niederlassung haben, aber trotzdem Waren- und Dienstleistungen an betroffene Personen in der EU anbieten – das wird auch als Marktortprinzip bezeichnet. Diese Unternehmen müssen zukünftig einen „Vertreter“ benennen, der, mit speziellen Vollmachten ausgestattet, diese für die Aufsichtsbehörden der Mitgliedsstaaten juristisch „greifbarer“ machen soll.

Damit die Verantwortlichen in den Unternehmen die gesetzlichen Anforderungen aus der EU-DSGVO besser kennenlernen können, gibt es bereits erste Leitfäden. Im Folgenden werden die wesentlichen Änderungen gegenüber dem bisherigen Datenschutzgesetz herausgestellt.

Mehr Transparenz

Im Artikel 13 der EU-DSGVO wird bei der Datenerhebung eine weitgehendere Informationspflicht dem Betroffenen gegenüber als bisher verlangt. So müssen zum Beispiel zukünftig auch die Kontaktdaten des ernannten Datenschutzbeauftragten angegeben sein. Sollte die Verarbeitung der personenbezogenen Daten auf einer Interessenabwägung (ohne Einwilligung) beruhen, ist der Betroffene auch über diesen Umstand zu informieren.

Die Transparenz geht so weit, dass der Betroffene aus der Information eindeutig nicht nur wie bisher erkennen wird, was der genaue Zweck der ihn betreffenden Datenverarbeitung ist. Dabei ist auch anzugeben, wie lange die Daten gespeichert werden sollen. Sollte diese Angabe nicht möglich sein, ist zu erklären, nach welchen Kriterien die Festlegung der Dauer erfolgt.

Das kann weitreichende Auswirkungen auf Unternehmen haben, denn das Ausmaß, aber auch der Aufwand der Informationspflicht dürften beachtlich ansteigen: Das betrifft Fachabteilungen wie etwa die Bereiche Marketing und Vertrieb, die „gerne“ personenbezogene Daten möglichst umfassend erheben und auch möglichst lange speichern. Sie werden sich zukünftig auf eine verbindliche und daher angreifbare Dauer festlegen müssen, welche Daten, wofür und für wie lange gespeichert werden.

Recht auf Löschung

Das „Recht auf Vergessen werden“, also wann die personenbezogenen Daten wieder gelöscht werden, wird sich in vielen Bereichen als Problem erweisen. Denn das betrifft zum Beispiel auch Kernsysteme – wie die ERP-Lösungen, in denen zu den Stammdaten Lieferanten und Kunden zählen. Der Artikel 17 der EU-DSGVO regelt das Recht auf Löschung („Recht auf Vergessen werden“), welches über die Informationspflicht gemäß Art. 19 flankiert wird. Letztere ist vergleichbar zur bislang geltenden Informationspflicht gemäß § 35 Abs. 7 BDSG, wonach die verantwortliche Stelle Auskunft darüber zu erteilen hat, wem die zu löschenden personenbezogenen Daten übermittelt worden sind.

In Art. 17 Abs. 2 wird zusätzlich vom Verantwortlichen verlangt, hinsichtlich solcher von ihm veröffentlichten (oder öffentlich gemachten) personenbezogener Dateneinzelfallabhängige, angemessene Maßnahmen zur Unterbindung eben jener öffentlichen Zugänglichmachung vorzunehmen.

Allerdings hat die Benachrichtigungspflicht nach Art. 17 Abs. 2 unter Zumutbarkeitserwägungen zu erfolgen. Sie findet ihre Grenze in einem übermäßigen, unverhältnismäßigen Aufwand des Verantwortlichen. Zumutbar ist jedenfalls die Benachrichtigung sämtlicher bekannter Stellen, die die gelöschten personenbezogenen Daten verarbeiten. Hierzu zählen nach der Rechtsprechung des Europäischen Gerichtshofs insbesondere die Betreiber von Internet-Suchmaschinen. Die Verpflichtung nach Art. 17 Abs. 2 umfasst auch Maßnahmen technischer Art. Denn der Verantwortliche wird die entsprechenden Inhalte auch über gängige Suchmaschinen suchen und gegebenenfalls gegensteuern müssen.

Einschränkung der Verarbeitung

Das Recht auf Einschränkung der Verarbeitung nach Art. 18 ist vergleichbar mit dem Recht auf Sperrung anstelle der Löschung gemäß § 35 Abs. 3 BDSG. Es dient der Schaffung eines Interessenausgleichs in der problematischen Situation, in welcher eine sofortige Datenlöschung schützenswerte Interessen des Verantwortlichen an einer weiteren Speicherung unverhältnismäßig beschneiden würde.

Der Interessensausgleich wird dadurch angestrebt, dass als Folge der Einschränkung die weitere Datenverarbeitung nur unter engen Voraussetzungen durch den Verantwortlichen möglich ist, wenngleich das Recht zur weiteren Speicherung des Verantwortlichen unberührt bleibt. Die Einschränkung der Verarbeitung ist nach dem Wortlaut von Art. 18 Abs. 1 auf Verlangen des Betroffenen vorzunehmen, wenn weitere dort genannte Voraussetzungen erfüllt sind. Nach einer einmal erfolgten Einschränkung der Verarbeitung wird eine Informationspflicht des Verantwortlichen begründet, im Falle der Aufhebung der Einschränkung den Betroffenen hierüber zu informieren.

Der Verantwortliche hat regelmäßig zu überprüfen, ob die gespeicherten personenbezogenen Daten auch tatsächlich weiterhin gespeichert werden müssen, unabhängig davon, ob der Betroffene eine Löschung oder eine eingeschränkte Verarbeitung gefordert hat. (rhh)

Der Beitrag basiert auf dem „Leitfaden zur Umsetzung der Datenschutzgrundverordnung“ von eset. Geschrieben wurde der Leitfaden von Thomas Feil, Fachanwalt für IT-Recht und Arbeitsrecht und externer Datenschutzbeauftragter bei Unternehmen und Behörden.

Hier geht es zur DSGVO-Site von eset

Rechtsanwalt Thomas Feil ist Geschäftsführer Feil Rechtsanwaltsgesellschaft mbH und seit 1994 als Rechtsanwalt tätig. Er unterstützt Unternehmen und Behörden als externer Datenschutzbeauftragter sowie als Fachanwalt für IT-Recht und Arbeitsrecht. Bundesweit hält er zu IT-Sicherheitsgesetz und Datenschutzrecht Seminare und unterrichtet auch angehende Fachanwälte im Bereich IT-Vergabe und öffentliche Beschaffung. Für die Cyber Akademie ist Herr Feil als Dozent eines TÜV-zertifizierten Lehrgangs zur Ausbildung eines „behördlichen Datenschutzbeauftragten“ tätig. Bei seinen Mandanten genießt Rechtsanwalt Feil den Ruf, dass er unter Berücksichtigung der rechtlichen Vorgaben kaufmännische und rechtlich pragmatische Lösungen findet.