Die DSGVO: So geht's rechtskonform - und ohne Klippen

Mit Harald Rossol oder Rainer Dedermann von b.r.m. in der Hansestadt Bremen als betrieblich Datenschutzbeauftragte sind Sie in sicheren Händen.

Die Europäische Datenschutz-Grundverordnung (DSGVO) aus dem Jahr 2018 weckte zunächst Befürchtungen bei vielen Unternehmen und auch bei Nutzern des Internets. Mit einem guten IT-Service als Weggefährte, wie bspw. dem von b.r.m., haben sich diese Ängste zumindest im Großraum Bremen als grundlos erwiesen.

Der erste Entwurf der Verordnung stammt aus dem Jahr 2012; beschlossen wurden die neuen Paragraphen im April 2016; am 25. Mai 2018 trat die Datenschutz-Grundverordnung (auf Englisch General Data Protection Regulation – kurz GDPR) dann in Kraft. Die Intention der Verordnung ist es, europaweit den Datenschutz auf eine kongruente Grundlage zu stellen. Das Unterlaufen von Standards durch einzelne Mitgliedsstaaten sollte mit ihr wirksam unterbunden werden.

Neu für den Nutzer von Online-Diensten ist vor allem sein ‚Recht auf Vergessenwerden‘. Er erhält die Möglichkeit, das Recht, Auskunft über die gespeicherten persönliche Daten zu erhalten, und er kann das Löschen von Daten verlangen, wenn eine Speicherung “überfällig”, “unnötig” oder “unrechtmäßig” erscheint. Weiterhin müssen alle Daten von nun an ‚portabel‘ sein: Auf Wunsch kann der Kunde eines Dienstes die Herausgabe seiner Daten in strukturierter Form verlangen, so dass er diese einem anderen Anbieter übergeben kann. Generell gelten für alle Datenverarbeitungsvorgänge im Internet, wie auch in Unternehmen zwei Prinzipien: ‚Privacy by Design‘ und ‚Privacy by Default‘ – das heißt: Der Schutz der Privatsphäre muss bereits beim Aufbau eines Datenverarbeitungsvorgangs miteinbezogen werden, und die Voreinstellungen müssen privatsphäreschützend eingerichtet sein.

Wer bei der Datenverarbeitung mit einem externen Dienstleister kooperiert, der darf sich bei b.r.m. heute schon sicher sein, dass unsererseits bei der Auftragsverarbeitung (AV) keine Verstöße gegen die neue Verordnung erfolgen. Auch die genannten Privacy-Prinzipien werden stets strikt eingehalten. Das Anlegen eines ‚Verzeichnisses der Verarbeitungstätigkeiten‘, welches die DSGVO fordert, ist bei uns längst implementiert. Ferner sind alle Verarbeitungstätigkeiten lückenlos dokumentiert. In allen Fragen rings um die DSGVO sind wir damit Ihr kompetenter Ansprechpartner, allein schon deshalb, weil Harald Rossol, der Geschäftsführer von b.r.m., zugleich als anerkannter Datenschutzbeauftragter arbeitet. Assistiert wird er hierbei von dem Senior Consultant Rainer Dedermann – genügend ‘Manpower’ ist bei b.r.m. damit stets vorhanden.

Beratung und Betreuung in allen Fragen der neuen Europäischen Datenschutz-Grundverordnung (DSGVO) für Bremen und Umgebung läuft mit uns an Ihrer Seite völlig reibungslos – von den Technischen und  Organisatorischen Maßnahmen (TOM) über die Risikobewertung bis hin zum Verzeichnis der Verarbeitungstätigkeiten.

Von der DSGVO ist übrigens jeder betroffen, der personenbezogene Daten im Netz verarbeitet, vom kleinen Blogger bis hin zu globalen Giganten wie Facebook oder Google. Als ‚personenbezogen‘ gelten alle Merkmale wie Name, Geschlecht, Hautfarbe, politische Einstellung und sexuelle Orientierung, aber auch Autokennzeichen oder Kleidergrößen. Sobald Daten u.a. erhoben, gespeichert, verändert, ausgelesen oder übertragen werden, gilt dies als eine ‚Verarbeitung‘. Wer eine Webseite betreibt, der muss künftig jeden Besucher darüber aufklären, welche Daten er zu welchem Zweck erhebt und speichert. Ausgenommen hiervon sind allein Justiz und Strafverfolgung. Kontrolliert wird die Einhaltung der DSGVO von den Datenschutzbehörden. Maßgeblich für die Zuständigkeit ist die Hauptniederlassung eines Betreibers oder Unternehmens.

Auch nicht unbedeutend: Die Online-Datenschutzerklärungen müssen künftig ‚allgemeinverständlich‘ sein, sie dürfen also kein ‘Juristen-Chinesisch’ enthalten, was natürlich einen breiten Interpretationsspielraum öffnet. Neu ist auch die ‚datenschutzrechtliche Selbstauskunft‘: Jedes Unternehmen muss innerhalb eines Monats einem Bürger Auskunft darüber geben, welche Informationen über ihn dort zu welchem Zweck und wie lange gespeichert sind.

Die Grenze zwischen ‚privat‘ und ‚kommerziell‘ wird jetzt trennschärfer gefasst. Poste ich bspw. Bilder meines  Gemüsegärtchens, dann bleibt dies unkritisch. Verkaufe ich aber die dort gezeigte Hollywoodschaukel, dann fällt die Webseite künftig unter die Datenschutz-Grundverordnung. Das gilt auch für ‚Affiliate-Angebote‘, also dort, wo der Betreiber einer Webseite auf einen anderen Anbieter verlinkt. Derartige Plug-Ins, ob nun unter WordPress oder Firefox, sollten private Betreiber besser abschalten, bis rechtliche Klarheit herrscht.

Wesentlich ist auf alle Fälle eine Adaption der Datenschutzerklärung und der allgemeinen Geschäftsbedingungen auf jeder Webseite, sonst öffnet man bloß den ‚Abmahnwälten‘ Tür und Tor. Fragen Sie im Zweifel einfach unsere betrieblichen Datenschutzbeauftragten Harald Rossol und Rainer Dedermann.

Für viel Unruhe sorgten vor allem die angedrohten finanziellen Sanktionen bei Verstößen. Lag das Bußgeld bisher maximal bei 300.000 Euro, können jetzt – abhängig von der Schwere des Verstoßes – bis zu 20 Mio. Euro fällig werden (Art. 83 DSGVO). Eine Extra-Regel, die sich vor allem gegen die Tech-Giganten richtet, macht auch eine Strafe bis zu vier Prozent des weltweiten Umsatzes möglich, und letztlich auch den Zugriff aufs Privatvermögen.

 

Bei Vorliegen eines Datenschutzvorfalles hat eine Meldung an die zuständige Datenschutzbehörde immer zu erfolgen (Meldepflicht), außer wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für den Betroffenen führt. Wenden Sie sich in jedem Fall an Ihren Datenschutzbeauftragten. Auch die betroffenen Personen müssen benachrichtigt werden, wenn ein hohes Risiko für deren Rechte und Freiheiten bestehen könnte. Ein hohes Risiko liegt beispielsweise vor, wenn Daten aus den “besonderen Kategorien” (Art. 9 DSGVO), z. B. Gesundheitsdaten oder politische Ansichten, in unbefugte Hände geraten.

Die DSGVO lässt natürlich noch manche Fragen offen: Was sind bspw. ‚berechtigte Interessen‘ (Art. 6 Abs. 1 lit. f) DSGVO) eines Unternehmens? Die Verordnung enthält eine Fülle von solchen schwammigen Formulierungen, die erst durch Gerichtsentscheidungen zu klären sind. Hilfestellungen geben die Erwägungsgründe. Auch musste das nationale Datenschutzrecht durch ein neues Bundesdatenschutzgesetz an die DSGVO angepasst werden. Andererseits gibt es jetzt keine Fluchtmöglichkeit vor dieser Verordnung mehr, zum Beispiel nach Übersee. Der Rahmen ist für alle gleich. Die Verordnung gilt unabhängig von der Herkunft für jeden, der innerhalb der EU Daten erheben oder auswerten will – sie gilt also auch für Google oder Facebook.

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO durch einige sogenannte ‚Öffnungsklauseln‘. Dies ist beispielsweise der Fall in  § 26 BDSG, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ausführt. Hier hat der Gesetzgeber spezifischere Vorschriften festgelegt.

Bei Fragen zur neuen DSGVO und zu einem rechtskonformen IT Service in der Hansestadt Bremen und Umgebung wenden Sie sich am besten einfach an uns. Gerne können Sie sich direkt mit unseren Datenschutzbeauftragten Harald Rossol und Rainer Dedermann in Verbindung setzen.

Kein Job wie jeder andere: Die Auftragsverarbeitung (AV)

 

Der Art. 28 der Datenschutz-Grundverordnung (DSGVO), § 26 des Bundesdatenschutzgesetzes (BDSG neu) und der § 80 im Zehnten Buch des Sozialgesetzes regeln in Deutschland die ‚Datenverarbeitung im Auftrag‘ bzw. die ‚Auftragsverarbeitung (AV)‘. Sie bestimmen über das ‚Outsourcing‘ von Datenverarbeitungsaufträgen an externe Dritte.

Ein Auftragsverarbeiter ist jede Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er hat kaum oder gar keine Entscheidungsbefugnis und ist an die Weisungen des Auftraggebers gebunden. Dem entgegen steht die “Funktionsübertragung”. Bei dieser Konstellation wird dem Dienstleister eine ganze Funktion übertragen. Der Dienstleister handelt weitestgehend weisungsfrei. Dieser wird durch die eigenen verfolgten Zwecke selber zum Verantwortlichen. Dies trifft zum Beispiel bei Rechtsanwälten oder Steuerberatern zu. Ein dritter möglicher Sachverhalt stellt ein “Joint Controllership” dar. Dabei wird die Verarbeitung durch zwei oder mehr Verantwortliche durchgeführt. Es entsteht eine “gemeinsame Verantwortung”. Wie diese zu dokumentieren ist, ist in Art. 26 DSGVO festgehalten.

Die Auftragsverarbeitung löst die ‚Auftragsdatenverarbeitung (ADV)‘ aus dem “alten” Bundesdatenschutzgesetz ab. Die Neuregelung lässt viele der schon bisher geltenden Anforderungen an den Verantwortlichen unverändert.

Ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO gibt seit der Umsetzung der DSGVO den rechtlichen Rahmen einer AV  in der Regel vor. In jenem werden unter anderem Gegenstand, Zweck, Art und Dauer der Verarbeitung festgelegt sowie die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen und die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters.

Der Verantwortliche hat sich – abhängig von der Art der erhobenen Daten – davon zu überzeugen, dass der Auftragsverarbeiter für die Aufgabe zertifiziert ist, und dass er ein Sicherheitskonzept umsetzt, welches gewährleistet, dass die Datenverarbeitung durch geeignete technische und organisatorische Maßnahmen mit den rechtlichen Bedingungen konform ist. Dies erfolgt in der Regel durch eine schriftliche Auskunft. Erst dann darf der Verantwortliche dem Auftragsverarbeiter personenbezogene Daten übermitteln.

Haftungsrechtlich steht bei Verstößen meist nicht der Dienstleister in der Verantwortung, sondern unverändert der Verantwortliche. Der Auftragsverarbeiter haftet hingegen, wenn er seinen Pflichten als Auftragsverarbeiter nicht nachgekommen ist. Dies ist der Fall sofern er die Anweisungen des Verantwortlichen nichtbeachtet oder sogar gegen die Weisungen gehandelt hat.

 

Ist ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der DSGVO? Fragen Sie uns…

Fünffach ‚betroffen‘

 

Verglichen mit dem Bundesdatenschutzgesetz (BDSG) bringt die DSGVO In Bezug auf ‚Betroffenenrechte‘ wenig Neues – mit Ausnahme des Rechtes auf Datenübertragbarkeit. Allerdings konkretisiert sie die wolkigen Vorgaben des BDSG oft erheblich. Die neuen Betroffenenrechte im Einzelnen:

1. Die Informationspflicht (Art. 13 u. 14 DSGVO)
Sie gibt es prinzipiell bereits im BDSG. Es reicht aber nun nicht mehr aus, nur die Identität einer datenerhebenden Stelle zu nennen. Künftig ist auch die Angabe von Kontaktdaten sowohl für den Verarbeiter wie auch für den zuständigen Datenschutzbeauftragten Pflicht. Zu nennen ist ferner die Rechtsgrundlage, auf deren Basis eine Datenerhebung erfolgt, sowie die vorgesehene Dauer der Speicherung. Die größte Neuerung besteht wohl darin, dass über jede Datenübermittlung an einen Drittstaat oder an eine internationale Organisation unverlangt Auskunft gegeben werden muss. Auch der Widerruf einer Einwilligung muss jederzeit möglich sein.
2. Das Auskunftsrecht (Art. 15 DSGVO)
Jeder Datengeber hat das Recht zu erfahren, ob seine personenbezogenen Daten verarbeitet werden, und an wen sie weitergeleitet werden. Das entspricht in etwa dem § 34 BDSG. Die DSGVO erweitert allerdings das Auskunftsgebiet. Grundsätzlich sind die Dauer der Speicherung, der Verwendungszweck und die Herkunft der Daten zu nennen. Demjenigen, dessen Daten erfasst wurden, steht das Recht auf Berichtigung, Löschung und Beschwerde zu. Jede Auskunft muss unentgeltlich erfolgen (Art. 12 Abs. 5 DSGVO).
3. Das ‚Recht auf Vergessenwerden‘ (Art. 17 Abs. 2 DSGVO)
Personen, deren Daten erhoben wurden, können eine Löschung ihrer Daten verlangen, sofern nicht gesetzliche Aufbewahrungsfristen bestehen (z.B. nach dem Handelsgesetzbuch). Unklar ist hier bisher, ob Datenerfasser auch eine Löschung bei jenen Folge-Institutionen durchsetzen müssen, an welche Daten weitergeleitet wurden – oder ob dort nur eine Informationspflicht über das gestellte Verlangen besteht.
4. Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Hierbei handelt es sich um eine Vorschrift, die das BDSG bisher nicht kannte. In einem ‚strukturierten, gängigen und maschinenlesbaren Format‘ müssen Datenerheber ihre gesammelten Daten auf Verlangen dem Betroffenen zur Verfügung stellen. Dieser Paragraph zielt vor allem auf die ‚sozialen Netzwerke‘. Wer bspw. von Facebook zu einem anderen Anbieter wechseln will, muss seinen gesammelten ‚Datenschatz‘ (Fotos, Texte usw.) in einer lesbaren Form erhalten, die mit den technischen Gegebenheiten auf der neuen Plattform kompatibel ist. Die beliebte Ausrede ‚technischer Hürden‘ gilt damit nicht mehr. Wie sich dies in der Praxis darstellt, ist noch unklar.
5. Das Widerspruchsrecht (Art. 21 DSGVO)
Jede Person, die ihre Daten zur Verfügung stellt, muss gegen jede Form der Weiterverarbeitung, zum Beispiel zu werblichen Zwecken, Widerspruch einlegen können. Diese Regelung findet sich aber auch bereits im BDSG (§ 28, Abs. 4).

Wer bei der Umsetzung der DSGVO in seinem Verantwortungsbereich auf der sicheren Seite sein möchte, der kann sich jederzeit an unsere zertifizierten Datenschutzbeauftragten bei b.r.m. wenden:

 

Datenschutz individuell gestalten: Die Binding Corporate Rules (BCR)

 

Im Jahr 1995 beschloss die EU ihre Richtlinie 95/46/EG. In ihr wird seitdem der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten geregelt. Für jeden Datenfluss in ‚unsichere Drittstaaten‘ (z.B. USA, China oder Indien) mussten zunächst noch einzeln Verträge geschlossen werden, was sich als gerade für große Unternehmen als kostenintensives Hindernis erwies. Erste Firmen entwickelten daraufhin Unternehmensrichtlinien, die das Verfahren zu vereinheitlichen suchten.
Im Juni 2003 tauchte der Begriff der ‚Binding Corporate Rules‘ dann erstmals in der EU-Datenschutzgruppe auf. Die Überlegungen richteten sich darauf, ein flexibles Instrument für den Datentransfer zu schaffen, welches zugleich die Vorgaben der Datenschutzgesetze erfüllt. Das Resultat war ein Verfahren, dass es Unternehmen gestattet den Datenschutz beim Transfer in Drittstaaten individuell zu gestalten, sofern die angewandten ‚Binding Corporate Rules‘ einige Mindeststandards erfüllen. Hierzu zählen u.a.:

– Aufbau und Umsetzung eines Sicherheitskonzeptes
– Datenschutzschulung von Mitarbeitern
– Verpflichtende Teilnahme an einem Audit-Programm
– Leistung von Schadenersatz bei Verstößen
– Geregeltes Beschwerdeverfahren
– Zusicherung von Transparenz
– Festlegung des Geltungsbereichs

Der Vorteil der Einführung von ‚Corporate Binding Rules‘ ist die Möglichkeit einer individuellen Ausgestaltung der Datenübermittlung in ‚unsichere Drittstaaten‘. Der Nachteil ist vor allem der hohe Organisationsaufwand und das langwierige Prüfungsverfahren. Ein BCR-Prozess kann bis zur Einführung etwa zwei Jahre dauern. Rechnen tut sich das derzeit nur für große Unternehmen.

Konzernweit müssen alle zugehörigen Unternehmen und alle Mitarbeiter mit den gleichen Standards arbeiten. Die betreffenden Vorschriften müssen interne und externe Rechtsverbindlichkeit aufweisen und die Datenschutzgrundsätze nach Art. 5 DSGVO sollen umgesetzt und eingehalten werden.

Ein ‚Knigge‘ für Unternehmen: Der Code of Conduct

 

Im Kern formuliert ein Code of Conduct die ‚Benimm-Regeln‘ für Firmen und deren Mitarbeiter. Es handelt sich um eine interne Vorgabe, die auch andere Namen wie ‚Corporate Behavior‘ (CB), ‚Leitsätze‘ oder ‚Verhaltenskodex‘ tragen kann. Es handelt sich um das ‚innere Gesetz‘, das im Unternehmen jeder zu befolgen haben. Verstöße gegen diese Regeln können auch arbeitsrechtliche Folgen haben.

Ein Code of Conduct gibt einerseits Mitarbeitern Sicherheit durch eine grundlegende Handlungsorientierung, andererseits vermittelt die Gleichförmigkeit, die diese Regeln erzwingen, ein erwünschtes einheitliches Firmen-Darstellung nach außen.

Ein ‚Code of Conduct‘ kann so kurz und lapidar wie die Zehn Gebote verfasst sein, er kann aber auch alle denkbaren Probleme bis ins Detail regeln, vom Umgang mit Geschenken über die Arbeitszeiten, den Datenschutz und das Auftreten gegenüber Kunden bis hin zu anti-korruptiven Maßnahmen. Der ‚Code of Conduct‘ ist meist eingebettet in den größeren Rahmen einer sozialen Verantwortung, der ‚Corporate Social Responsibility (CSB)‘.

Datenschutz: Gute Absichten, viele Schlupflöcher

 

Wir von b.r.m. in der Hansestadt Bremen wollen mit Ihnen Ihre Daten schützen.

Der Datenschutz ist von der Datensicherheit, der Informationssicherheit oder der IT-Sicherheit abzugrenzen. Beim Datenschutz im IT-Bereich geht es um den Schutz der Privatsphäre und der Persönlichkeit eines jeden Menschen, also um seine ‚informationelle Selbstbestimmung‘. Es handelt sich darum, dass seine Daten nicht missbräuchlich verwendet werden, beispielsweise bei einem schwunghaften Handel mit Mail-Adressen.

Der Schutz personenbezogener Daten ist ein Grundrecht, das auch in Art. 8 der Charta der Grundrechte der EU und im Volkszählungsurteil des Bundesverfassungsgesetzes von 1983 festgehalten ist: “Jeder Einzelne ist befugt, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.”

Für die Nutzung und Verarbeitung personenbezogener Daten gibt es juristische Regeln, die in der Datenschutz-Grundverordnung (DSGVO), im Bundesdatenschutzgesetz (BDSG) und in den Datenschutzgesetzen der Länder festgelegt sind. Dass es trotz möglicher Strafen immer wieder zu spektakulären Verletzungen des Datenschutzes kommt, hängt vor allem mit der ‚Transnationalität‘ des Internets zusammen. Ein Hacker, der (scheinbar) von den Weihnachtsinseln oder von Usbekistan aus operiert, ist mit nationalem Recht kaum dingfest zu machen.

Der beste Datenschutz besteht daher in einer hohen Datensicherheit. Hier gibt es hervorragende technische Möglichkeiten, einer missbräuchlichen Nutzung von personenbezogenen Daten den Riegel vorzuschieben. Fragen Sie einfach unsere Experten für den Datenschutz Harald Rossol und Rainer Dedermann.

Datenschutzbeauftragter: Weisungsfreie Kontrollfunktion

 

b.r.m. bietet Unternehmen die Tätigkeiten eines externen betrieblichen Datenschutzbeauftragten an.
Aufgaben und Tätigkeiten eines internen oder externen Datenschutzbeauftragten regeln in Deutschland die Artt. 38 und 39 der Datenschutz-Grundverordnung (DSGVO) und die §§ 6 und 7 des Bundesdatenschutzgesetzes (BDSG neu). Hinzu kommen landesrechtliche Vorschriften. Der Beauftragte für Datenschutz soll die Einhaltung der DSGVO, des BDSG und anderer Gesetze kontrollieren (Telemedien-Gesetz (TMG) oder Telekommunikations-Gesetz (TKG)). Der Datenschutzbeauftragte handelt stets unabhängig und weisungsfrei.

Alle Unternehmen und Vereine, die nichtöffentlichen Stellen, müssen einen Datenschutzbeauftragten benennen, sobald mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder die Stellen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. ‚Automatisiert‘ ist jede Verarbeitung, die elektronische Datenverarbeitungsgeräte (z. B. PCs) für den Geschäftsablauf verwendet. Außerdem sollte ein Datenschutzbeauftragter benannt werden, wenn eine Datenschutzfolgenabschätzung durchgeführt werden muss. Der Datenschutzbeauftragte entstammt entweder ‚intern‘ der Organisation, oder er muss ‚extern‘ benannt werden und muss der zuständigen Aufsichtsbehörde gemeldet werden. Fristen gibt es seit der DSGVO nicht mehr, demnach sollte der Datenschutzbeauftragte schnellstmöglich mitgeteilt werden, um mögliche Strafen zu vermeiden.

Datenschutzbeauftragter kann nicht jeder werden. Er oder sie muss drei Hauptkriterien erfüllen:

1. berufliche Qualifikation und Fachwissen im Bereich des Datenschutzrechts

2. Fachwissen auf dem Gebiet der Datenschutzpraxis

3. Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben.

Dazu sollte ein Datenschutzbeauftragter natürlich auch Diskretion wahren können sowie ein gewisses Konflitlösungs- und Organisationstalent mitbringen.

Wer die Funktion eines Datenschutzbeauftragten nicht ‚aus Bordmitteln‘ erfüllen kann, darf gern uns und unsere Erfahrung ‚extern‘ von b.r.m. nutzen. Für Fragen stehen Ihnen die betrieblichen Datenschutzbeauftragten Harald Rossol sowie Senior Consultant Rainer Dedermann zur Verfügung.

Kein Ersatz für den sicheren Hafen: Der EU-US Privacy Shield

 

Nach der Debatte um die Datenweitergabe außerhalb Europas hatte die EU zunächst das ‚Safe-Harbor-Abkommen‘ mit der amerikanischen Regierung favorisiert. Als der Europäische Gerichtshof diese Vereinbarung für ungültig erklärte, wegen erkennbarer Mängel beim Transfer personenbezogener Daten, trat am 12. Juli 2016 der „EU-US Privacy-Shield“ in Kraft. Die Obama-Regierung hatte zuvor den ‚Judicial Redress Act‘ verabschiedet, der EU-Bürgern eine Klagemöglichkeit in den USA eröffnet.

Im Kern des ‚Privacy Shield‘ steht ein ‚Angemessenheitsbeschluss‘ der EU, welcher die wechselseitige Anerkennung von Regeln verlangt: „Die Garantien für die Übermittlung von Daten auf der Grundlage des neuen EU-US-Datenschutzschildes sollen den Datenschutzstandards in der EU entsprechen“. Seit dem Privacy Shield tragen sich amerikanische Unternehmen, die in der EU mit Daten Geschäfte machen wollen,  in eine Liste ein, die sie zur Kooperation beim Datenschutz verpflichtet.

EU-Bürger können sich in den USA seither an einen Ombudsmann im Außenministerium wenden, um Verstöße zu ahnden. Im Streitfall, wenn also EU-Bürger gegen amerikanische Unternehmen klagen, melden sich die Betroffenen bei den nationalen Datenschutzbehörden, die dann mit der ‚Federal Trade Commission‘ möglichen Verstößen nachgeht. Jährlich erscheint ein Bericht der Europäischen Datenschutzkommission, der Fortschritte und Verstöße aufzählt.

Von Anfang an gab es massive Kritik am Privacy Shield. Vor allem wurde bemängelt, dass man schlecht gegen eine ‚Massenüberwachung in den USA‘ klagen könne, von der man gar nichts erführe. Auch sei der Ombudsmann keineswegs unabhängig. Das Europäische Parlament forderte die Kommission am 24. Mai 2016 auf, den Datenschild grundlegend zu überarbeiten.

Überdies unterzeichnete der neue US-Präsident Donald Trump am 25. Januar 2017 eine Verfügung, wonach der Privacy Shield nicht für Personen gelte, die keine US-amerikanischen Staatsbürger und keine ständig in den USA lebenden Einwohner seien.

Mit anderen Worten: Der ‚Privacy Shield‘ bietet derzeit EU-Bürgern keinen ausreichenden Schutz vor einer Weitergabe personenbezogener Daten in Übersee.

IT-Compliance: Ein Meer aus Regeln

 

Wer heute IT-Dienste im Netz für die Verwaltung oder die Geschäftsabwicklung nutzt, muss eine Reihe von gesetzlichen Regelungen beachten. Diese werden als IT-Compliance bezeichnet. Vor allem muss die Informationssicherheit, die Verfügbarkeit, die Datenaufbewahrung und der Datenschutz beachtet werden.

Zu den Gesetzen, welche es zu berücksichtigen gilt, zählen unter anderem:

  1. Das deutsche und das österreichische Telekommunikationsgesetz
  2. Datenschutz-Grundverordnung (DSGVO)
  3. Das Bundesdatenschutzgesetz (BDSG)
  4. Die steuerlichen ‚Grundsätze zum Datenzugriff und zur Prüfung digitaler Unterlagen (GDPdU)
  5. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Eine Reihe internationaler Regelungen kommt noch hinzu (u.a. Basel II, FINRA, IFRS, MIFID oder PCI-DSS).

Wenn Sie sicher gehen wollen, dass Ihr Unternehmen die IT-Compliance einhält, fragen Sie einfach uns.

Personenbezogene Daten

 

Was genau sind überhaupt personenbezogene Daten? Diese Frage stellte sich bestimmt schon jeder , der in den Medien das Thema Datenschutzgrundverordnung verfolgt oder den 101. Newsletter mit den neuen Datenschutzhinweisen zugestellt bekommen hat.

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Infomationen, die sich entweder direkt oder indirekt (mittels Zuordnung zu einer Kennung) eindeutig einer Person, der sogenannten “betroffenen Person”, zuordnen lassen.

Gemeint sind damit wirklich alle Daten, die in jeglicher Hinsicht einer natürlichen Person zuzuordnen sind. Unter “personenbezogen” ist damit nicht nur der Name, das Geburtsdatum oder die Adresse gemeint sondern auch die IP-Adresse, das KFZ-Kennzeichen und sogar die Kleidergröße.

Besonders sensibel sind personenbezogene Daten über…

  • die rassische oder ethische Herkunft,
  • politische Meinungen oder Gewerkschaftszugehörigkeit,
  • religiöse oder weltanschauliche Überzeugung,
  • Gesundheit, Sexualleben und die sexuelle Orientierung sowie
  • genetische und biometrische Daten sowie auch Daten über Strafdaten

Diese Daten genießen gemäß Art. 9 Abs. 1 DSGVO einen besonderen Schutz.

Bei der Verarbeitung personenbezogener Daten aus diesen “besonderen Kategorien” sollten verschärfte Schutzmaßnahmen umgesetzt werden. Verarbeitet ihr Unternehmen in Bremen oder Umgebung sensible Daten? Nein? Sehr wahrscheinlich irren Sie sich, da schon allein die Aufführung der Religion in der Personalakte ein sensibles Datum darstellt.

Bei weiteren Fragen steht Ihnen unser Datenschutz-Team gerne zur Verfügung…

Privacy by Default

 

Wo ‚Privacy by Design‘ sich eher auf den technischen Aufbau eines datenverarbeitenden Systems bezieht, da fasst ‚Privacy by Default‘ die Konfiguration des Systems ins Auge, die ‚Voreinstellungen‘. Die Datenschutzgrundverordnung (DSGVO) verlangt, dass ‚nutzerfreundliche‘ Werkseinstellungen gewählt werden müssen. Gerade ‚User‘, die wenig technikaffin sind, sollen durch ‚Privacy by Default‘ rechtlich verbindlich geschützt sein.

Anlass für diese Regelung war das ‚Privacy Paradox‘: Es gibt nutzerseitig einerseits das Bedürfnis nach einem umfassenden Schutz persönlicher Daten. Andererseits sind viele Anwender nicht in der Lage, oder auch nicht willens, die technischen Einstellungen eines Systems selbsttätig entsprechend anzupassen. Die Anbieterseite steht durch die DSGVO hier jetzt in der Pflicht, diesen Schutz zunächst ihrerseits zu gewährleisten.

Es gibt natürlich Grenzen: Die DSGVO spricht nebulös vom Stand der Technik, von Implementierungskosten, vom Umfang, den Umständen und dem Zweck der Verarbeitung. Klar ist in jedem Fall, allein schon durch den verwendeten Plural beim Wort ‚Maßnahmen‘, dass eine einzelne Aktion hier zumeist nicht ausreicht. Notwendig ist in fast jedem Fall ein ganzes Bündel von ‚Maßnahmen‘.

Der Artikel 25, Abs. 3 DSGVO gibt übrigens jedem Anbieter die Möglichkeit, sich zertifizieren zu lassen. Eine Zertifizierung im Sinne des Art. 42 DSGVO schafft hier Rechtssicherheit – zum Beispiel durch die zertifizierten externen Datenschutzbeauftragten Harald Rossol bei b.r.m. in Bremen.
Fragen Sie im Falle eines Falles einfach uns

Privacy by Design

 

Die beiden Begriffe ‚Privacy by Design‘ und ‚Privacy by Default‘ sind älter als die neue Datenschutz-Grundverordnung (DSGVO). Durch das Gesetz haben sie allerdings ein ganz neues Gewicht erhalten (Art. 25 DSGVO).

‚Privacy by Design‘ meint, dass der technische Aufbau eines datenverarbeitenden Systems so gestaltet sein muss, dass der Datenschutz schon automatisch in das System integriert ist. Anders ausgedrückt: Der Datenschutz muss eine Systemeigenschaft sein. Dies geschieht durch die ‚Technischen und Organisatorischen Maßnahmen‘ (TOM) bei der Installation der Rechner und bei der Implementierung ihrer Programme. Hier ist der Hersteller am Zug.

Konkret nennt die DSGVO bei den Maßnahmen allerdings nur die Pflicht zur Pseudonymisierung (Art. 25, Abs. 1). Diese wird in Art. 4, Abs. 5 dann näher definiert. In allen anderen Punkten aber ist die DSGVO dann äußerst ‚schwammig‘:
„…Maßnahmen können unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern …“ (Erwägungsgrund 78).

‚So schnell wie möglich‘, ‚Transparenz herstellen‘, ‚minimieren‘, ‚in die Lage versetzen‘ – alles Formulierungen, die bisher kaum mehr als einen weiten Interpretationsspielraum schaffen.
Kurzum: Die Regel des ‚Privacy by Design‘ erlaubt keine standardisierte Antwort, sie ist abhängig von den jeweiligen Anforderungen im Datenschutz. Klar ist aber, dass schon beim Aufbau eines datenverarbeitenden Systems und bei der Auswahl und Implementierung der eingesetzten Technik und Software mögliche Anforderungen der DSGVO zu berücksichtigen sind.

Fragen Sie b.r.m. in Bremen. Neben unseren Ressourcen im Datenschutz durch Harald Rossol und Rainer Dedermann, verfügen wir auch über umfassende Expertise im Bereich IT.

Alles unter Kontrolle?

 

Die Technisch-Organisatorischen Maßnahmen (TOM‘s)

Die DSGVO macht eine ganze Reihe von technisch-organisatorischen Maßnahmen (TOM’s) jetzt zur Pflicht für jeden Anbieter und Verarbeiter digitaler Dienstleistungen. Nicht alle sind neu, oft handelt es sich auch um Bestimmungen, wie sie sich bereits in den nationalen Datenschutzgesetzen fanden. In der Regel handelt es sich stets um Kontrollmaßnahmen, die auch dokumentiert und zertifiziert sein müssen. Hier die zehn wichtigsten TOM‘s, welche das Pflichtenheft der DSGVO jetzt umfasst:

1. Zugangskontrolle: Unbefugte sind von allen Einrichtungen, mit Hilfe derer eine Datenverarbeitung durchgeführt wird, fernzuhalten.
2. Zugriffskontrolle: Es muss sichergestellt sein, dass Mitarbeiter nur auf jene Daten Zugriff haben, welche ihrer Zugangsberechtigung entsprechen.
3. Datenträgerkontrolle: Es ist sicherzustellen, dass Daten nicht unbefugt ausgelesen, verändert oder gar gelöscht werden können.
4. Transportkontrolle: Personenbezogene Daten müssen auch bei der Übermittlung oder beim Transport von Datenträgern vertraulich und integer bleiben.
5. Speicherkontrolle: Der Anbieter muss sicherstellen, dass keine Daten unbefugt eingegeben, verändert oder gelöscht werden können.
6. Benutzerkontrolle: Jede Nutzung einer automatisierten Verarbeitung durch Unbefugte muss ausgeschlossen sein.
7. Übertragungskontrolle: Für alle personenbezogenen Daten muss gewährleistet sein, dass sie nur jenen Stellen zur Verfügung gestellt werden, die zur Kenntnisnahme berechtigt sind.
8. Eingabekontrolle: Auch nachträglich muss sichergestellt sein, dass jeder Nutzer, der Daten eingab oder veränderte, dauerhaft zugeordnet werden kann.
9. Auftragskontrolle: Es muss sichergestellt sein, dass Daten die im Auftrag verarbeitet werden, nur gemäß den Weisungen des Auftraggebers verarbeitet werden.
10. Verfügbarkeitskontrolle: Personenbezogene Daten müssen sicher vor Zerstörung oder Verlust geschützt sein.

Hinzu kommen noch einige technische und organisatorische Bedingungen, die sich auf die systemischen Eigenschaften der eingesetzten Geräte beziehen:

1. Wiederherstellbarkeit: Im Falle einer technischen Panne müssen die Daten fehlerfrei rekonstruiert werden können.
2. Zuverlässigkeit: Alle Funktionen eines datenverarbeitenden Systems müssen stets unterbrechungsfrei zur Verfügung stehen, auftretende Fehlfunktionen sind meldepflichtig.
3. Integrität: Es ist sicherzustellen, dass Daten nicht durch Fehlfunktionen der Technik verändert oder beschädigt werden können.
4. Trennbarkeit: Der Anbieter muss gewährleisten, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt verarbeitet werden können.

Bei der Umsetzung der neuerdings erforderlichen Technisch-Organisatorischen Maßnahmen (TOM’s) stehen Ihnen die zertifizierten Datenschutzbeauftragten bei b.r.m. sehr gerne zur Seite:

Rainer Dedermann & Harald Rossol

Send this to a friend