Die Bedeutung von Daten, Ihre Erhebung, Speicherung und Nutzung für Unternehmen nimmt stetig zu und sie spielen eine ganz erhebliche Rolle für eine erfolgreiche Wertschöpfung. Damit wird auch der richtige Umgang mit Datenschutzthemen immer wichtiger.
Rechtskonforme Erhebung und Verarbeitung von personenbezogenen Daten
Erste ganz wesentliche Voraussetzung für die Zulässigkeit der Verarbeitung personenbezogener Daten ist eine rechtskonforme Erhebung dieser Daten. Gesetzlich gilt ein striktes Verbot der Verarbeitung personenbezogener Daten. Dieses wird nur durch eine im Gesetz definierte Erlaubnis, eine „Ermächtigungsgrundlage“ oder aber durch eine ausdrückliche Einwilligung des Betroffenen.
Gesetzliche Ermächtigungsgrundlagen
Die Regelungen zum Datenschutz sind in einer Vielzahl an Gesetzen geregelt. Neben der zum 18.05.2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DS-GVO) sind vor allem das Bundesdatenschutzgesetz (BDSG), landesrechtliche Datenschutzgesetzte sowie weiterer Spezial- bzw. Bereichsgesetze für Bund und Länder wie etwa das Telemediengesetz (TMG) oder das Telekommunikationsgesetz (TKG) zu nennen.
Diese sehen Regelungen für die Erhebung und Verarbeitung personenbezogener Daten vor. Bekannte Bespiele wären etwa die Strafprozessordnung (StPO) für die Erhebung von Daten im Wege von staatsanwaltschaftlichen Ermittlungen oder aber das Einwohnermeldegesetz.
Meist aber betreffen diese Regelungen die Erhebung personenbezogener Daten durch staatliche Stellen. Für Unternehmen sind wo gut wie keine gesetzlichen Ermächtigungsgrundlagen für die Erhebung dieser Daten vorhanden, jedenfalls nicht im Zusammenhang mit wirtschaftlicher Tätigkeit.
Einwilligung des Betroffenen
Den Regelfall für die rechtlich zulässige Erhebung von personenbezogenen Daten durch Unternehmen stellt daher die Einwilligung des Betroffenen dar. An die Wirksamkeit dieser Einwilligung stellt das Gesetz sehr hohe Anforderungen, vgl. § 4a, § 28 Abs. 3b BDSG. So muss das Unternehmen sicherstellen, dass die Einwilligung des Betroffenen rechtskonform und wirksam eingeholt wird. So sieht § 4a BDSG u.a. vor, dass die Einwilligung nur wirksam ist, wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist zudem auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. Für auf elektronischem Wege eingeholte Einwilligungen, etwa die online erteilte Einwilligung zum Erhalt von E-Mail-Werbung, ist das zum BDSG speziellere Telemediengesetz (TMG) zu beachten. Hier sieht § 13 Abs. 2 TMG vor, dass die Einwilligung elektronisch erklärt werden kann, wenn der Diensteanbieter sicherstellt, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Zudem sieht das TMG eine Vielzahl an Hinweisen zum Umgang des Unternehmens mit personenbezogenen Daten des Nutzers vor. Diese werden üblicherweise in Datenschutz-hinweisen oder Datenschutzbestimmungen aufgeführt, die auf der Internetseite des Unternehmens leicht auffindbar jederzeit abrufbar sind.
Erschwerend kommt hinzu, dass etwa das Gebot der Datenvermeidung bzw. Datensparsamkeit nach § 3a BDSG zu beachten ist: Daten sind zu pseudonymisieren oder zu anonymisieren, soweit das möglich und verhältnismäßig ist.
Beachtet das Unternehmen all diese strengen und vielerorts gesetzlich verankerten Vorgaben und erhebt damit rechtskonform die Einwilligung des Nutzers, so ist damit die Grundvoraussetzung für die Verarbeitung von personenbezogenen Daten des Nutzers geschaffen.
Wichtig ist dann vor allem, dass diese Einwilligung - ganz gleich ob online oder offline erhoben - dauerhaft speichert bzw. dokumentiert. Denn im Streitfall muss das Unternehmen nachweisen, dass eine wirksame Einwilligung in die Datenverarbeitung vorliegt.
Hat das Unternehmen Daten beim Betroffenen rechtskonform erhoben, gilt es aber gleichwohl, dass diese Daten
- nur in rechtlich zulässiger Weise verarbeitet und genutzt werden dürfen
- gegen Verlust und Diebstahl zu sichern sind
- zu löschen sind, wenn der Erhebungszweck entfällt
Und nicht zu vergessen: der Betroffene hat stets das Recht, vom verarbeitenden Unternehmen zu erfahren, welche persönlichen Daten von ihm gespeichert und zu welchem Zweck sie genutzt werden.
Sichere Verarbeitung personenbezogener Daten
Mit der Einwilligung des Betroffenen zur Verarbeitung personenbezogener Daten ist das Unternehmen berechtigt, diese dem Zweck entsprechend zu nutzen. Damit geht die Pflicht einher, diese Daten, die Informationen über eine Person sowie auch weitere Informationen, die sich mit ihr in Verbindung bringen lassen - etwa eine IP-Adresse - zu schützen.
Die Schutzanforderungen ergeben sich ebenfalls aus den gesetzlichen Regelungen. So wurden im Zuge der Datenschutz-Grundverordnung auch die Bestimmungen zur Datensicherheit und damit zu den technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten überarbeitet. Gleiches gilt für die Novelle des BDSG, die zeitgleich mit der DS-GVO am 18.05.2018 in Kraft treten.
Die neue DS-GVO definiert eine Reihe an Vorgaben für die „Sicherheit der Verarbeitung“. Und Art. 5 Abs. 2 DSGVO schreibt vor, dass das Unternehmen die Einhaltung der Datensicherheit gewährleisten und auf Anforderung auch nachweisen muss.
Technische und organisatorische Maßnahmen
Die Datenschutz Grundverordnung - wie auch zuvor und weiterhin das BDSG - definiert eine Reihe an technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.
Das deutsche Datenschutzrecht sah bislang in § 9 BDSG nebst Anlage einen Katalog von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten vor, welcher nun durch die ranghöhere DS-GVO, hier Art. 32, ersetzt wird. Darin sind abstrakte Maßnahmen zur Umsetzung technischer und organisatorischer Maßnahmen geregelt
Abzustellen ist nach dieser Vorschrift hinsichtlich der erforderlichen Maßnahmen u.a. auf den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und den Zweck der Datenverarbeitung. Diese Maßnahmen sollen zudem das drohende Risiko der Beeinträchtigung von Persönlichkeits- und Freiheitsrechten - so etwa Datenverlust oder „Datenklau“ - und dessen Eintrittswahrscheinlichkeit berücksichtigen.
Das Unternehmen muss also Maßnahmen zum ausreichenden Schutz der Daten ergreifen, die aktuell zur Verfügung stehen und die sich bereits in der Praxis bewährt haben. Das impliziert regelmäßige Überprüfungen und Anpassungen dieser Maßnahmen.
Zudem legt Art. 32 Abs. 1 c) DS-GVO fest, dass personenbezogene Daten bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können müssen.
So muss das Unternehmen zunächst eine sogenannte „Schutzbedarfsfeststellung“ hinsichtlich der unterschiedlichen personenbezogenen Daten durchführen. Bei dieser werden zunächst die möglichen Bedrohungen und ihre Eintrittswahrscheinlichkeit wie auch der potenzielle Schaden für die Rechte und Freiheiten natürlicher Personen identifiziert. Daraus werden die nötigen Maßnahmen abgeleitet, die der Unternehmer ergreifen muss.
Einzelne Maßnahmen
Dem Wortlaut des Art. 32 Abs. 1 a) DS-GVO lässt sich etwa die Pseudonymisierung sowie die Verschlüsselung von Daten als mögliche Maßnahme entnehmen. Anonymisierung wird hingegen nicht erwähnt. Weiter geht hingegen § 58 Abs. 3 des Referentenentwurfs für das deutsche Ausführungsgesetz zur Datenschutz-Grundverordnung. Darin werden als mögliche Maßnahmen etwa Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellung, Datenintegrität, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungskontrolle sowie ein Verschlüsselungsverfahren genannt.
Welche Maßnahme das Unternehmen für die jeweiligen Daten bzw. Datenkategorien ergreift, bleibt ihm überlassen, jedenfalls solange, wie die vier in Art. 32 Abs. 1 b) der DS-GVO genannten Schutzziele erreicht sind:
- Vertraulichkeit (die Daten sind für unberechtigte Dritte nicht zugänglich)
- Integrität (die Daten können nicht verfälscht werden)
- Verfügbarkeit (die Daten stehen bei Bedarf zur Verfügung)
- Belastbarkeit der Systeme und Dienste (Systeme halten einer gewissen Beanspruchung stand)
In der Praxis erfordert dies nicht nur ein wirksames Notfallmanagement, sondern auch eine regelmäßige Überprüfung der Maßnahmen auf Wirksamkeit und angemessene (aktuelle) Sicherheit der Daten. Art. 32 Abs. 1 d) DS-GVO schreibt hierzu sogar regelmäßige Test der Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen vor.
Erweitert werden diese gesetzlichen Vorgaben durch Art. 25 DS-GVO. Danach sollen Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Dies meint u.a. die Etablierung von Möglichkeiten wie Deaktivierung von Funktionalitäten, Anonymisierung oder Pseudonymisierung von Daten, gleichwohl aber auch Authentisierungs- und Authentifizierungprozesse sowie die Verschlüsselung von Daten.
Damit nicht genug: in Anlehnung an das Gebot der Datenvermeidung und Datensparsamkeit nach § 3a BDSG sollen IT-Systeme datenschutzfreundlich voreingestellt sein; es sollen nur diejenigen personenbezogenen Daten verarbeitet werden, die für den beabsichtigten Zweck unbedingt erforderlich sind.
Bestellung eines Datenschutzbeauftragten
Empfehlenswert - und je nach Umfang der Verarbeitung personenbezogener Daten im Unternehmen auch gesetzliche Vorschrift - ist die Bestellung eines betrieblichen oder externen Datenschutzbeauftragten. Dieser wird mit der Planung, Umsetzung und Wirksamkeitskontrolle der getroffenen Maßnahmen betraut. Er ist gemäß Art. 38 Abs. 1 DSGVO ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden.
Sanktionen
Kommt das Unternehmen seinen Pflichten hinsichtlich einer ausreichenden Datensicherheit nicht nach, so droht ein Bußgeld in Höhe von bis zu 10 Millionen Euro oder bis 2% des weltweit erzielten Jahresumsatzes. Nicht zuletzt diese erheblichen Bußgelder sollten jedes Unternehmen dazu bewegen, Datenschutz und Datensicherheit ernst zu nehmen.
Fazit
Die Sicherheit von personenbezogenen Daten ist eine Angelegenheit, die für jedes Unternehmen eine sehr hohe Priorität haben sollte – nicht nur wegen dem sonst drohenden erheblichen Bußgeld. Daher sollte jedes Unternehmen, das personenbezogene Daten verarbeitet:
- a) ein Management für Daten- bzw. Informationssicherheit etablieren
- b) den Schutzbedarf dieser Daten feststellen
- c) die Risiken bewerten
- d) entsprechende Maßnahmen zu deren Schutz planen, etablieren und regelmäßig testen
- e) sämtliche Schritte dokumentieren bzw. verschriftlichen
Informationen zum Autor:
Rechtsanwalt Gerd M. Fuchs – foxlaw.de
Literatur
Referentenentwurf für das deutsche Ausführungsgesetz zur Datenschutz-Grundverordnung: LINK
Informationsblatt des Bayerischen Landesamtes für Datenschutzaufsicht zu Artikel 32 DS-GVO: LINK
Bildnachweis: www.fotolia.de #90394392 | Urheber: Weissblick