Gratis
3. August 2018 - Grundlegende Vorgehensweisen zur Umsetzung der DSGVO

Basis-Datenschutz: Das brauchen Sie auf jeden Fall

Drucken

Sind nur noch eine Handvoll spezieller Rechtsfragen im Detail zu klären, und die Verantwortlichen haben ansonsten die Datenschutz-Grundverordnung (DSGVO) komplett umgesetzt? Sicher nicht. Daher stellen wir aus Sicht einer Aufsichtsbehörde die Mindestanforderungen zur Umsetzung der DSGVO dar.

Im technischen Bereich geht es in der DSGVO grundsätzlich darum, das Risiko für die Rechte und Freiheiten natürlicher Personen bestmöglich zu senken Im technischen Bereich geht es in der DSGVO grundsätzlich darum, das Risiko für die Rechte und Freiheiten natürlicher Personen bestmöglich zu senken (Bild: Devenorr / iStock / Getty Images)

Einige Anforderungen davon dürften den meisten Lesern bereits aus verschiedenen Zusammenhängen, sei es aus dem Gesetzestext, aus Fachartikeln oder Vorträgen, bekannt sein. Manche haben sie vielleicht noch nie – oder anders – gehört.

Letztendlich ist dies aber nicht das Wichtigste. Denn der 25. Mai 2018 war nicht das Ende einer vollständigen Umsetzung eines neuen Gesetzes, sondern die datenschutzkonforme Ausgestaltung von Verarbeitungsprozessen hat gerade erst begonnen.

Ein Ende – und das ist auch das Wesen der DSGVO – wird es nicht geben können, stattdessen nur die stetige Verbesserung und Anpassung des sorgsamen Umgangs mit personenbezogenen Daten an sich ändernde Rahmenbedingungen.

Im Folgenden stellen wir nun einige nicht abschließende Bereiche vor, die alle Verantwortlichen umzusetzen haben und die die Basis für weitere speziellere Anforderungen (beispielsweise Datentransfers in Drittländer, Datenportabilität etc.) bilden.

Verzeichnis der Verarbeitungstätigkeiten

Sei es der Bäcker um die Ecke, der Online-Shop, der Datenhändler oder der Großkonzern: Alle müssen ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO führen.

Das Verzeichnis ist aber – richtig angewendet – kein Bürokratiemonster, sondern liefert dem Verantwortlichen einen schnellen Überblick über die zentralen Fragen der eigenen Datenverarbeitung. Dazu gehört z.B.:

  • In welchen Bereichen werden überhaupt personenbezogene Daten verarbeitet?
  • Wieso werden die Daten verarbeitet (DSGVO: Was ist der Zweck der Verarbeitung?)
  • Welche Art von Daten (DSGVO: Kategorien) sind dies denn?
  • Wie lange sind diese erforderlich und ab wann müssen sie gelöscht werden?
  • Werden evtl. Dienstleister (in unsicheren Drittstatten) eingesetzt?
  • Wie werden die Daten vor Missbrauch geschützt?

Die Ausnahmen des Art. 30 Abs. 5 zum Verzeichnis der Verarbeitungstätigkeiten lösen sich bei fast allen Unternehmen in Luft auf, da keine regelmäßige Verarbeitung so gut wie nie vorkommt.

Schon die Webseite oder die Lohn-/Gehaltsabrechnung hebt diese Ausnahme auf. Auch fällt eine Datenverarbeitung selten in die Kategorie „kein Risiko“.

Wenig Aufwand für kleine Unternehmen

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten, also auch für die kleinen und mittleren Unternehmen (KMU). Erfreulich ist, dass die Umsetzung des Verzeichnisses der Verarbeitungstätigkeiten sehr gut skaliert.

Das heißt dass ein kleines Unternehmen, beispielsweise ein Bäcker, dieses Verzeichnis mit sehr wenig Aufwand erstellen kann: Im Prinzip reichen ein paar Blätter Papier, ein Blick auf die Handreichungen einer Datenschutzaufsichtsbehörde (z.B. www.lda.bayern.de/de/kleine-unternehmen.html) und die Umsetzung von – wahrscheinlich bereits bestehenden – IT-Schutzmaßnahmen wie aktuelle Software, Verwendung von Passwörtern und die korrekte Entsorgung von Datenträgern, um die Handvoll Verarbeitungstätigkeiten aufzuschreiben.

Hält sich der Aufwand bei kleineren Unternehmen in Grenzen, kann bei datengetriebenen Unternehmen oder Konzernen die Welt dagegen ganz anders aussehen: Bei diesen meist prozessorientierten Unternehmen ist es schon eine komplexe Aufgabe, die Menge der Geschäftsprozesse auf ein – passend zum Zweck der Verarbeitung – mittleres Abstraktionsniveau zu bringen.

Schnell können hier einige Hundert Verarbeitungstätigkeiten zusammenkommen, die häufig viele Dienstleister oder Mutter-/Töchterunternehmen umfassen. Da oft große Rechts- und IT-Abteilungen vorhanden sind, dürfte das Verarbeitungsverzeichnisse auch hier gut zu erstellen sein.

Ist das Verzeichnis (in Teilen) erstellt, werden für jede Verarbeitungstätigkeit folgende Bereiche umgesetzt und dokumentiert:

Informationspflichten

Die DSGVO hat im Vergleich zum alten Bundesdatenschutzgesetz (BDSG-alt) erweiterte Informationspflichten, die sich v.a. in Artikel 13 (Daten werden beim Betroffenen erhoben) und Artikel 14 (Daten werden bei Dritten erhoben) wiederfinden.

Da die Erhebung bei Dritten eine Erweiterung der Erhebung beim Betroffenen ist, lohnt es sich, zuerst einen Blick auf die Basis zu werfen, die immer umzusetzen ist. Wichtig an dieser Stelle ist, dass nur über das informiert werden muss, was dem Betroffenen nicht bereits (auch durch den Kontext) bekannt ist.

Folgende formale Bereiche müssen z.B. enthalten sein:

  • Name des Verantwortlichen
  • Kontaktdaten des DSB (E-Mail-Adresse reicht im Online-Umfeld aus)
  • Zwecke der Verarbeitung
  • Empfänger der Daten (inkl. Drittlandtransfers)

Weitere Informationen stellen den Grundsatz der fairen und transparenten Verarbeitung sicher, u.a. Speicherdauer, Informationen über Betroffenenrechte (z.B. Auskunft, Berichtigung etc.) und Beschwerderecht bei der Aufsichtsbehörde.

Erheben Unternehmen oder Vereine Daten nicht beim Betroffenen (Art. 14 DSGVO), müssen sie die fehlenden Bereiche, z.B. Name des Verantwortlichen, ergänzen.

Nicht vergessen: die eigene Webseite, da sie als „Angriffspunkt“ für Abmahnungen von (vermeintlichen) Wettbewerbern bestens geeignet ist.

Obwohl noch unklar ist, ob der Datenschutz nach DSGVO als Abmahngrund Bestand haben wird oder überhaupt ein Wettbewerbsverhältnis im Sinne des UWG (Gesetz gegen den unlauteren Wettbewerb) vorliegt – z.B. bei lokalen Vereinen –, dürfte dieses Thema noch einige Zeit für Unsicherheit und „Zornesfalten“ sorgen.

PRAXIS-TIPP: Sollte eine konkrete Informationspflicht „absurd“ anmuten, dann besser bei der zuständigen Aufsichtsbehörde (auf der Webseite) Informationen einholen. Vermutlich wird eine Auslegung dann zu eng gesehen.

Rechtsgrundlagen

Jede Verarbeitungstätigkeit bedarf einer Rechtsgrundlage. Für jede Verarbeitungstätigkeit ist also die Rechtsgrundlage zu bestimmen und zu dokumentieren. Zur Verfügung stehen nach DSGVO:

  • a) Einwilligung
  • b) Vertrag
  • c) rechtliche Verpflichtung des Verantwortlichen
  • d) lebenswichtige Interessen des Betroffenen
  • e) öffentliches Interesse
  • f) Interessenabwägung

Die Rechtsgrundlagen lassen sich (so der aktuelle Stand bei den Aufsichtsbehörden) nicht beliebig austauschen. So kann bei Widerruf einer Einwilligung nicht einfach eine Weiterverarbeitung auf Basis berechtigter Interessen erfolgen.

Auftragsverarbeitung

Für jede Verarbeitungstätigkeit ist eine Liste der Dienstleister anzufertigen Die Gretchenfrage bei der Entscheidung, ob ein Auftragsverarbeitungsverhältnis vorliegt, ist, wer „über die Zwecke und Mittel“ entscheidet.

  • „Zwecke“ bedeutet im Prinzip, wer entscheidet, was mit den personenbezogenen Daten gemacht wird,
  • die „Mittel“, welches Wissen, ggf. andere Daten und IT-Infrastruktur eingesetzt wird.

Fällt die Tätigkeit des Dienstleisters nicht in die Auftragsverarbeitung, ist eine Weitergabe an ihn, also an einen Dritten, nicht kategorisch ausgeschlossen. Allerdings sind hierfür eine Rechtsgrundlage nötig sowie meist ebenfalls entsprechende Verträge.

Ein wichtiger Tipp: Auch unter der DSGVO darf es nicht ausgeschlossen werden, dass Verantwortliche Auftragsverarbeiter grundsätzlich persönlich kontrollieren können. Auch wenn dieses Thema durch die wohl ab 2019 verfügbaren Zertifizierungen nicht mehr so bedeutend wie heute ist, wäre eine solche formale Beschränkung nicht zulässig.

Datenschutz durch Technik (Privacy by Design)

Dieses Prinzip bedeutet im Kern einfach, dass Verantwortliche die Grundsätze der Verarbeitung nach Art. 5 Abs. 1 auch mittels technischer und organisatorischer Maßnahmen umsetzen müssen. Die Grundsätze sind

  • Transparenz,
  • Zweckbindung,
  • Datenminimierung,
  • Richtigkeit,
  • Speicherbegrenzung sowie
  • Integrität und Vertraulichkeit.

Dies ist keine einmalige Aufgabe, sondern soll über den kompletten zeitlichen Ablauf einer Verarbeitungstätigkeit bewertet und ggf. an sich ändernde Rahmenbedingungen angepasst werden. Das betrifft z.B. die Auswahl einer Software, die Planung einer Marketingmaßnahme oder die Umsetzung einer Geschäftsidee.

Auch Privacy by Design skaliert gut

Kleine Unternehmen erreichen meist schon mittels Rollen-/Rechtekonzepten (Windows-Standard) und Pseudonymisierungen ein gutes Niveau.

Große und datengetriebene Unternehmen müssen dagegen meist höhere Hürden nehmen. Denn die Komplexität der Datenflüsse bringt kompliziertere Maßnahmen zur Risikoeindämmung mit sich.

Sicherheit der Verarbeitung

Die DSGVO setzt einen besonderen Schwerpunkt auf den Schutz vor unbefugter Verarbeitung von personenbezogenen Daten. Eine unbefugte Verarbeitung liegt z.B. bei Hacker-Angriffen oder Ransomware-Trojanern vor.

Angelehnt an bewährte Methoden der Informationssicherheit beschäftigt sich Artikel 32 damit, wie Verantwortliche die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität sicherstellen. Als primäre Maßnahmen, um das Risiko zu senken, gelten Pseudonymisierungen und Verschlüsselungsverfahren.

Zusätzlich müssen aber neben den Daten und Prozessen sowohl speziell die IT-Systeme geschützt als auch die Mitarbeiter sorgsam ausgewählt werden. Und wieder ist die Sicherheit, die im Einklang mit der DSGVO steht, ein regelmäßiger Prozess der Bewertung und Verbesserung.

Meldepflichten

Es ist gut, wenn personenbezogene Daten gegen unbefugte oder ungewollte Zugriffe bestmöglich geschützt sind – eine 100%ige Sicherheit kann es aber nicht geben, was letztendlich dazu führt, dass sich die meisten Unternehmen mit den Meldepflichten nach Artikel 33 und 34 beschäftigen müssen.

Die DSGVO hat dabei die Meldeschwelle für eine Mitteilung an die Aufsichtsbehörde massiv nach unten gesenkt. Zu beachten ist, dass Verantwortliche nicht nur die Sicherheitsverletzungen des eigenen Unternehmens melden müssen, sondern auch die aller Dienstleister (sogar aller Sub- und Sub-Sub-Dienstleister im internationalen Kontext).

Bei der Meldung ist unbedingt die Frist von 72 Stunden – recht hart: Wochenenden und Weihnachten zählen leider mit! – einzuhalten. Hier einige typische Beispiele für Meldeverpflichtungen bei der Aufsichtsbehörde:

  • Hacking eines Webshops
  • Ransomware-Trojaner bei einem Arzt
  • Befall von komplexer Malware (im Sinne von Nachlademöglichkeiten von Schadcode)
  • Diebstahl/Verlust eines Notebooks (es sei denn, es ist vollverschlüsselt)
  • offener E-Mail-Verteiler, wenn der Kontext nicht nur belanglos ist
  • Brief-Fehlversand
  • Softwarefehler (z.B. Ticket-Buchungsportal)

Die Betroffenen sind nur bei einem hohen Risiko zu informieren. Vom Prinzip ist dies mit dem bisherigen § 42a BDSG vergleichbar, außer dass es keine Eingrenzungen auf bestimmte Datenkategorien mehr gibt.

„Nicht-Meldung“ ist die Ausnahme

Eine Meldung ist bei einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität nur dann nicht notwendig, wenn kein Risiko für die Betroffenen besteht. Unter www.lda.bayern.de/datenpanne findet sich eine Risikomatrix, die unter den deutschen Aufsichtsbehörden abgestimmt ist. Sie kennzeichnet die „Nicht-Meldung“ eher als Ausnahme.

Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (DSFA) ist dann erforderlich, wenn sich nicht hinreichend sicherstellen und nachweisen lässt, dass die auf Basis von Art. 25 und 32 DSGVO getroffenen Maßnahmen wirksam sind oder das Restrisiko trotz der nach bestem Wissen gewählten Maßnahmen weiterhin hoch ist.

Dies dürfte häufig bei neuen, d.h. in einer Branche innovativen Technologien der Fall sein, zu denen es das Erfahrungswissen noch nicht gibt. Auch bei sehr komplexen Prozessabläufen, die mit riesigen Datenmengen umgehen, reichen Standardmaßnahmen meist nicht aus – dies beschreibt z.B. Art. 35 Abs. 3 DSGVO mit dem Begriff „umfangreiche Verarbeitung“.

Momentan spielt besonders die Frage nach einer umfangreichen Verarbeitung eine wichtige Rolle. Denn in diesem Fall müsste in Kombination mit z.B. Gesundheitsdaten ein Datenschutzbeauftragter (§ 38 BDSG-neu) bestellt werden.

Gerade kleine niedergelassene Ärzte grübeln, ob eine Patientenzahl von 6.000 schon unter den Begriff „umfangreich“ fällt. Dieses Thema diskutieren auch die deutschen Aufsichtsbehörden kontrovers. Es zeichnet sich jedoch eine Tendenz ab, dass eine Anlehnung an den englischen Begriff „large scale“ hier Klarheit bringen könnte, da damit die meisten Ärzte, Psychologen, Sozialarbeiter etc. nicht unter die DSFA-Pflicht fallen und damit auch kein Datenschutzbeauftragter zu bestellen ist.

Ausnahme: Es finden andere Voraussetzungen Anwendung, etwa die Zehn-Personen-Grenze. Gehen Sie im Zweifel einfach auf die Webseite der zuständigen Aufsichtsbehörde und lesen Sie nach, wie die bundeslandtypische Sichtweise zu diesem Thema ist.

Wann ist eine DSFA erforderlich?

Die DSFA muss im Kontext der anderen DSGVO-Artikel „zur Technik“ betrachtet werden, da sich sonst die Frage, ob eine Folgenabschätzung nötig ist – wenn nämlich wahrscheinlich ein hohes Risiko vorliegt – schwerlich beantworten lässt. Dazu ein leicht überzeichnetes Beispiel:

Angenommen, ein Hausarzt in einer kleinen ländlichen Gemeinde baut ein neues Praxisgebäude. Alles klappt hervorragend, außer dass der Schreiner die stabile Haustür erst vier Wochen später liefern kann. Der Arzt zieht trotzdem mit seinen Papierakten in das Gebäude. Die Akten sind nun mangels Tür in den (nicht verschlossenen) Schränken für jedermann zugänglich. Der Arzt hängt zum Schutz an den Türrahmen ein Schild „Betreten verboten“.

Nun die Frage: Welches Risiko der unbefugten Kenntnisnahme haben die Patientendaten? Die einhellige Antwort dürfte „Hoch“ sein. Damit müsste der Arzt nun eine Datenschutz-Folgenabschätzung durchführen, oder?

Er braucht auch ein Team aus Security-Spezialisten, Rechtsanwälten und Bauingenieuren sowie viel Zeit und Geld. Das Ergebnis der systematischen Risikobeurteilung (nichts anderes ist eine DSFA) ist nun: Er braucht eine stabile Tür.

Sollte der Arzt diese Erkenntnis – mit Blick auf den Aufwand – emotional gut überstanden haben, wird er die berechtigte Frage stellen, ob denn eine Datenschutz-Folgenabschätzung für das Offensichtliche überhaupt notwendig war. Die Antwort liegt auch hier auf der Hand: Natürlich nicht.

DSFA bei KMUs meist kein Thema

Die Folgenabschätzung dürfte bei KMUs meist nicht nötig sein, außer z.B. bei sehr speziellen datengetriebenen Geschäftsmodellen wie Big Data, speziellen Apps oder innovativen Technologien.

Trotzdem müssen auch KMUs bei jeder Verarbeitungstätigkeit kurz bewerten und dokumentieren, ob wahrscheinlich ein hohes Risiko (= DSFA) vorliegt. Bei großen oder datengetriebenen Unternehmen ist eine DSFA allerdings schon eine Größenordnung, die nicht unterschätzt werden darf.

Muss-Listen und Nicht-Muss-Listen

Die Aufsichtsbehörden sind angehalten, Verarbeitungstätigkeiten zu benennen, bei denen wahrscheinlich ein hohes Risiko vorliegt und daher eine DSFA durchzuführen ist.

Die erste abgestimmte Muss-Liste (auch Blacklist genannt) hat die Datenschutzkonferenz Anfang Juni 2018 verabschiedet. Sie findet sich zum Download unter www.lda.bayern.de/dsfa.

Listen von Verarbeitungstätigkeiten, bei denen keine DSFA durchzuführen ist, wird es momentan von den deutschen Aufsichtsbehörden nicht geben. Denn die Methoden der Risikobeurteilung sind noch nicht ausreichend erprobt.

Rechenschaftspflicht

Neu in der DSGVO ist die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Verantwortliche müssen der Aufsichtsbehörde bei Prüfungen nachweisen, dass sie die Grundverordnung einhalten.

Bei großen Unternehmen ist damit ein Managementsystem faktisch Pflicht, während kleine Unternehmen und Vereine auf Basis des Verarbeitungsverzeichnisses hier leichteres Spiel haben: Sind alle in diesem Artikel genannten Punkte umgesetzt, dokumentiert und regelmäßig überprüft, reicht das für den Nachweis der DSGVO meist schon aus.

Fazit: Jeder braucht eine solide Basis

Während gerade bei kleinen Unternehmen und Vereinen wohl bald die (unberechtigte) Sorge vor Bußgeldern in Millionenhöhe nachlassen dürfte, werden die Aufsichtsbehörden zunehmend in die Prüfungen einsteigen.

Es bleibt zu hoffen – und ist auch zu erwarten –, dass die Prüfschwerpunkte und Bußgelder ebenfalls gemäß dem risikoorientierten Ansatz eher auf große Unternehmen und datengetriebene Geschäftsmodelle denn auf kleine Sportvereine und Handwerksbetriebe zielen.

Trotzdem empfiehlt es sich, den Basisdatenschutz ernst zu nehmen und den Aufsichtsbehörden damit im Fall der Fälle entspannter zu begegnen.

Andreas Sachs
Andreas Sachs leitet das Referat „Technischer Datenschutz und IT-Sicherheit“ beim bayerischen Landesamt für Datenschutzaufsicht (BayLDA).