Staatstrojaner soll zukünftig auch Smartphones überwachen

21. Juli 2017

Der Einsatzbereich des Staatstrojaners ist in Deutschland erheblich vergrößert worden. Im Zuge dessen beabsichtigt das Bundeskriminalamt (BKA) noch dieses Jahr die erforderliche Software fertigzustellen, damit der noch mächtigere Staatstrojaner fortan auch Smartphones überwachen kann. Demnach sind nicht mehr nur, wie bisher, Skype und Windows betroffen, sondern auch Messenger auf mobilen Plattformen wie Android, iOS und Blackberry.

Das Parlament hat im Eilverfahren ein Gesetz verarbschiedet, welches die Strafverfolgungsbehörden ermächtigt, in bestimmten Fällen verschlüsselte Internet-Telefonate und Chats über Messenger wie Signal, WhatsApp oder Threema zu überwachen. Erforderlich dafür ist, dass die vom BKA momentan sich in intensiver Entwicklung befindliche Schadsoftware die Geräte der Betroffenen infiziert. Dieses Vorgehen läuft zwar der allgemeinen IT-Sicherheit zuwider. Nach Angaben des BKA hat dieses jedoch alle „Grundrechtsschonenden Alternativen“ ohne Erfolg überprüft. Damit kann die Polizei u.a. auch, sofern der Verdacht auf eine besonders schwere Straftat vorliegt, komplette IT-Systeme wie Computer oder Smartphones ausspähen.

NRW-Justizminister fordert Nutzung von Mautdaten zur Strafverfolgung

Für die Erhebung der Lkw-Maut sammelt das vom Verkehrsministerium beauftragte Unternehmen Toll Collect zahlreiche Daten. Dabei handelt es sich unter anderem um Fotos der Lkw’s und der Nummernschilder, den Namen des Fahrers oder um Ort und Zeit der Autobahnnutzung. Die Rechtsgrundlage für das Erheben und Verarbeiten dieser Daten findet sich in § 4j des Gesetzes über die Erhebung von streckenbezogenen Gebühren für die Benutzung von Bundesautobahnen und Bundesstraßen (BFStrMG).

Der nordrhein-westfälische Justizminister Peter Biesenbach hat nun gefordert, dass die erhobenen Lkw-Mautdaten auch für die Aufklärung schwerer Straftaten genutzt werden sollten. Den Anlass für diese Forderung bildete die Ermordung einer Joggerin in Baden-Württemberg. Unter anderem aufgrund von Mautdaten aus Österreich hat die Polizei dabei in diesem Fall Hinweise auf einen möglichen Tatverdächtigen erhalten.

Dieser Forderung steht jedoch entgegen, dass in § 4j Abs. 3 BFStrMG eindeutig festgelegt ist, dass die durch die Mautstellen erhobenen Daten ausschließlich zur Wahrnehmung der hoheitlichen Aufgaben im Rahmen der Kontrolle der Einhaltung der Mautpflicht und Ahndung von Verstößen verwendet werden dürfen. Hierdurch wird eine eindeutige Zweckbindung im datenschutzrechtlichen Sinne normiert, die einer Übermittlung zu anderen Zwecken entgegensteht. Hiervon ist auch die Übermittlung zum Zwecke der Strafverfolgung umfasst. Demnach wäre auch die von Peter Biesenbach geforderte Übermittlung zur Aufklärung schwerer Straftaten erst nach einer entsprechenden Gesetzesänderung möglich und bis zu einer solchen Änderung als nicht rechtmäßig anzusehen.

Sammelklage gegen Facebook vor dem EuGH

20. Juli 2017

Der österreichische Datenschützer Maximilian Schrems will mit einer Sammelklage von 25.000 Verbrauchern aus der ganzen Welt gegen Facebook vorgehen. Vor dem OGH in Wien hatte der Jurist schon gegen die missbräuchliche Verwendung von Nutzerdaten geklagt. In Österreich ist es möglich, dass viele Personen ihre Ansprüche an eine Person abtreten, die dann alle Ansprüche gesammelt geltend machen kann, die sogenannte „Sammelklage österreichischer Prägung“. Mehr als 25.000 Verbraucher hatten über Schrems´ Webseite ihre Ansprüche gegen Facebook an Maximilian Schrems abgetreten.

Facebook führte an, dass die österreichischen Gerichte hierfür nicht zuständig seien. Somit bliebe Betroffenen nur der Weg einer einzelnen Klage gegen Facebook. Der Europäische Gerichtshof (EuGH) muss nun klären, ob eine Sammelklage gegen Facebook grundsätzlich zulässig ist.

Je nach der Entscheidung des EuGH könnte eine europaweite, oder gar weltweite Sammelklage möglich, oder aber auch nur für Verbraucher aus bestimmten Ländern zulässig sein. Andernfalls müssten viele parallele Verfahren in Österreich und anderen Ländern geführt werden. Mit einer schnellen Entscheidung ist aber nicht zu rechnen. Der EuGH-Generalanwalt will erst nach dem Sommer eine Einschätzung abgeben.

Schrems ist vor dem EuGH kein Unbekannter. Er hatte bereits eine Klage vor den EuGH gebracht. Dieser Rechtsstreit drehte sich um die Weitergabe von Facebook-Daten an den US-amerikanischen Geheimdienst NSA. Der EuGH setzte darauf das Safe-Harbor-Abkommen aus.

Themenreihe DSGVO: Datenschutz im Unternehmen (Teil 3)

Aufsichtsbehörde, Art. 51 ff. DSGVO
Art. 51 DSGVO enthält die Vorgabe für die Mitgliedstaaten, unabhängige Aufsichtsbehörden einzurichten. Aufgabe dieser Behörden soll einerseits der Schutz der Grundrechte und Grundfreiheiten sein, andererseits aber auch die Erleichterung des freien Verkehrs von personenbezogenen Daten innerhalb der Union. Diese doppelte Aufgabe wird als vorrangiges Ziel der Aufsichtsbehörde verstanden und soll bei Entscheidungen einen gerechten Ausgleich zwischen die Interessen der Verantwortlichen und der Betroffenen bringen.

Darüber hinaus schreibt Art. 51 Abs. 2 DSGVO die kohärente Anwendung der Vorschriften der DSGVO durch die Aufsichtsbehörden vor. Hierzu sollen die Aufsichtsbehörden sowohl untereinander als auch mit der Kommission eng zusammenarbeiten, eine nähere Ausgestaltung dieser Zusammenarbeit findet sich in Kapitel VII der DSGVO. Insbesondere soll die Zuständigkeit genauer geregelt werden, um zukünftig ein forum shopping zu verhindern.

Die Zuständigkeit der Aufsichtsbehörden beschränkt sich grundsätzlich gem. Art. 55 Abs. 1 DSGVO auf das Hoheitsgebiet des eigenen Mitgliedsstaates.
Die Art. 55 und 56 DSGVO regeln Fälle der grenzüberschreitenden Datenverarbeitung, in denen die Zuständigkeit bei einer federführenden Aufsichtsbehörde liegen soll. Daneben wird den übrigen Behörden ein Mitspracherecht und ein eigener Entscheidungsspielraum für die Fälle eingeräumt, in denen die federführende Behörde keine vorrangige Zuständigkeit hat.
Für den Fall, dass von einem Sachverhalt mehrere Aufsichtsbehörden nach Art. 4 Nr. 22 DSGVO betroffen sind, bestimmt Art. 56 eine federführende Behörde. Diese ist dann nach dem in Art. 60 DSGVO beschriebenen Verfahren für die Zusammenarbeit mit den anderen Aufsichtsbehörden zuständig. Nach Art. 56 Abs. 1 DSGVO bestimmt sich die federführende Behörde danach, wo sich der Hauptsitz des Unternehmens des Datenverarbeiters oder seine einzige Niederlassung befindet.

One-Stop-Shop, Art. 56 Abs. 6 DSGVO
Die Regelung des Art. 56 Abs. 6 DSGVO bewirkt, dass sich der Verantwortliche oder Auftragsverarbeiter in Fällen der grenzüberschreitenden Datenverarbeitung ausschließlich an die für ihn zuständige federführende Aufsichtsbehörde wenden kann. Dieses Prinzip des One-Stop-Shop soll dazu dienen, dass in Zukunft auch bei grenzüberschreitenden Sachverhalten, die Kommunikation und Abstimmung der Vorgehensweisen durch die Einbeziehung nur einer Aufsichtsbehörde erleichtert werden.

Bestellung eines DSB, Art. 35 ff. DSGVO
Art. 37 DSGVO schreibt die Bestellung eines Datenschutzbeauftragten (DSB) in den in Absatz 1 aufgelisteten Fällen vor. Damit muss ab 2018 jedes Unternehmen, das aus datenschutzrechtlicher Sicht einer Kontrolle bedarf einen DSB benennen.

Deutschland hat bereits die in der DSRL vorgesehene Öffnungsklausel genutzt und in § 4f BDSG die Bestellung des DSB geregelt, sodass hier voraussichtlich keine Änderungen zu erwarten sind.

Nach Art. 37 Abs. 1 lit. b) und lit. c) DSGVO muss ein DSB bestellt werden, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche einer Überwachung bedürfen oder wenn die Kerntätigkeit in der Verarbeitung besonderer Kategorien von Daten gem. Art. 9 oder Art. 10 besteht.
Unter dem Begriff der Kerntätigkeit ist jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens sind.

Der Pflichtenkreis des DSB wird durch Art. 39 DSGVO erweitert. Während der DSB bisher nur auf die Einhaltung des BDSG „hinwirken“ sollte, sieht die DSGVO künftig eine Überwachungspflicht hinsichtlich der Einhaltung des gesamten anwendbaren Datenschutzrechts sowie der Einhaltung der Datenschutzstrategien vor. Es bleibt dabei, dass der DSB keine Weisungs- oder Entscheidungsbefugnis hinsichtlich der Datenverarbeitung hat, solange er den ihm zugewiesenen Aufgaben ordnungsgemäß nachkommt.
Des Weiteren ergibt sich aus Art. 38 Abs. 4 DSGVO die Pflicht des DSB, gegenüber betroffenen Personen Anfragen, Hinweisen und Beschwerden nachzugehen und die betroffenen Personen dahingehend zu beraten. Art. 39 DSGVO bringt auch den risikobasierten Ansatz der DSGVO zum Ausdruck: je sensibler die Art der verarbeiteten Daten und je größer der Umfang, desto sorgfältiger und umfangreicher muss der DSB arbeiten.

Die DSGVO lässt die Haftungsfragen des DSB weitgehend unbeantwortet. Jedenfalls sind gem. Art. 83 Abs. 4 und Abs. 5 DSGVO keine Geldbußen gegenüber DSB vorgesehen. Eine Regelung bzgl. einer zivilrechtlichen sowie straf- und ordnungswidrigkeitenrechtliche Haftung des DSB sieht die DSGVO nicht vor. Insgesamt bleibt abzuwarten, wie die Gerichte und Aufsichtsbehörden die Regelungen auslegen. Der DSB sollte solange die Erfüllung seiner Aufgaben und Pflichten ausführlich dokumentieren, um nachweisen zu können, dass er das seinerseits Erforderliche hinsichtlich der Einhaltung des Datenschutzes im Unternehmen getan hat.

Sanktionen, Art. 83 DSGVO
Bei Verstößen von Verantwortlichen oder Auftragsverarbeitern gegen die DSGVO, haben die Aufsichtsbehörden nach Art. 58 Abs. 1 und Abs. 2 DSGVO die Möglichkeit, Sanktionen zu verhängen. Vorrangiges Ziel der Verhängung von Bußgeldern soll die Abschreckung von Unternehmen sein. Diese soll unter der Berücksichtigung der Umstände des Einzelfalls wirksam und verhältnismäßig sein.

Art. 83 Abs. 2 DSGVO stellt der Aufsichtsbehörde Ermessenskriterien bei der Verhängung von Geldbußen zur Verfügung, die sich insbesondere an der Art, Schwere und dem Umfang des Verstoßes orientieren. Daneben ist unter anderem zu berücksichtigen, ob der Verstoß fahrlässig oder vorsätzlich begangen wurde und welche Maßnahmen zur Schadensminimierung ergriffen wurden.

In der nächsten Woche folgt noch der Abschlussbeitrag der Themenreihe DSGVO.

Verbraucherbeschwerden über unerlaubte Telefonwerbung nehmen zu

19. Juli 2017

Wie die Rheinische Post heute mitteilt, ist die Zahl der Beschwerden von Verbrauchern, die im 1. Halbjahr 2017 bei der Bundesnetzagentur wegen unerlaubter Telefonanrufe eingingen, rasant gestiegen. Seit Januar beklagten sich in nur 6 Monaten bereits über 26000 Menschen, die sich durch solche Anrufe belästigt fühlten, und damit bereits fast so viel wie im gesamten vergangenen Jahr (rund 29000).

Dabei ist das Anrufen zu Werbezwecken, ohne dass der Betroffene zuvor seine ausdrückliche Einwilligung erteilt hat, unzulässig, wir berichteten.

Wie Sie sich wirksam gegen unerwünschte Werbung im Allgemeinen und unerwünschte Werbeanrufe im Besonderen zur Wehr setzen können, erklärt ein aktuelles Merkblatt des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg „Was Sie gegen unerwünschte Werbung tun können“, Stand Mai 2017).

Dieses Merkblatt geht sowohl auf Telefonwerbung sowie auf Online-Werbung wie E-Mail, Telefax, SMS, MMS, als auch auf die Offline-Werbung wie Briefpost ein und informiert auch über mögliche Gegenmaßnahmen.

Gesetzesentwurf: Polizeiliche Ermittlung mit Vorratsdaten und Funkzellenabfragen

14. Juli 2017

Die Bundesländer haben jüngst einen Gesetzesentwurf bestätigt, nachdem Ermittler im Kampf gegen Wohnungseinbrüche, also auf Anlass, Standortdaten von Handys abfragen dürfen und von der Vorratsdatenspeicherung profitieren.

Mit dem Gesetztesentwurf wird das Stafgesetzbuch (StGB) sowie die Strafprozessordnung (StPO) entsprechend geändert. Da der Bundesrat den Gesetztesentwurf ohne Ausspache befürwortet hat, können die neuen Vorschriften schon bald in Kraft treten.

Nachdem die Bundesnetzagentur die Pflicht zur Vorratsdatenspeicherung allerdings auf Druck eines Urteils des Oberverwaltungsgerichts aussetzte, setzen die meisten Provider die Auflage nicht um, sodass die neuen Ermächtigungen bislang ins Leere laufen.

Nach der neuen Regelung können Ermittler auch auf Standortdaten zurückgreifen, die sie aufgrund von Funkzellenabfragen erhalten haben. Dies folgt aus der Strafrahmenerhöhung des § 244 Abs. 4 StGB, nachdem ein Wohnungseinbruchdiebstahl nunmehr generell mit einer Haft von mindestens zwölf Monaten bestraft werden kann. Damit handelt es sich beim Wohnungseinbruchdiebstahl um eine „schwere Straftat“, bei der die Polizei dazu ermächtigt wird, alle zu einem bestimmten Zeitpunkt in einer Funkzelle anfallenden Verbindungs- und Standortdaten zu erheben und durchzurastern. Hierzu reicht es aus, dass ein einschlägiger Verdacht besteht.

Den mit einer solchen Abfrage verbundenen Eingriff in das Fernmeldegeheimnis des Betroffenen sieht die Länderkammer als notwendig und verhältnismäßig an. Für die Gesetzesänderung ausschlaggebend war vor allem, dass die Wohnungseinbruchsrate laut Polizeilicher Kriminalstatistik einige Jahre angestiegen war. Zuletzt, 2016, sank sie allerdings um fast 10 Prozent.

Themenreihe DSGVO: Datenschutz im Unternehmen (Teil 2)

Der Konzeption von Art. 25 DSGVO liegt der Gedanke zugrunde, dass durch datenschutzfreundliche Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) dem Datenschutz schon zu einem möglichst frühen Zeitpunkt Rechnung getragen werden soll. Die unrechtmäßige Verarbeitung oder ein Missbrauch von Daten soll damit möglichst schon präventiv verhindert werden. In Art. 25 Abs. 1 DSGVO werden dabei Grundsätze für das Privacy by Design und in Art. 25 Abs. 2 DSGVO die entsprechenden Grundsätze für das Privacy by Default normiert. In erster Linie richtet sich die Norm an die Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO und nicht unmittelbar an die Hersteller von Produkten, Diensten und Anwendungen. Mittelbar soll sich aus Art. 25 Abs. 1 DSGVO jedoch auch für Hersteller und Entwickler eine datenschutzrechtliche Vorfeldwirkung ergeben und diese dazu ermutigt werden, datenschutzfreundliche Produkte, Systeme und Dienste anzubieten.

Privacy by Design (Art. 25 Abs. 1 DSGVO)

Privacy by Design wird dabei von der Erkenntnis geleitet, dass sich im digitalen Zeitalter die rechtlichen Vorgaben des Datenschutzrechts dann am besten umsetzen und wahren lassen, wenn sie bereits in den neuen technischen Entwicklungen berücksichtigt und in sie integriert werden. Die Befolgung des Datenschutzes soll zur festen Komponente bei der Entwicklung neuer Technologien und Systeme werden. Im Idealfall führt datenschutzfreundliche Technikgestaltung präventiv dazu, dass datenschutzrechtliche Verstöße verhindert und das Vertrauen der Nutzer in die Technologien und Systeme gestärkt wird. Um einen solchen Datenschutz durch Technik umzusetzen, verpflichtet Art. 25 Abs. 1 DSGVO den Verantwortlichen i.S.d. Art. 7 Nr. 7 DSGVO dazu, geeignete technische und organisatorische Maßnahmen umzusetzen. Bei dieser Umsetzung bietet Art. 25 Abs. 1 DSGVO dem Verantwortlichen sodann eine Abwägungsmöglichkeit. Umstände wie der Stand der Technik, die Implementierungskosten und die Risiken für die Rechte und Freiheiten natürlicher Personen können mit in die Abwägung einbezogen werden. Als eine beispielhafte Maßnahme für Privacy by Design nennt Art. 25 Abs. 1 DSGVO die Pseudonymisierung. Auch wenn Anonymisierung und Maßnahmen zur Datenminimierung nicht ausdrücklich in Art. 25 Abs. 1 DSGVO genannt sind, sind sie als beispielhafte Maßnahmen für Privacy by Design anzuführen.

Privacy by Default (Art. 25 Abs. 2 DSGVO)

Hinter dem Schlagwort Privacy by Default verbirgt sich eine besondere Form des Datenschutzes durch Technik. Durch vom Verantwortlichen vorzunehmende technische Voreinstellungen soll sichergestellt werden, dass grundsätzlich nur die personenbezogenen Daten erhoben und verarbeitet werden, die für den konkreten Zweck auch tatsächlich erforderlich sind. Die technischen Voreinstellungen sollen also an dem Grundsatz der Datenminimierung ausgerichtet werden. Zum einen soll dadurch das ausufernde Datensammeln eingeschränkt werden. Zum anderen soll dadurch aber auch ein Schutz derjenigen Nutzer bewirkt werden, die die Auswirkungen von Verarbeitungsvorgängen mittels moderner Technologie nicht voll erfassen und deswegen auch nur seltener selbst datenschutzfreundliche Voreinstellungen vornehmen. Umsetzungsbeispiele für Privacy by Default können beispielsweise darin bestehen, dass Online-Browser besuchten Webservern automatisch mitteilen, dass die Nutzer nicht getrackt werden möchten oder das in technischen Verarbeitungsprozessen Daten möglichst schnell pseudonymisiert werden. Eine unzulässige Entmündigung der Nutzer ist in datenschutzfreundlichen Voreinstellungen nicht zu sehen. Nutzer, die auf den Schutz ihrer personenbezogenen Daten etwa keinen Wert legen, können die Voreinstellungen jederzeit nach ihren Vorstellungen ändern.

 

Das Thema der nächsten Woche ist der 3. Teil des Bereichs Datenschutz im Unternehmen

Auswirkungen der DSGVO auf Cloud Service Provider

12. Juli 2017

Lagert ein Unternehmen personenbezogene Daten von Kunden, Mitarbeitern oder anderen denkbaren Betroffenen-Gruppen in „die Cloud“ aus, handelt es sich dabei um einen klassischen Fall der Auftragsdatenverarbeitung (unter der Datenschutz-Grundverordnung „Auftragsverarbeitung“). Wie in den vielen weiteren Bereichen des Datenschutzrechts treten durch die neue EU-Verordnung auch beim Daten-Outsourcing zum 25.05.2018 Änderungen in Kraft. Grund genug, zwei dieser Änderungen im Hinblick auf ihre praktischen Auswirkungen einmal genauer zu beleuchten.

Eine der Neuerungen verbirgt sich in Art. 30 Abs. 2 DSGVO: Anders als bislang muss künftig auch der Auftragsverarbeiter ein Verfahrensverzeichnis führen. Diese Aufgabe zur Schaffung von Verarbeitungstransparenz lag bislang allein bei der verantwortlichen Stelle (Auftraggeber im Rahmen der ADV). Dadurch stehen Cloud-Anbieter künftig vielfach in der Pflicht, für jede ihrer Geschäftsbeziehungen ein Verfahrensverzeichnis anzulegen. Zwar verlangt die Verordnung im Hinblick auf die darzulegenden Informationen inhaltlich nichts „Unmögliches“ (eigene Bezeichnung, Name der verantwortlichen Stelle, ggf. bestellter Datenschutzbeauftragter etc.), je nach Größe des Cloud-Anbieters kann es sich aber um eine ganze Bandbreite von dokumentationspflichtigen Verfahren handeln. Diese sind zusätzlich im Zeitverlauf aktuell zu halten. In jedem Fall sollten sich Cloud-Provider (aber auch andere Vielfach-Auftragsverarbeiter) bereits jetzt um einen standardisierten Prozess bemühen, der ihnen die Abfrage der Verzeichnisinhalte erleichtert.

Für die Erbringung von Cloud-Services arbeiten Provider häufig zusammen, z.B. um eine noch bessere Rechenleistung oder größeren Speicherplatz anbieten zu können. Datenschutzrechtlich handelt es sich hierbei um eine „Unterbeauftragung“. Interessant ist in diesem Zusammenhang das neue Widerspruchsrecht des verantwortlichen Auftraggebers, das ihm aus Art. 28 Abs. 2 der Datenschutz-Grundverordnung zukommt. Sollte ein Auftraggeber (=Daten-outsourcendes Unternehmen) der Kooperation mit einem bestimmten Cloud-Unterauftragnehmer widersprechen, muss sein ADV-Vertragspartner hierauf verzichten. Die Möglichkeit zur praktischen Umsetzung von Widersprüchen ist an dieser Stelle jedoch höchst fraglich: Schließlich ist die Rücksichtnahme auf individuelle Kundenwünsche im Falle einer Public Cloud (offener Nutzerkreis, keine Lokalisierung der verarbeiteten Daten) technisch nur äußerst schwer zu realisieren.

Unternehmen in Sorge wegen Cyber-Attacken

10. Juli 2017

Bei kleinen und mittelgroßen Unternehmen wächst die Angst vor Cyber-Attacken. Zu diesem Ergebnis kommt eine Studie der Gothaer die zwischen Ende April und Anfang Mai diesen Jahres (vor dem Trojaner Wannacry) durchgeführt wurde. Insgesamt wurden 1000 kleine und mittlere Unternehmen befragt.

35 % der befragten Unternehmen halten es für wahrscheinlich, dass Cyber-Risiken bestehen. Im Jahr 2015 waren es noch 5 % weniger.

Zur Risikominimierung setzen die Unternehmen Virenschutzprogramme und Firewalls ein, jedoch gibt jedes 5. Unternehmen an, dass es einen solchen Schutz nicht hat. Eine mehrfache Datensicherung führen nur zwei von drei Unternehmen durch. Cyber-Policen die inzwischen von vielen Versicherungen angeboten werden haben nur 9% der Unternehmen.

Im Ergebnis rangiert die Angst vor Cyber-Attacken auf Rang drei der meist gefürchteten Risiken. Davor befindet sich noch das Risiko von Einbruch/Vandalismus und das Risiko von menschlichem Versagen.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter:

Themenreihe DSGVO: Datenschutz im Unternehmen (Teil 1)

7. Juli 2017

Der heutige Beitrag der „Themenreihe DSGVO“ befasst sich in einem ersten Teil mit den datenschutzrechtlichen Anforderungen die die Datenschutzgrundverordnung an die Unternehmen stellt.

Zweck des Datenschutzes ist es, das Grundrecht auf informationelle Selbstbestimmung der Bürger zu gewährleisten. Damit begrenzt der Datenschutz die wirtschaftliche Betätigung im Bereich der Datenverarbeitung auf das erforderliche Maß und so auf einen gesellschaftlich verträglichen Umfang. Gerade im Unternehmen gibt es eine Vielzahl verschiedener Schnittstellen, an denen es zu einer Verarbeitung von personenbezogenen Daten kommt. Exemplarisch zu nennen sind hier insbesondere die Verarbeitung personenbezogener Daten von Mitarbeitern und Kunden. Auch hinsichtlich dieser Daten hat die DSGVO verschiedene Regelungen aufgestellt, die zu beachten sind und die Rechte der Betroffenen in einem ausreichenden Maße schützen sollen. Die Einhaltung dieser Anforderungen ist nicht zuletzt auf Grund der empfindlichen Bußgelder, die bei Verstoß gegen die DSGVO vorgesehen sind, essentiell.

Im Folgenden wird auf verschiedene Regelungen der DSGVO eingegangen, die zum Teil bereits heute, nach der aktuell gültigen Rechtsordnung, insbesondere des BDSG, bestehen und von den Unternehmen zu beachten sind.

I. Auftragsdatenverarbeitung, Art. 28 ff.

Gerade im Unternehmen trifft man häufig auf die Konstellation der sog. Auftragdatenverarbeitung. Diese ist bereits heute im § 11 BDSG geregelt und betrifft solche Verarbeitungen personenbezogener Daten, die nicht von der verantwortlichen Stelle selber, sondern von einem Auftragsdatenverarbeiter vorgenommen werden. In einem Unternehmen kommt es zu einer Auftragsdatenverarbeitung vor allem dann, wenn die Verarbeitungstätigkeit an einen externen Diensleister outgesourced wird, der Auftraggeber der Datenverarbeitung, also das outsourcende Unternehmen aber weiterhin über die Verarbeitung der Daten, per Weisungsrecht, entscheidet. Klassische Fälle des Outsourcings finden sich in der Verarbeitungstätigkeit von externen Dienstleistern, die die Gehalts- und Lohnabrechnungen für Unternehmen übernehmen oder Hostingmöglichkeiten anbieten, die die personenbezogenen Daten, die im Unternhemen verarbeitet werden in eigenen Rechenzentren speichern.

Die rechtlichen Aspekte regelt bisher allen voran der § 11 BDSG. Auch die DSGVO enthält mit Art. 28 DSGVO eine Vorschrift zur Auftragsdatenverarbeitung. Beide Regelungen ähneln sich inhaltlich, sodass die Auswirkungen des Inkrafttretens der DSGVO hinsichtlich der Regelungen zur Auftragsdatenverarbeitung eher gering ausfallen. Vor allem trifft dies im Vergleich zu anderen Regelungen, die durch DSGVO gänzlich neu hinzukommen, zu.

Mit der Übermittlung von Daten geht das Risiko für den Betroffenen einher, dass seine Rechte nicht ausreichend geschützt sind. Art. 28 DSGVO knüpft die Zulässigkeit einer Auftragsdatenverarbeitung daher an strenge Voraussetzungen. Eine zentrale Anforderung ist die klare Zuteilung von Verantwortlichkeiten. Gleichzeitig soll eine Auftragsdatenverarbeitung aufgrund ihrer wirtschaftlichen Vorteile nicht gänzlich unmöglich gemacht werden. Art. 28 DSGVO zielt daher darauf ab, die Interessen von Datenverarbeitern und den von der Verarbeitung Betroffenen im Wege der praktischen Konkordanz in einen gerechten Ausgleich zu bringen.

1. Anforderungen an die Auftragsdatenverarbeitung

Nach § 11 BDSG ist für eine rechtskonforme Auftragsdatenverarbeitung ein schriftlicher Vertrag erforderlich. Am Erfordernis einer vertraglichen Regelungen der Auftragsdatenverarbeitung ändert sich auch mit Inkrafttreten des Art. 28 DSGVO nichts, allerdings muss diese nicht mehr ausschließlich schriftlich vorliegen sondern kann auch in einem elektronischen Format abgeschlossen werden. Auch die Anforderungen, die ein Auftragsdatenverarbeitungsvertrag inhaltlich nach der DSGVO erfüllen muss, orientieren sich zum Größteil an denen des bisherigen § 11 BDSG. Nach Art. 28 Abs. 3 DSGVO sind zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungpflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

2. Wer ist für die Datenverarbeitung verantwortlich? Wer haftet?

Wie bisher wird auch künftig der Auftraggeber bzw. der für die Verarbeitung Verantwortliche und nicht der Auftragsdatenverarbeiter sein. Er ist sowohl der erste Ansprechpartner für die Betroffenen, als auch für die rechtskonforme Ausgestaltung der Auftragsdatenverarbeitung veranwortlich. Die Auftragsdatenverarbeitung im Sinne des Art. 28 DSGVO ist dabei, von der gesetzlich in Art. 26 DSGVO geregelten Konstellation, der sog. „Joint Control“ zu unterscheiden. Bei der Joint Control regeln zwei oder mehrere Verantwortliche die Zwecke und Mittel der Verarbeitung personenbezogener Daten gleichberechtigt und transparent. In einem solchen Fall kann der Betroffene seine Rechte gegen jeden Verantwortlichen geltend machen.

Die Frage nach der Haftung im Schadensfall wird hingegen neu geregelt. Wo nach der bisherigen Regelung im BDSG ausschließlich der Auftraggeber dem Betroffenen gegenüber haftet, sieht die DSGVO schärfere Haftungsregeln, insbesondere für Auftragsverarbeiter vor. So haften nach der DSGVO grundsätzlich der für die Verarbeitung Verantwortliche sowie der Auftragsverarbeitet gemeinsam. Dabei beschränkt sich die Haftung des Auftragsverarbeiters allerdings auf Verstöße gegen die speziell ihm auferlegeten Pflichten.  Beiden Parteien steht zudem die Möglichkeit der Exkulpation zur Verfügung. Damit können sie einer Haftung entgehen, wenn sie nachweisen können, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind.

3. Pflichten des Auftraggebers/Pflichten des Auftragnehmers

Da die DSGVO die rechtliche Ausgestaltung der Pflichten des Auftraggebers die derzeitigen Regelungsgrundsätze des BDSG nahezu vollständig übernommen hat, gibt es hierzu keine Neuerungen, die beachtet werden müssen.

Dies gilt jedoch nicht für die Pflichten des Auftragnehmers. Nach Art. 30 Abs. 2 DSGVO müssen ab Mai 2018 auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den Verantwortlichen durchführen. Bislang musste ein solches Verzeichnis nur von Auftraggebern geführt werden.

4. Mögliche Sanktionen

Erfüllt eine Auftragsdatenverarbeitung nicht die gesetzlichen Anforderungen drohen dem Auftraggeber und den Auftragsverarbeitern nach Art. 83 DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist.

II. Meldung von Datenpannen in der DSGVO, Art. 33, 34 DSGVO

Ein Unternehmen verstößt gegen den Datenschutz, wenn es zu sog. Datenpannen (engl. Data Breaches) kommt. Darunter sind Verstöße zu verstehen, bei denen Unberechtigten personenbezogene Daten bekannt werden. Dabei ist es irrelevant, ob die Kenntnis vermutlich oder erwiesenermaßen vorliegt und aus welchem Grund es zu der Datenpanne gekommen ist. So kann sie aus einem Hackerangriff, dem Diebstahl eines Smartphones oder der unbefugten Weitergabe durch Mitarbeiter resultieren.

Unter der Datenschutzgrundverordnung, die ab Mai 2018 Geltung haben wird und von den Unternehmen beachtet werden muss, wird das Vorgehen im Falle einer Datenpannen in zwei Vorschriften geregelt. Dabei regelt Art. 33 DSGVO die Informationspflicht gegenüber den Datenschutzaufsichtsbehörden während Art. 34 DSGVO die Anzeigepflicht gegenüber dem Betroffenen betrifft.

1. Meldepflicht an die Aufsichtsbehörde, Art. 33 DSGVO

Nach dem Wortlaut des Art. 33 DSGVO ist die Aufsichtsbehörde immer dann zu informieren, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Wie oben dargelegt, liegt eine solche Verletzung nach Art. 4 Nr. 12 DSGVO auch stets bei Datenpannen vor.

Im Vergleich zum aktuell noch geltenden § 42a BDSG, der die Meldepflicht bei Datenpannen bisher regelt, gilt die Pflicht zur Meldung nicht nur bei Datenpannen hinsichtlich bestimmter „sensibler“ personenbezogener Daten, wie etwa Gesundheits- oder Bankdaten, sondern bei jeglicher Verletzung personenbezogener Daten. Einzige Einschränkung ist, dass eine Meldung an die Aufsichtsbehörde nicht erfolgen muss, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Es ist also eine Risikoabwägung durchzuführen. Welche Erwägungen bei der Risikoabwägungen miteinzubeziehen sind, nennt der Erwägungsgrund 75 DSGVO.

Führt die Risikoabwägung zu dem Ergebnis, dass eine Meldepflicht besteht, so ist die Aufsichtsbehörde unverzüglich zu informieren. Als Richtwert für die Unverüglichkeit der Meldung bestimmt Art. 33 DSGVO eine 72 Stunden-Frist nach Bekanntwerden der Datenpanne.

Nach Art. 33 Abs. 5 DSGVO muss der Verantwortliche bezüglich der sog. Data Breach Notification Dokumentationspflichten erfüllen und alle Verletzungen des Schutzes personenbezogener Daten, einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und ergriffene Abhilfemaßnahmen dokumentieren.

2. Meldepflicht an die Betroffenen, Art. 34 DSGVO

Gelangt man an Hand der Risikoabwägung zu dem Ergebnis, dass durch die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, sind gemäß Art. 34 DSGVO auch die Betroffenen zu informieren.

Art. 34 Abs. 3 DSGVO nennt allerdings Ausnahmen, bei denen die Meldepflicht an die Betroffenen entfällt. Dies ist dann der Fall, wenn

  • geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die betroffenen Daten für Unbefugte nicht zugänglich sind (z.B. Verschlüsselung),
  • durch nachfolgende Maßnahmen sichergestellt wurde, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
  • die direkte Information der Betroffenen mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall ist jedoch eine öffentliche Bekanntmachung gefordert.

3. Inhalt der Meldung

Sowohl Art. 33 als auch Art. 34 DSGVO nennt die formalen Anforderungen, die eine Meldung an die Aufsichtsbehörde bzw. an die Betroffenen, erfüllen muss. Inhalte, die die Meldung an die Aufsichtsbehörde und die Betroffenen gleichermaßen enthalten sollen, sind folgende:

  • der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzubng des Schutzes personenbezogener Daten und gegebenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die Meldung an die Aufsichtsbehörde muss zusätzlich

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze

enthalten.

4. Sanktionen

Kommt ein Unternehmen seiner Meldepflicht nicht nach, so stellt auch dies einen Verstoß gegen den Datenschutz dar und Aufsichtsbehörden können den Verantwortlichen mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Jahresumsatzes sanktionieren.

III. Datenschutzfolgenabschätzung, Art. 35 DSGVO

Ein gänzlich neues Instrument der Datenschutzgrundverordnung wird ab Mai 2018 die sog. Datenschutzfolgenabschätzung sein. Diese ist in Art. 35 DSGVO normiert und ist grundsätzlich nicht anderes als die im nationalen Datenschutzrecht schon bekannte und praktizierte Vorabkontrolle im Sinne des § 4d Abs. 5 BDSG. Sie dient daher der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Im Vergleich zur Vorabkontrolle ist der Umfang einer solchen Folgenabschätzung aber deutlich größer.

Die Datenschutzfolgenabschätzung ist nach Art. 35 Abs. 1 DSGVO immer dann vorzunehmen, wenn Datenverarbeitungen ein hohes Risiko für die Freiheitsrechte bergen. Dies ist insbesondere der Fall beim Einsatz neuer Technologien und der Verarbeitung großer Datenmengen. Darüber hinaus nennt Art. 35 Abs. 3 DSGVO Regelbeispiele, bei denen eine Pflicht zur Durchführung besteht:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO;
  • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

Aufgrund des offenen Tatbestandes des Absatzes 1 ist im weiteren Verlauf noch eine Konkretisierung durch die Aufsichtsbehörde nötig, die Klarheit bezüglich der Frage schafft, wann der Tatbestand genau erfüllt ist und eine Folgenabschätzung zu erfolgen hat.

1. Anforderungen an die Datenschutzfolgenabschätzung, Art. 35 Abs. 7 DSGVO

Der Inhalt einer solchen Datenschutzfolgenabschätzung ist in Art. 35 Abs. 7 DSGVO näher umschrieben. Die Folgenabschätzung muss daher folgendes enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den zweck.
  • Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
  • Die zur Bewältigung geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnun getragen werden soll.

Ist ein Datenschutzbeauftragter für das Unternehmen tätig, so ist gemäß Art. 35 Abs. 2 DSGVO stets sein Rat einzuholen.

2. Ausnahmen von der Pflicht zur Datenschutzfolgenabschätzung, Art. 35 Abs. 10 DSGVO

Ausnahmen von der Pflicht zur Folgenabschätzung bestehen gemäß Art. 35 Abs. 10 DSGVO, wenn die Verarbeitung auf der Grundlage einer europäischen oder nationalen Rechtsvorschrift beruht. Hier liegt es im Ermessen der einzelnen Mitgliedsstaaten, ob sie eine Folgenabschätzung im Einzelfall als erforderlich ansehen.

3. Folgen einer Datenschutzfolgenabschätzung

Ergibt sich bei der Datenschutzfolgenabschätzung, dass die Datenverarbeitung mit einem besonders hohen Risiko einhergeht, das nicht durch vertretbare Mittel eingedämmt werden kann, ist nach Art. 36 DSGVO und des Erwägungsgrundes 94 eine vorherige Konsultation der Aufsichtsbehörde notwendig.

Die Aufsichtsbehörde kann dem Unternehmen innerhalb einer Frist von 8 Wochen konkrete Empfehlungen geben, in welchen Bereichen Nachbesserungen vorzunehmen sind.

 

Das Thema der nächsten Woche ist der 2. Teil des Bereichs Datenschutzes im Unternehmen

1 2 3 4 5 146