Mit der Verabschiedung der EU-DSGVO soll die Datensicherheit in Europa – vor allem für die privaten Nutzer – erhöht werden. Für viele IT-Abteilungen tickt die Uhr: Die Vereinheitlichung des Datenschutzrechts innerhalb Europas macht eine Überprüfung und Anpassung des Datenschutzmanagements der Unternehmen erforderlich, sonst drohen unter Umständen hohe Strafen.
Am 4. Mai 2016 war die neue EU-Datenschutz-Grundverordnung im Amtsblatt der Europäischen Union erschienen. Damit startete die zweijährige Frist, bis die neuen Regelungen am 25. Mai 2018 endgültig in Kraft treten werden. Da es sich bei der EU-DSGVO um eine europäischen Verordnung handelt, gilt sie in allen Mitgliedsstaaten; eine gesonderte nationale Umsetzung ist nicht erforderlich. Was genau bringen die neuen Sicherheitsgesetze – und für wen gelten die?
Geltungsbereich
Die DSGVO gilt (laut Art. 2 Abs.1) „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder gespeichert werden sollen.“ Heißt übersetzt: Wer personenbezogen Daten in irgendeiner Form speichert – also nicht nur in Computern, sondern auch beispielsweise in Smartphones, Kameras oder Druckern – ist betroffen. Aber auch der, der personenbezogen Daten derzeit nicht automatisiert verarbeitet – etwa, weil es sich dabei um handschriftliche Aufzeichnungen handelt, aber vor hat, diese irgendwann in ein Dateisystem zu übernehmen (wobei jede „strukturierte Sammlung personenbezogener Daten” als Dateisystem gilt, also auch Aktensysteme), fällt in den Gültigkeitsbereich der DSVGO. Als „personenbezogen“ gilt dabei alles, was einer Person eindeutig zugeordnet werden kann; dazu gehören also nicht nur Anschrift oder Name, sondern auch Telefonnummer, Autokennzeichen oder (unter Umständen) auch die IP-Adresse.
Eine Neuerung gibt es beim räumlichen Geltungsbereich der neuen Verordnung. Hier gilt zukünftig dann das „Marktortprinzip“. Das heißt: Erfolgt die Verarbeitung der Daten im Rahmen einer Tätigkeit in der Union – bei der etwa Personen in der Union Waren oder Dienstleistungen angeboten werden – so findet die DSVGO unabhängig vom Ort der Verarbeitung datenbezogener Daten Anwendung. Was bedeutet, dass zum Beispiel auch US-Unternehmen, die ihre Dienste auf dem europäischen Markt anbieten, die Daten aber in den USA verarbeiten, an die neuen europäischen Vorgaben zu halten haben. Was den Anwendungsbereich im Vergleich zu derzeit noch geltenden Gesetzen deutlich vergrößert.
Was haben die Nutzer davon?
Die neue DSGVO zielt vor allem darauf ab, die Rechte des Nutzers zu stärken. Der hat zukünftig das Recht zu erfahren, wer welche Daten über ihn sammelt – und warum, und wie und wo diese Daten verarbeitet werden („Auskunftsrecht“
Zudem muss er auch ausführlich informiert werden, wenn seine Daten gehackt worden sind [Kap.4, Art.34]. Und schließlich darf er auch seine Daten in einer „strukturierten, gängigen und maschinenlesbaren Form“ von einem Internetanbieter fordern, um sie zu anderen auf andere Plattformen übertragen können („Recht auf Datenübertragbarkeit“, [ Kap.3, Art. 20]).
Neu ist die Regelung, dass eine Abgabe einer rechtswirksamen Einwilligung in die Verarbeitung personenbezogener Daten erst mit Vollendung des 16. Lebensjahres möglich ist – ansonsten ist die Zustimmung der Eltern erforderlich. [Kap.2, Art.8] Dazu muss der Verantwortliche „angemessene Anstrengungen“ unternehmen, das technisch zu ermöglichen. Das war bisher im BDSG nicht klar geregelt, die Einwilligungsfähigkeit von Kindern und Jugendlichen war streitig.
Die Sache mit der Einwilligung
Laut der neuen DSGVO ist eine Verarbeitung der Daten nur zulässig, wenn der Nutzer entweder seine Einwilligung dazu gegeben hat (die der Verantwortliche dann jederzeit nachweisen können muss) – oder diese „erforderlich“ ist. Als mögliche Gründe für die Erfordernis führt die Datenschutz-Grundverordnung zum Beispiel die Erfüllung von Verträgen, rechtliche Verpflichtungen, lebenswichtige Interessen oder das „berechtigte Interesse des Verantwortlichen“ an, sofern nicht die „Grundfreiheiten der betroffenen Person“ überwiegen. [Kap.2, Art.6 und 7]. Gerade der letzte Punkt ist recht schwammig und dürfte zukünftig für Diskussionen und – unter Umständen – sogar für Rechtsstreitereien sorgen.
Was müssen die Verantwortlichen leisten?
Die neue DSGVO fordert von den Verantwortlichen „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ [Kap 4, Abs.32]. Dazu gehören auch eine Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung sicherzustellen und die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Gefordert wird auch, dass nur Daten verarbeitet werden, die für den Verarbeitungszweck unbedingt erforderlich sind und diese nicht einer „unbestimmten Zahl von natürlichen Personen“ zugänglich gemacht werden. [Kap.4, Abs.25]. Heißt: Minimierung, Pseudonymisierung, Sicherheit und Transparenz. Und das muss auch alles dokumentiert werden: Jeder Verantwortliche ist nämlich verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, in dem Verarbeitungszweck, Kategorien betroffener Personen, Daten und Empfänger, aufgeführt wird, eine mögliche Übermittlung der Daten an Drittländer und (wenn möglich) die getroffenen technischen und organisatorischen Maßnahmen aufgeführt werden. [Kap.4, Abs.30]
Der Datentransfer in Drittstaaten [Kap.5] wird auch weiterhin problematisch bleiben. Der ist nach wie vor nur zulässig, wenn das Drittland – laut Kommissionsbeschluss – ein angemessenes Schutzniveau bietet (das etwa durch Binding Corporate Rules, die jetzt konkret geregelt werden, oder EU-Standardverträge hergestellt wurde) oder der Verantwortliche geeignete Garantien vorgesehen hat. Allerdings werden in Kap.5, Art.49 eine ganze Reihe von Ausnahmen definiert, unter denen eine Datenübermittlung trotzdem zulässig sein kann; darüber müssen dann aber der Nutzer und die Aufsichtsbehörde informiert werden.
Fazit
Auch wenn sich neue DSGVO auf der materiell-rechtlichen Grundlage der geltenden EU-Richtlinie 95/46 bewegt und damit die grundsätzlichen Datenschutz-Prinzipien beibehält, kommt doch einiges an Arbeit auf die IT-Verantwortlichen zu. Informations- und Auskunftspflichten wurden ebenso erweitert wie das Widerspruchsrecht und die Löschpflicht; das Kopplungsverbot und die Meldepflicht bei Datenpannen wurde verschärft, eine neue Portabilitätsverpflichtung für Daten wurde ebenso eingeführt wie die Dokumentationspflichten der Auftragsverarbeiter. Der muss bei besonders risikobehafteten Datenverarbeitungen zukünftig eine Datenschutz-Folgeabschätzung durchführen [Kap.4, Art.35]. Auch deshalb, weil er bei Datenpannen unter Umständen direkt gegenüber den Betroffen haftbar ist. („Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde“ – Kap.8, Art.82]. Vor allem aber wurden die möglichen Geldbußen bei Verstößen drastisch erhöht. Lag die bisherige im BSDG festgelegte Höchstgrenze bei 300.000 Euro pro Verstoß, so können jetzt bis zu vier Prozent des weltweiten Umsatzes gefordert werden. Ein guter Grund also, sich mit der neuen EU-Datenschutz-Grundverordnung sehr genau zu beschäftigen. Noch sind neun Monate Zeit, bis die endgültig in Kraft treten wird. Aber die vergehen schnell.