ePrivacy-Verordnung bereitet Dienstanbietern Bauchschmerzen

Am 27. Oktober hat das Europäische Parlament mit deutlicher Mehrheit die ePrivacy-Verordnung verabschiedet. Damit votierten die Politiker für einen starken Datenschutz, der auch von der EU-Kommission und den Verbraucherverbänden befürwortet wird.

Die ePrivacy-Verordnung wird Ende Mai 2018 zusammen mit der Datenschutzgrundverordnung (DSGVO) in Kraft treten. Sie regelt Details zum Verbraucherschutz im Netz, die in der DSGVO eher übergreifend abgehandelt werden.

Beide Verordnungen sind Bausteine der Neuordnung und Harmonisierung des europäischen Datenschutzrechts.

Des Einen Freud‘, des Anderen Leid

Verbraucherschützer und Wirtschaftsvertreter bekommen glänzende Augen, wenn die Sprache auf ePrivacy kommt. Die ersteren vor Freude, die letzteren vor Tränen. Denn ePrivacy schützt Verbraucherdaten strenger als alle früheren Rechtsnormen – und könnte digitale Geschäftsmodelle aushebeln.

Was ist Inhalt der ePrivacy-Verordnung?

Übergreifend kann man sagen, dass die Verbraucher wieder mehr Kontrolle über ihre Daten bekommen sollen. Denn gegenwärtig ist es so, dass viele Daten und Informationen ohne Wissen der Bürger gesammelt, weitergegeben, analysiert, verkauft und zu Profilen verdichtet werden.

Daten sammeln und verarbeiten nur mit Einverständnis

Kommunikationsdienstleister wie WhatsApp kommen in den Besitz vieler Daten ihrer Nutzer. Nicht „nur“ der Inhalt dieser Kommunikation ist schützenswert, sondern auch die Frage, wer mit wem an welchem Ort wie lange kommuniziert. Aus diesen Daten lassen sich Verhaltensweisen und Vorlieben der Nutzer ableiten. Und diese sind wiederum für die Bereitstellung personalisierter Werbung interessant.

Nach der ePrivacy-Verordnung dürfen diese Daten zukünftig nur noch dann kommerziell verwertet werden, wenn der Nutzer ausdrücklich darin eingewilligt hat.

Tracking wird wesentlich erschwert

Das so genannte „Tracking“, also das Verfolgen elektronischer Spuren, die Verbraucher mit jedem Mausklick oder Tippen auf ein Smartphone im Internet hinterlassen, soll erschwert werden. Genauer gesagt: Es unterliegt künftig einem „Verbot mit Erlaubnisvorbehalt“. Was Juristen so elegant ausdrücken bedeutet auf Deutsch: Ohne Einwilligung des Benutzers geht gar nichts. Und diese Einwilligung muss explizit eingeholt werden.
Folgende Aspekte illustrieren, worum es beim Tracking-Verbot geht:

Beispiel Cookies

Cookies sind Mini-Programme, die Unternehmen auf Ihrer Festplatte ablegen. Sie speichern bestimmte Daten, die der Nutzer auf einer Webseite eingibt. Cookies sorgen dafür, dass der elektronische Warenkorb im Online Shop erhalten bleibt und dass Sie beim nächsten Mal Ihre Adressdaten nicht neu eingeben müssen. Aber sie speichern auch Ihren Klick-Pfad und lassen Rückschlüsse darauf zu, welche Waren Sie interessieren. Die Werbewirtschaft kann Ihnen dann zukünftig Werbung für ebendiese Waren zeigen.

Bisher konnten Nutzer dem Setzen von Cookies widersprechen. In Zukunft wird das Tracken Ihrer Informationen mittels Cookies verboten sein – es sei denn, Sie geben explizit Ihre Einwilligung.

Beispiel Browser Fingerprint

Während Cookies den meisten Internet-Nutzern ein Begriff sind, ist der Browser Fingerprint fast nur Spezialisten bekannt. Dabei handelt es sich, vereinfacht ausgedrückt, um eine Kombination von Informations-Bits, die Ihren Browser unter vielen Millionen einzigartig macht. Betriebssystem, installierte Schriftarten, Plugins, Standortinformationen, Hardware – all dies posaunt Ihr Browser in die digitale Welt hinaus.

Privacy by default

Die ePrivacy-Verordnung fordert, dass Browser ab Werk die maximalen Sicherheitseinstellungen haben sollen. Konkret bedeutet das, dass die „do not track“-Einstellung die Standardeinstellung von Internetbrowsern sein muss.

Vorstudien zum neuen Datenschutzrecht haben ergeben, dass nur fünf Prozent der Internetnutzer überhaupt jemals ihre Browser-Einstellungen bearbeiten. Zum Schutz der Verbraucher, die darauf vertrauen, dass ihr Browser kein Ausspähen zulässt, wird nunmehr das höchste Schutzniveau die Standardeinstellung sein.

Offline Tracking

In Bahnhöfen und Flughäfen, Kaufhäusern und Banken gibt es Videoüberwachung. Zusätzlich die WLAN- und Bluetooth-Signale von Smartphones nachverfolgt. Zunehmend entsteht eine flächendeckende Überwachung von Menschen, die dazu nicht ihr Einverständnis gegeben haben. Durch dieses „Offline Tracking“ können Bewegungsprofile erstellt und Personen ausgespäht werden. Das soll sich drastisch ändern.

Nach der ePrivacy-Verordnung sollen derlei Datensammlungen nur noch zulässig sein, wenn sie räumlich und zeitlich begrenzt sind und sich auf rein statistisches Zählen beschränken. Oder eben mit Einverständnis der betroffenen Personen.

Nachrichten-Verschlüsselung nach dem „Stand der Technik“

Fast jeder Internet-Nutzer verwendet Messenger wie Telegram, WhatsApp, Facebook Messenger, Slack usw. Auch für sehr vertrauliche Nachrichten. In Zukunft müssen internetbasierte Kommunikationsdienste dasselbe Schutzniveau wie Telefonanbieter gewährleisten – mit einer Ende-zu-Ende-Verschlüsselung der Kommunikationsdaten. Selbst für staatliche Ermittler darf keine „Hintertür“ offen bleiben.

ePrivacy-Verordnung – die Sorgen der Industrie

Die Argumente, die von der Wirtschaft gegen ePrivacy aufgeboten werden, sind stichhaltiger als das übliche Rumoren, das bei jeder Stärkung des Verbraucherschutzes reflexhaft durch die Wirtschaftsverbände geht. 

Intelligente Verkehrsinfrastruktur vor dem Aus?

Angenommen, in einer Kurve ist ein Unfall passiert. Die Unfallfahrzeuge senden diese Informationen über das Mobilfunknetz an Navigationsgeräte. Diese wiederum leiten eine Notbremsung ein, wenn ein Fahrzeug schnell auf die Unfallstelle zukommt und Gefahr läuft, in den Unfall hinein zu geraten.

  

Automobilhersteller, Kartenhersteller, Mobilfunkunternehmen und andere arbeiten an solchen Szenarien. Nach der ePrivacy-Verordnung würden sie Makulatur: Die Fahrer der Unfallwagen (sofern noch bei Bewusstsein) müssten binnen Millisekunden ihr Einverständnis über die Verarbeitung ihrer Daten geben. Und das nicht nur einmal, sondern an jedes Glied in der Kette: Mobilfunknetzbetreiber, Autohersteller, Navigationsanbieter und, und, und.

Autonomes oder auch nur halbautonomes Fahren, intelligente Verkehrsinfrastruktur und proaktive Unfallvermeidung würden damit erstmal wieder in weite Ferne rücken.

Das Beispiel stammt aus dem lesenswerten Artikel „Überzieht Brüssel beim Datenschutz?“ von Thomas Heuzeroth, erschienen in der Welt vom 2.12.2017.

Problemfeld Internet der Dinge

Die Autobauer warnen, dass die ePrivacy-Verordnung „darin versagt, in angemessener Weise personenbezogene Daten im Umfeld der Maschine-zu-Maschine-Kommunikation im Internet der Dinge zu schützen.“
Schließlich könne ein Nutzer nicht jeder Glühbirne separat seine Einwilligung geben, die in seinem Smart Home anfallenden Daten zu verarbeiten.

Online-Angebote „existenziell bedroht“

Viele Online-Angebote finanzieren sich über Werbung. Besonders Zeitungs- und Zeitschriftenverlage machen sich Sorgen. Laut ePrivacy-Verordnung dürfen Angebote nicht an eine Datenfreigabe gekoppelt werden. Anbieter von Nachrichtenwebsites, Wetterdienste usw. müssten ihr Angebot auch anonymen Nutzern zur Verfügung stellen, die ihre Daten nicht für die Auslieferung individualisierter Werbung freigeben mögen. Und das ist die Mehrzahl: Der Springer-Verlag hat in Testläufen festgestellt, dass im besten Fall die Hälfte und im schlechtesten nur zehn Prozent der Nutzer eine ePrivacy-konforme Einwilligung erteilten.

Doch die Online-Service-Angebote werden durch personenbezogene Werbung refinanziert. Das gesamte Geschäftsmodell, so die Bedenken der Verlage, würde durch ePrivacy ausgehebelt. Die Angebote müssten finanziell auf andere Füße gestellt werden, im Klartext: kostenpflichtig werden.

In Zukunft müssten die Internetnutzer also für Angebote bezahlen, die ihnen bislang kostenlos zugänglich waren.

Fazit

Mehr Datenschutz für Verbraucher, womöglich aber auch negative Auswirkungen auf das Internet der Dinge und digitale Geschäftsmodelle – die neue ePrivacy-Verordnung bringt auf jeden Fall Bewegung ins Netz.

Wie die Industrie letztlich mit den neuen Herausforderungen umgeht, steht derzeit noch in den Sternen. Browserhersteller haben es vergleichsweise einfach; sie müssen lediglich maximale Datenschutzeinstellungen zum Lieferstandard machen und die Freigabe bestimmter personenbezogener Daten blockieren.

Die komplette Branche der Onlinewerbung und Webshops dürfte allerdings kräftig durcheinandergewirbelt werden. Und Verbraucher werden manche Angebote zukünftig mit Geld statt ihren privaten Daten bezahlen.

 

Datenschutz-Folgenabschätzung (DSFA) – was Unternehmen ab Mai 2018 beachten müssen

Wir berichteten letzten Monat bereits über die DSGVO (Datenschutz-Grundverordnung), die ab Mai 2018 wirksam wird. Die DSGVO setzt einen einheitlichen, europäischen Rechtsrahmen für den Datenschutz. Sie geht einher mit einer Novellierung des deutschen BDSG (Bundesdatenschutzgesetzes), das im Kern noch aus 1977 stammt.

Einige Aspekte der neuen, europäischen Datenschutzverordnung lohnen einen genaueren Blick. Dazu gehört die in Art. 35 DSGVO normierte Datenschutz-Folgenabschätzung oder kurz DSFA.


Verantwortlicher, Auftragsverarbeiter, Betroffener

Diese Begriffe sind juristisch bedeutsam und sollten daher vorab geklärt werden. Denn im Rahmen der DSVGO hat sich auch die Terminologie etwas geändert.

Software-Unternehmen, insbesondere Cloud-Dienstleister, kennen den Begriff Auftragsdatenverarbeitung. Wenn ein Unternehmen zum Beispiel Software bei einem Cloud-Anbieter mietet, werden seine Daten von diesem Anbieter verarbeitet. Früher war das Unternehmen „Auftraggeber“ und schloss mit dem Cloud-Anbieter als „Auftragnehmer“ einen Vertrag über die „Auftragsdatenverarbeitung“.

Nach der neuen DSVGO wird der frühere Auftraggeber (das Unternehmen) als „Verantwortlicher“ bezeichnet, der frühere Auftragnehmer (der Cloud-Anbieter) als „Auftragsverarbeiter“ und die frühere Auftragsdatenverarbeitung als „Auftragsverarbeitung“. „Betroffener“ ist die natürliche Person, deren personenbezogene Daten verarbeitet werden.

Wer Verträge zur Auftragsverarbeitung mit Unternehmen abschließt, sollte diese Verträge jetzt auf die neuen Begrifflichkeiten und Rechtsnormen umstellen. Und dabei beachten, dass der Auftragsverarbeiter künftig stärker in die Pflicht genommen wird als früher, da er noch „Auftragnehmer“ hieß.

Aber das nur am Rande. Jetzt zu unserem eigentlichen Thema.

Worum geht es bei der Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung wird in Art. 35 DSGVO geregelt. Diese Regelungen möchten wir im Folgenden erklären.

Wenn die Verarbeitung personenbezogener Daten „aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“, muss der Verantwortliche vorab abschätzen, welche Folgen die vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten haben.

Zweck und Mittel

Grundsätzlich muss, salopp ausgedrückt, bei jeder Verarbeitung personenbezogener Daten der Zweck die Mittel heiligen. Es gilt das Gebot der Angemessenheit. Es dürfen nicht mehr Daten gesammelt und verarbeitet werden, als unbedingt notwendig, um den Zweck der Verarbeitung zu erfüllen. Die Datenverarbeitung ist in Bezug auf den Zweck grundsätzlich notwendig, wenn die Aufgabe sonst nicht erfüllt werden könnte.

Der Verantwortliche muss im Zweifel prüfen, ob es datenschutzrechtlich weniger heikle Möglichkeiten gibt, dasselbe Ziel zu erreichen.

Wann ist eine Datenschutz-Folgenabschätzung nötig?

Eine Folgenabschätzung ist besonders in folgenden Fällen nötig:

  • bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen
  • bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten
  • bei einer systematischen, umfangreichen Überwachung öffentlich zugänglicher Bereiche

Was bedeutet „Bewertung persönlicher Aspekte“?

Grundsätzlich ist damit jede Art von Scoring und Profiling gemeint. Ein klassisches Beispiel ist die Bonitätsbeurteilung. einer Person anhand einer Skala. Das Risiko, wenn eine schwache Bonität öffentlich wird, ist klar. Der Betroffene wird zum Beispiel Schwierigkeiten haben, eine Wohnung zu mieten.

Art. 4 DSGVO definiert Profiling als automatisierte Verarbeitung persönlicher Daten, um „Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.

Was sind „besondere Kategorien von Daten“?

Dabei handelt es sich um besonders sensible Daten, deren Bekanntwerden für die Betroffenen unangenehme Folgen haben kann. Unter anderem sind dies:

  • Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen.
  • genetische oder biometrische Daten, aus denen eine natürliche Person genau identifiziert werden kann.
  • Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
  • Daten über strafrechtliche Verurteilungen und Straftaten 

Überwachung öffentlich zugänglicher Bereiche

Nicht nur Städte und Gemeinden setzen zunehmend auf Videoüberwachung. Aus Sicherheitsgründen tun dies auch Geschäfte.

Die Gesichter der Kunden, die ein und aus gehen, sind personenbezogene Daten. Sie könnten theoretisch in großer Menge gesammelt und analysiert werden.

Daher ist für solche Überwachungsmaßnahmen eine Datenschutz-Folgenabschätzung erforderlich.

Ausnahmen – Wann gilt das Verbot nicht?

Keine Regel ohne Ausnahme. Die folgenden Ausnahmeregeln decken eine Vielzahl von Fällen ab. Das Verbot gilt nicht:

  • wenn der Betroffene in die Verarbeitung für die spezifischen Zwecke ausdrücklich eingewilligt hat.
  • wenn die Verarbeitung notwendig ist, damit der Betroffene Rechte nach Arbeitsrecht oder Sozialrecht ausüben kann.
  • wenn eine religiöse, politische oder weltanschauliche, nichtkommerzielle Stiftung oder Vereinigung sie für ihre Mitglieder vornimmt.
  • wenn der Betroffene die Daten öffentlich gemacht hat.
  • auf Grundlage des Unionsrechts bei einem wichtigen, öffentlichen Interesse.
  • wenn es um Gesundheitsvorsorge, Beurteilung der Arbeitsfähigkeit, Diagnostik oder die Behandlung im Gesundheits- und Sozialbereich geht.

Welche Verarbeitungsvorgänge sind gemeint?

Die EU-Mitgliedsstaaten haben Vertreter ihrer Datenschutz-Aufsichtsbehörden in die so genannte Artikel-29-Gruppe entsandt. Diese Gruppe stellt Positiv- und Negativlisten der betroffenen Verarbeitungsvorgänge zusammen. Anhand der Listen können Unternehmen entscheiden, ob eine Datenschutz-Folgenabschätzung durchzuführen ist.

Leitlinien zur Risikobewertung – Grafik

Die folgende Grafik gibt einen schematischen Überblick darüber, in welchen Fällen eine Datenschutz-Folgenabschätzung erstellt werden muss.

Datenschutz-Folgenabschätzung

Quelle: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137

Praxisbeispiele – Wann ist eine DSFA notwendig und wann nicht?

Eine Datenschutz-Folgenabschätzung ist notwendig:

  • zur Verarbeitung von Gesundheitsdaten.
  • bei einer Videoüberwachung des Straßenverkehrs, wenn die Nummernschilder erkannt und den Fahrzeughaltern zugeordnet werden.
  • bei einer Überwachung von Mitarbeitern.
  • bei einem Abgleich oder einer Rekombination von Datensätzen.
  • beim Einsatz innovativer Technologien, wie zum Beispiel Gesichtserkennung, Fingerabdrucksensoren oder auch Künstliche Intelligenz
  • wenn über Betroffene ein Profil erstellt oder diese beurteilt, bewertet und eingestuft werden (so genanntes Scoring etwa der Kreditwürdigkeit).
  • wenn Daten in Länder außerhalb der EU übertragen werden.
  • wenn große Mengen personenbezogener Daten erhoben und analysiert werden.
  • in jedem Fall, wenn die Betroffenen Kinder sind.
  • in jedem Fall, wenn die Datenverarbeitung dazu führen kann, dass die Betroffenen ein Recht nicht ausüben oder eine Leistung nicht erhalten können.

Eine DSFA ist nicht notwendig:

  • wenn ein Unternehmen Personen nach deren ausdrücklicher Einwilligung einen Newsletter sendet.
  • wenn ein Unternehmen anhand einer Analyse der in seinem Webshop getätigten Einkäufe den Kunden spezifische Werbung zeigt.
  • bei einer Videoüberwachung des Straßenverkehrs, wenn keine Nummernschilder erkannt und den Haltern zugeordnet werden.

Welchen Inhalt hat die Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung sollte folgende Elemente enthalten und Fragen beantworten:

⦁ Systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung. Zur systematischen Beschreibung gehören

⦁ die eingesetzte Technik

⦁ die Art der erhobenen Daten

⦁ der Umfang der erhobenen Daten

⦁ die Umstände der Datenerfassung und Verarbeitung

⦁ die Zwecke der Datenerfassung und Verarbeitung

⦁ die Betroffenen

⦁ die Verantwortlichen

⦁ die Darlegung des berechtigten Interesses der Verantwortlichen

⦁ Ist die Verarbeitung im Hinblick auf den Zweck notwendig?

⦁ Ist die Verarbeitung im Hinblick auf den Zweck angemessen?

⦁ Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

⦁ Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Die Abhilfemaßnahmen umfassen Garantien, Sicherheitsvorkehrungen und Verfahren, die den Schutz der personenbezogenen Daten sicherstellen. Die Verantwortlichen und Auftragsverarbeiter müssen nachweisen, dass diese Maßnahmen auch eingehalten werden und dass die berechtigten Interessen der Betroffenen gewahrt bleiben.

 

Quellen:


Silke Jandt: Datenschutz durch Technik in der DS-GVO, Springer Gabler, DuD 09/2017
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein https://www.datenschutzzentrum.de/artikel/1174-Planspiel-zur-Datenschutz-Folgenabschaetzung-gem.-Art.-35-DSGVO.html
Bitkom: Risk Assessment und Datenschutz-Folgenabschätzung, Leitfaden https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Risk-Assessment-online.pdf
Datenschutz-Nord-Gruppe https://www.datenschutz-nord-gruppe.de/eu-datenschutzverordnung/checkliste-datenschutz-grundverordnung.html
IHK Stuttgart Checkliste zur DSGVO https://www.stuttgart.ihk24.de/Fuer-Unternehmen/recht_und_steuern/Aktuelles/prueffragebogen-zur-datenschutz-grundverordnung/3821774
Datenschutz-Praxis: Datenschutz-Folgenabschätzung: 10 Kriterien zur Risikobewertung https://www.datenschutz-praxis.de/fachnews/entwurf-der-leitlinien-zur-folgenabschaetzung-publiziert/
Artikel-29-Gruppe http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
Projekt 29: https://www.projekt29.de/datenschutzblog29/umsetzung-der-eu-dsgvo-teil-20-datenschutz-folgenabschaetzung-leitlinien-zur-risikobewertung
https://www.isico-datenschutz.de/blog/2017/06/22/profiling-was-aendert-sich-durch-dsgvo-und-bdsg/

Was ist neu an der Datenschutz-Grundverordnung (DSGVO)?

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung EU-weit in Kraft. Höchste Zeit für IT-Unternehmen und ihre Kunden, sich auf die neue Rechtslage einzustellen.

Dennoch wird Ende 2018 mindestens die Hälfte der Unternehmen, für die die DSVGO gilt, die Anforderungen nicht vollständig erfüllen können. Diese Bilanz zieht die Gartner-Studie „Focus on Five High-Priority Changes to Tackle the EU GDPR“.

DSGVO: Worum geht es?

Datenschutz ist in Deutschland und der EU – zum Glück – nichts Neues. Hierzulande wurde der Datenschutz bisher vor allem vom Bundesdatenschutzgesetz (BDSG) geregelt. Übrigens wird dieses ebenfalls novelliert und als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Die neueste Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen

Eines sei vorweg gesagt: Wer das BDSG ernst genommen und seine Compliance-Hausaufgaben gemacht hat, hat mit den Regelungen der DSGVO wenig Probleme. Nur leider haben viele KMU in Deutschland diese Hausaufgaben bisher nur oberflächlich erledigt.

Denn die bisherigen Sanktionsmöglichkeiten waren nicht hoch: Die Maximalstrafe für Verstöße lag bei 300.000 Euro. Manche Unternehmen kamen nach kurzem Nachrechnen zu dem Schluss, dass die Strafe weniger kostet als eine IT-Umstellung – und ließen es darauf ankommen.

Das ändert sich jetzt. Nach der neuen DSGVO können Strafen bis zu vier Prozent des globalen Konzernumsatzes oder bis zu 20 Millionen Euro erhoben werden.

DSGVO: Was ist neu?

Die möglichen, empfindlichen Bußgelder wurden bereits weiter oben erwähnt. Doch welche Neuerungen hält die DSGVO sonst noch bereit?

Einwilligung nachweisen

Wenn Unternehmen personenbezogene Daten speichern, müssen sie dazu die Einwilligung der Betroffenen einholen. Sie müssen den Zweck der Verarbeitung angeben und dürfen später nicht davon abweichen.

Datenminimierung

Personenbezogene Daten dürfen nur soweit gespeichert werden, wie es dem Zweck angemessen ist. Die Menge der Daten muss auf das für die Verarbeitung notwendige Maß beschränkt sein.

Speicherbegrenzung

Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für den Verarbeitungszweck erforderlich ist.

Übertragbarkeit der Daten

Ein Kunde kann verlangen, dass ein Unternehmen alle Daten, die es von ihm gespeichert hat, an Dritte übergibt. Das soll z. B. den Anbieterwechsel für Verbraucher vereinfachen.

Vertraulichkeit

Bei der Verarbeitung muss die Sicherheit personenbezogener Daten gewährleistet sein. Das bedeutet: Es darf kein unbefugter Zugriff stattfinden und auch kein Verlust und keine Beschädigung oder Zerstörung der Daten.

Recht auf Korrektur

Personenbezogene Daten müssen sachlich richtig und aktuell sein. Unrichtige Daten müssen unverzüglich korrigiert oder gelöscht werden.

Recht auf Vergessenwerden

Jeder kann verlangen, dass die über ihn gespeicherten Daten gelöscht werden. Das gilt auch dann, wenn der Betreffende vorher der Speicherung seiner Daten zugestimmt hatte. Dabei dürfen keine Spuren der Daten im System zurückbleiben (Backups, Links oder dergleichen). Es genügt also in der Regel nicht, einfach den Datensatz zu löschen.

Keine Koppelung

Das bereits im BDSG bestehende Koppelungsverbot wurde verschärft. So darf z. B. eine Teilnahme an einer Umfrage nicht mehr an ein Newsletter-Abo gekoppelt sein. Abstrakter ausgedrückt: Zusatzleistungen dürfen nicht mehr daran geknüpft sein, dass jemand in die Verarbeitung seiner Daten einwilligt.

Datenschutz-Folgenabschätzung

Im alten BDSG hieß diese noch „Vorabkontrolle“. Gemeint ist, dass der Datenschutzbeauftragte die Risiken der Datenspeicherung für die Persönlichkeitsrechte der Betroffenen einschätzen und eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung abgeben soll. Besondere Brisanz hat dies, wenn die Daten dazu dienen, Personen zu bewerten und zu beurteilen, und wenn dafür besonders sensible Daten erhoben werden, wie etwa Religion, ethnische Herkunft, politische Einstellung, Gesundheitsdaten, Bonität usw.

One-Stop-Shop

Beschwerden können an die Datenschutzbehörde des jeweiligen EU-Staates gerichtet werden – unabhängig davon, in welchem Land sich der Verstoß ereignete. Auch Unternehmen wenden sich an die Datenschutzbehörde des Landes, in denen sie ihren Hauptsitz haben.

Transparenz und Auskunftsrecht

Jedes Unternehmen muss dokumentieren, wie es personenbezogene Daten erhebt, verwendet und verarbeitet. Es muss Verbraucher „leicht zugänglich und in einfacher Sprache“ über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung ihrer Daten informieren. Eventuell könnte eine Zertifizierung oder ein Datenschutzsiegel das Publikum über den Datenschutzstandard aufklären.

Rechenschaftspflicht

Unternehmen sind verpflichtet, nicht nur neue Prozesse und Richtlinien für personenbezogene Daten einzuführen, sondern auch deren Einhaltung zu überwachen. Regelmäßige, dokumentierte Kontrollen weisen nach, dass die Einhaltung der Datenschutzgrundsätze jetzt und in Zukunft gewährleistet ist.

Meldepflicht innerhalb von 72 Stunden

Datenschutzverletzungen müssen innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden. Wenn der Vorfall schwerwiegende Folgen für Persönlichkeitsrechte haben kann, müssen auch alle betroffenen Personen informiert werden.

Starker Datenschutzbeauftragter

Jedes Unternehmen, bei dem mindestens zehn Personen ständig mit der Datenverarbeitung beschäftigt sind, muss einen Datenschutzbeauftragten benennen. Dessen Position und Zuständigkeiten werden deutlich gestärkt. Er ist verantwortlich für die Einhaltung der DSGVO, die Entwicklung von Datenschutzstrategien, die Unterweisung und Schulung von Mitarbeitern und die Kommunikation mit der Datenschutzbehörde. Ein Novum: Der Datenschutzbeauftragte haftet persönlich!

Einstellung des Geschäftsbetriebs

In besonders schweren Fällen kann ein Verbot der Datenverarbeitung ausgesprochen werden. Für IT-Unternehmen wäre das faktisch das Aus. Ein solcher Extremfall wäre z. B. gegeben, wenn sich große Sicherheitslücken auftun oder das Unternehmen die Zusammenarbeit mit der Aufsichtsbehörde verweigert.

Immaterielle Schäden

In den Gesetzestext wurden jetzt auch immaterielle Schäden aufgenommen. Dazu gehören z. B. Rufschädigung oder Identitätsdiebstahl. Auch in diesen Fällen können also künftig hohe Geldbußen verhängt werden.

Beweislast-Umkehr

Das Unternehmen muss nachweisen können, dass es geeignete technische und organisatorische Maßnahmen (TOM) für den Datenschutz getroffen hat. Anders als früher liegt die Beweislast beim Unternehmen und nicht beim Kunden.

Technischer Datenschutz

Die IT-Systeme müssen so ausgelegt sein, dass die Einhaltung der DSVGO möglich ist. Die Verordnung fordert daher „Privacy by Design“ und „Privacy by Default“. Das bedeutet, dass der Datenschutz bereits bei der Softwareentwicklung berücksichtigt werden muss – vom ersten Entwurf bis hin zur Implementierung. Software muss mit datenschützenden Default-Einstellungen ausgeliefert werden. Dazu gehören z. B. Speicherfristen und Zugriffssteuerung.

Fazit

Wer sich noch nicht mit der DSGVO befasst hat, muss jetzt Gas geben: Ab Mai 2018 müssen alle Unternehmen, die personenbezogene Daten erfassen und verarbeiten, verschärfte Anforderungen erfüllen: Die Verbraucherrechte werden gestärkt, unter anderem durch ein „Recht auf Vergessenwerden“. Technische und organisatorische Maßnahmen müssen die DSGVO-Compliance sicherstellen – Stichwort „Security by Design“. Die Beweislast dafür trägt fortan das Unternehmen. Und die Rolle des Datenschutzbeauftragten wird massiv ausgebaut.