Wertpapier Banner2

7. Mai 2018   WISSEN

Die Datenschutzgrundverordnung

DSGVS

Nach den Enthüllungen über den Umgang mit Mitgliederdaten bei Facebook erwarten über 80 % der Bundesbürger von der Politik, dass sie für besseren Datenschutz sorgt. So das Ergebnis zweier unabhängiger Umfragen von IBM und der Unternehmensberatung BearingPoint. Das erweckt den Eindruck, als ob sich die Befragten nicht darüber im Klaren sind, dass ab 25. Mai die Datenschutzgrundverordnung (DSGVO) in Behörden und Unternehmen anzuwenden ist.

Diese DSGVO verlangt von Behörden und Unternehmen den Nachweis, dass sie die – happigen! – Forderungen der Verordnung einhalten. Womöglich sind unter den erwähnten Datenschutz-Bewegten auch Berufstätige. Das würde passen: 74 % der Unternehmen halten die eigenen Mitarbeiter für die größte Schwachstelle. Dabei sind die Entscheider nicht besser: Ein Drittel der Unternehmen fällt Entscheidungen zur Digitalisierung, ohne vorab die damit verbundenen Risiken zu klären. Geschweige denn, diese auch noch zu bewerten.

Wer von nix weiß, wendet auch nix an: In einer Untersuchung kommt der eco-Verband der Internetwirtschaft zu dem Ergebnis, dass ein Viertel der befragten Unternehmen ab 50 Mitarbeitern noch nicht einmal mit der Umsetzung der DSGVO begonnen hat. Und bei den Kleinstunternehmen – etwa Arztpraxen – ist es nach persönlicher Erfahrung des Autors nicht besser.

DSGVO-Selbstcheck per Fragebogen

Wer sich Klarheit über die Differenz zwischen Soll und Ist in seinem Unternehmen verschaffen will, dem hilft das Bayerische Landesamt für Datenschutzaufsicht (LDA) aus Ansbach mit einem Fragebogen auf die Sprünge. Das Wichtigste ist demnach das Bewusstsein des Chefs – unter „I. Struktur und Verantwortlichkeit im Unternehmen“ fragt die Behörde: 

„ Gibt es das Bewusstsein im Unternehmen, dass Datenschutz Chefsache ist, beispielsweise durch

◦                 Vorhandensein einer Datenschutzleitlinie,

◦                 Beschreibung der Datenschutzziele,

◦                 Regelung der Verantwortlichkeiten,

◦                 Bewusstsein über Datenschutzrisiken

◦                 Transparenz über Zielkonflikte (z. B. zwischen Marketing- und Rechtsabteilung)“?

Datenschutz ist Chefsache? Nach Artikel 5, Absatz 2 DSGVO haben die „Verantwortlichen“ eine „Rechenschaftspflicht“. Und „verantwortlich“ ist nicht etwa der „Admin“, sondern der, der „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Die Verantwortung erstreckt sich nicht allein auf eigenes Handeln, sondern auch auf das der Mitarbeiter, Dienstleister und die von Dritten eingekaufte Software.

Deshalb ist die Datenschutzleitlinie notwendig – dort wird beispielsweise dokumentiert, wer welche Datenverarbeitung verantwortet, welche Prozesse und Risiken damit verbunden sind und wie die Risiken vermieden oder wenigstens reduziert werden.

Als Nächstes wollen die Datenschützer vom Amt wissen

„Verfügt Ihr Unternehmen über einen betrieblichen Datenschutzbeauftragten?

◦       Wenn nein, warum nicht?

◦       Wenn ja, ist geklärt, wann er von wem einzubeziehen ist?

◦       Wenn ja, ist er schon gem. Art. 37 Abs. 8 DS-GVO der zuständigen Aufsichtsbehörde gemeldet?“

Nach bisherigem Datenschutzrecht mussten Unternehmen ab 10 Mitarbeitern einen solchen Datenschutzbeauftragten bestellen. Nach dem künftig geltenden „Bundesdatenschutzgesetz (neu)“, (BDSG) der Deutschen Variante der DSGVO, gibt es diese Grenze immer noch. Die wird aber eingeschränkt: Wer zur Durchführung einer „Datenschutzfolgenabschätzung“ (DSFA) verpflichtet ist, hat „unabhängig von der Anzahl der [...] beschäftigten Personen [...] einen Datenschutzbeauftragten zu benennen“.

Die Datenschutzfolgenabschätzung (DSFA)

Vorsicht ist bei „smarten“ oder „Tele-“ und „4.0“-Angeboten geboten! Denn die DSFA wiederum ist „insbesondere bei Verwendung neuer Technologien“ vorgeschrieben, wenn die Verarbeitung „aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“. Im Vergleich zur gelben Schneckenpost ist die E-Mail schon recht neu. Noch neuer sind Glasfaserkabel und das „Internet der Dinge“. Wer immer seinen Kunden „smarte“ Dienste anbieten möchte, dem ist zuvor ein Blick ins Gesetz zu empfehlen.

§47 BDSG (neu) verlangt nämlich „eine angemessene Sicherheit der personenbezogenen Daten“ – „hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“. Ergo: Das Risiko unbeabsichtigter Schädigungen (etwa durch einen „falschen“ Knopfdruck) oder unrechtmäßiger Verarbeitung (etwa durch Kriminelle) steigt parallel zur zunehmenden technischen Leistungsfähigkeit: Früher standen die Kundendaten noch zentnerschwer im Schrank und waren allein durch ihr physikalisches Gewicht geschützt. Heute reicht ein Mausklick, um Beute zu machen. Also Vorsicht vor den Telematik-Missionaren, die Ihnen einreden, Sie müssten sich mit der Digitalisierung sputen!

Das Risikomanagement

„Erwägungsgrund 75“ der DSGVO nennt Risiken, „die zu einem physischen, materiellen oder immateriellen Schaden führen könnten“ – etwa „Diskriminierung“, „Identitätsdiebstahl oder -betrug“, „Rufschädigung“ oder zu einem Kontrollverlust über die eigenen Daten. Solche Schäden befürchtet der Gesetzgeber außerdem bei Verarbeitung von Daten, „aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln“. Die Liste riskanter Datenverarbeitungen ließe sich noch deutlich verlängern.

Wer nun meint, dieser Erwägungsgrund richte sich nicht an ihn, da er kein Arzt sei und deshalb auch keine Gesundheitsdaten verarbeite, dem sei eine Broschüre zum „Datenschutz im Hotelgewerbe“ des Rheinland-Pfälzischen Landesbeauftragten für den Datenschutz zur Lektüre ans Herz gelegt – häufig hat das Hotel nach Ansicht der Mainzer Behörde „sogar Kenntnis vom Gesundheitszustand des Gastes, von Krankheiten, Allergien oder Diäten“. Das Datenschutzmanagement-System muss deshalb beispielsweise festschreiben, dass der Gast der Verarbeitung dieser „besonderen Kategorien personenbezogener Daten“ (Art. 9 DSGVO) ausdrücklich zustimmt. Ansonsten ist die Verarbeitung nämlich untersagt. Genauso ist es eine gute Idee, wenn die Hersteller von Bio-Müsli, Bayerischen Trachten, Gartenzwergen, Harley-Davidson-Motorrädern und Springerstiefeln ihre Ware in neutrale Pakete packen. Analog gilt das für politische Vereinigungen, Gewerkschaften und die Anhänger der Chormusik. Irrelevant ist, ob sich der Verantwortliche tatsächlich in der Verantwortung sieht. Ausschlaggebend ist, ob er die Aufsichtsbehörde oder die Richterin davon überzeugen kann.

Schließlich will die Ansbacher Behörde wissen:

„Gibt es für jede Verarbeitungstätigkeit Angaben, mit der Sie die Rechtmäßigkeit Ihrer Verarbeitung nachweisen können, z. B. bezüglich Zwecken, Kategorien personenbezogener Daten, Empfängern und/oder Löschfristen (Art. 5 Abs. 2 DS-GVO)?“

Der Hintergedanke: Daten, die nicht erhoben werden, können nicht verloren gehen. Deshalb muss der Zweck der Verarbeitung definiert werden – und nur zu diesem Zweck dürfen die Daten genutzt werden. Hätte Facebook diesen Grundsatz beachtet, wäre dem Konzern so mancher Ärger erspart geblieben.

Der Strafenkatalog

Wer gegen die DSGVO verstößt, muss nach Artikel 83 mit einem Bußgeld in Höhe von bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro rechnen, „je nachdem, welcher der Beträge höher ist“. Zusätzlich kann nach Artikel 82 Schadenersatz fällig werden; es sei denn, er kann nachweisen „dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.

Die Höchststrafe droht allerdings von den Kunden: 70 % der Verbraucher sollen angeblich Geschäftsbeziehungen aufgeben wollen, wenn ein Unternehmen in eine Datenpanne verwickelt würde. Der Facebook-Kurs stürzte vom 16. bis 27. März von 185,09 US-Dollar auf 152,20 US-Dollar, erholte sich seither aber wieder in Richtung alte Höchststände. Interessant ist: Der Kurs hat Kapriolen geschlagen, ohne dass ein Schaden eines einzigen Facebook-Mitglieds bekannt geworden wäre. Aber das kann ja noch kommen.

Joachim Jakobs



Diese Website verwendet Cookies. Mit der weiteren Nutzung dieser Website, akzeptieren Sie unsere Datenschutzerklärung und die Verwendung von Cookies und um Ihnen spezielle Services und personalisierte Inhalte bereitzustellen. Weiteres erfahren Sie unter der Rubrik Datenschutz.

X schließen