Einsatz von Social Media-Buttons auf Webseiten

Erhöhte Datenschutzrisiken aufgrund aktuellem EuGH-Urteil zum Facebook-Like-Button.

Thomas Göhrig, Berater Informationssicherheit und Datenschutz, FCH Compliance GmbH und

Dr. Dorothea Baranyai, Datenschutzberaterin

Das jüngste Urteil des Europäischen Gerichtshofs zur Nutzung der „Gefällt mir“-Schaltfläche von Facebook (stellvertretend für alle Social Media-Plattformen wie XING, Linkedin, Twitter, Instagram, YouTube etc.) führt dazu, dass auch Webseitenbetreiber bei der Nutzung von Social Media-Schnittstellen haftbar gemacht werden können.

Bei Zuwiderhandlungen besteht ein hohes Risiko eines Bußgeldes, zum einen da die Nutzung von Social Media-Schaltflächen mit nur einem Klick auf Ihre Webseite nachzuprüfen ist, aber zum anderen aber auch da die Auslegung des Sachverhalts mit dem Urteil des EuGH bereits bis in die oberste rechtliche Instanz klar definiert wurde und es keinen Interpretationsspielraum mehr gibt.

BERATUNGSTIPPS

Quick-Check Datenschutz.

Auslagerung Datenschutz.

Beratung Datenschutz.

Nutzen Sie auf Ihren Webseiten eingebettete Social Media-Schaltflächen, besteht ggf. Anpassungsbedarf. Eine Hilfestellung sollten die folgenden Handlungsempfehlungen geben.

Aktuelle Rechtslage nach neuem EuGH-Urteil

Bindet ein Betreiber einer Webseite Social Media-Kanäle wie die Facebook-„Gefällt mir“-Schaltfläche, YouTube-Videos, Twitter, Linkedin, XING, Instagramm oder Google + ein, führt oft allein das Aufrufen der Webseite zu einer Erhebung und Übermittlung personenbezogener Daten wie der IP-Adresse oder lokal abgelegten Cookies an die sozialen Dienste, und das, ohne dass der Webseitenbesucher ein Nutzerkonto bei Facebook und Co. haben oder mit seinem Profil angemeldet sein muss.

Zu diesem Themenkomplex gibt es bereits zwei Urteile des EuGH:

  • EuGH, Urt. v. 05.06.2018, Az. C-210/16 (Urteil zu Facebook-Fanpages)
  • EuGH, Urt. v. 29.07.2019, Az. C-40/17 (Urteil zu „Gefällt mir“-Button)

Das jüngste EuGH-Urteil unterstreicht die klare gemeinsame Verantwortlichkeit von Webseitenbetreibern und Facebook (stellvertretend für alle Social Media-Plattformen), schränkt jedoch ein, dass jeder nur für seine Handlungen bzgl. personenbezogener Daten verantwortlich ist. Damit haftet der Seitenbetreiber bei der Erhebung personenbezogener Daten beim Besuch des Internetauftritts und bei der Weiterleitung der Daten an z. B. Facebook Irland gemeinsam mit dem Anbieter des Social Media-Plugins. Dabei sei es im konkreten Urteil auch unerheblich, dass der Seitenbetreiber nach der Übermittlung an Facebook gar keinen Zugriff mehr auf die personenbezogenen Daten habe. Es reiche bereits aus, dass er durch Einbindung des „Gefällt mir“-Buttons die Datenübermittlung an Facebook ermögliche und selbst von der durch den Klick auf den „Gefällt mir“-Button generierten Werbung profitiere.

Nach der Datenübermittlung tragen Facebook und Co. die alleinige Verantwortung für alles Weitere, also Datenverarbeitung/-speicherung/-sicherung/-löschung etc.

Überprüfen Sie den Ist-Zustand Ihrer Webseite inklusive aller Unterseiten

Zunächst einmal gilt zu unterscheiden, ob Sie tatsächlich Social Media-Plugins oder nur eine reine Verlinkung auf Ihre Social Media-Profile wie Facebook, Linkedin, XING, YouTube o. ä. verwenden bzw. verwenden möchten. Hier kommt es teilweise zu Missverständnissen.

Durch Social Media-Plugins, z. B. die Facebook-„Gefällt mir“-Schaltfläche oder ein eingebettetes „YouTube-Video“, können Nutzer mit einem Klick ein „Gefällt mir“ auf Facebook hinterlassen oder ein YouTube-Video schauen, ohne Ihre Webseite verlassen zu müssen.

Stellen Sie jedoch lediglich eine Verlinkung Ihrer Social Media-Profile bereit, ist dies unkritisch, da das Aufrufen Ihrer Hauptwebseite durch Verlinkung keine personenbezogenen Daten an die Social Media-Anbieter versendet. Der Nutzer wird erst durch Anklicken des Links weitergeleitet.

Hierbei gilt: Verzichten Sie möglichst auf Social Media-Schaltflächen und setzen Sie auf reine Verlinkungen.

Social Media-Plugins – aber wie?

Möchten Sie aus wirtschaftlichem Interesse nicht auf Social Media-Plugins verzichten, gilt folgendes:

  • Treffen Sie mit dem Social Media-Anbieter eine schriftliche Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO. Bisher gilt z. B. die von Facebook verfügbare Standardvereinbarung nur für Fanpages, nicht aber für z. B. „Gefällt mir“-Schaltflächen Da die meisten der Dienste aktuell keine Vereinbarungen für gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO anbieten, wäre deren Nutzung illegal.
  • Für die Weiterleitung der Daten an das soziale Netzwerk benötigen Sie eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Die Datenschutzbehörden haben sich hinsichtlich Tracking-Daten in kürzlichen Veröffentlichungen hierzu sehr restriktiv geäußert. Hierfür können neben einem Pop-Up-Banner auch anderweitige technische Lösungen (z. B. „Shariff“ oder „Embetty“) helfen. Durch diese Lösungen wird die automatische Weitergabe personenbezogener Daten bereits beim Besuch Ihrer Webseite blockiert, gleichzeitig muss der Seitenbesucher aber nicht auf die direkte Nutzung der Social Media-Plugins verzichten.
  • Aktualisieren Sie – sofern nicht schon geschehen – Ihre Datenschutzhinweise bzgl. der gemeinsamen Verantwortlichkeit von Ihnen (Datenerhebung/-weiterleitung) und dem Social Media-Anbieter (Datenverarbeitung/-speicherung/-löschung etc.). Fügen Sie hinzu welche Social Media-Plugins eingebunden sind, welche technischen Vorkehrungen zum Schutz der personenbezogenen Daten Sie getroffen haben und verweisen Sie auf die Datenschutzhinweise des Social Media-Kanals.

Technische Lösungen

Durch die Einbettung der Social-Media-Kanäle als „iframe“ werden bereits beim Laden der Webseite Daten an das soziale Medium übermittelt. Kostenfreie Lösungen bieten die Zweiklick-Lösung von Heise (https://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html): Erster Klick zum Aktivieren der ausgegrauten Social Media Buttons, zweiter Klick für das eigentliche Nutzen des Social Media Buttons. Nachteilig hier ist die unauffällige Optik der verlinkten sozialen Medien und damit weniger Klicks und weniger Sichtbarkeit und die Weiterentwicklung als Antwort auf das aktuelle Urteil des EuGH, die Einklick-Lösung von Heise (Shariff https://www.heise.de/ct/ausgabe/2014-26-Social-Media-Buttons-datenschutzkonform-nutzen-2463330.html): Sie ermöglicht die Einbettung des Social Media-Plugins als HTML-Link. Dadurch sind „iframes“ nicht mehr nötig, der Nutzer muss nur einmal kicken, um z. B. etwas zu „liken“ und auch die Buttons können im gewohnt auffälligen Design auf der Webseite eingebettet werden, was deren Nutzung und den damit gewünschten Effekt der Sichtbarkeit der Webseite gewährt.

PRAXISTIPPS

  • Überprüfen Sie Ihre Webseiten und Unterseiten auf eingebundene Social Media-Plugins.
  • Bewerten Sie, ob der Einsatz von Social Media-Plugins sinnvoll ist oder ob eine reine Verlinkung ausreicht.
  • Prüfen Sie die Umsetzung technischer Lösungen zur Umsetzung der Einwilligungserfordernis.
  • Aktualisieren Sie ggf. die Datenschutzhinweise der betroffenen Webseite.

 

Beitragsnummer: 85038

 

Tradition trifft auf Digitalisierung

Arbeitswelt 4.0: Herausforderungen, Hemmnisse und Hintergründe

Peter Kleinau,
Geschäftsführender Gesellschafter,
Executive Mediation GmbH, Kommunikationsexperte und Berater für Veränderungsprozess

 

Aktuell befindet sich die Arbeitswelt im Umbruch. Globalisierung, digitaler Wandel und Industrie 4.0 verändern das gesamte Wirtschaftsgefüge – vor allem jedoch die Art und Weise wie Menschen und Organisationen miteinander arbeiten. Bestehende Modelle, Strukturen und Prozesse weichen zunehmend neuen, flexiblen Formaten. Besonders den Mittelstand stellt das vor große Herausforderungen, da es sich meist um gewachsene Unternehmen mit klassischen Rollenbildern von Eigentümern und Managern handelt. Im Rahmen moderner Transformationsprozesse verändern sich jedoch die Organisationsstrukturen, die Gestaltung des Arbeitsplatzes sowie die Interaktion zwischen Führungskräften und Mitarbeitern. Doch Tradition und Digitalisierung schließen sich nicht von vornherein aus. Hier stellt sich keine Entweder-oder-Frage – das Alte oder das Neue –, sondern eher, die nach der Angemessenheit: Welche Veränderungen sind sinnvoll in einer sich ständig verändernden Welt?

 

Neue Arbeit

Intelligente Roboter in der Fabrik, neue Jobprofile, smarte Kommunikations- und Informationstechnologien im Büro, 3D-Druck, soziale Netzwerke, Cloud-Computing und Big Data gehören zu den Markenzeichen der sogenannten vierten industriellen Revolution. Grundlegende und treibende Kraft dieser Entwicklung ist neben dem technologischen Fortschritt die immer stärkere Vernetzung von Dienstleistungen, Produkten und Prozessen über das Internet. Anders als früher sind so nicht mehr nur Systeme innerhalb eines Unternehmens miteinander verknüpft, sondern auch entlang der gesamten Wertschöpfungskette. Maschinen tauschen untereinander Informationen aus, um sich selbstständig zu organisieren oder Abläufe zu koordinieren. Dadurch ändert sich das Verhältnis von Mensch und Maschine grundlegend. In Folge dessen entwickelt sich die klassische Arbeiterschaft immer mehr zu Entscheidungsträgern und Wissensarbeitern, die beispielsweise die Produktion überwachen, programmieren und steuern. In allen Bereichen gibt es einen steigenden Bedarf an Fachkräften. Im Kontext von Arbeit 4.0 steigt die Bedeutung von kontinuierlicher persönlicher Weitentwicklung sowie der Anpassungsfähigkeit an neue Anforderungen und Rahmenbedingungen – und das nicht nur in der IT-Branche. Längst ist der digitale Wandel in allen Branchen angekommen. So auch im produzierenden Gewerbe, im Handel oder im industriellen Sektor. Neue Kommunikations– und Informationstechnologien ermöglichen es Beschäftigten, Arbeitszeiten und -orte flexibel zu gestalten. Der klassische „nine-to-five“-Job könnte zum Auslaufmodell werden. Für viele Menschen wecken diese Vorstellungen allerdings nicht nur positive Assoziationen. Eine immer schnellere Automatisierung schürt besonders bei Menschen mit niedriger oder mittlerer Bildung Ängste vor einer digitalen Übernahme, vor Arbeitslosigkeit und Armut. Sie wissen nicht, wie sie sich auf bevorstehende Umbrüche vorbereiten sollen und viele Betriebe bieten zu wenig Raum für zusätzliche Fort- oder Weiterbildung. Hier sind die Unternehmen und vor allem die Führungsetage gefragt, den Qualifikationsbedarf nicht nur zu erkennen, sondern auch die Möglichkeiten zu schaffen diese nachhaltig in der Organisation zu verankern.

 

Digitalisierung im Mittelstand

In kleinen und mittelständischen Betrieben sind Agilität und Flexibilität längst keine neuen Themen. Im Gegenteil: Besonders innovative Technologien kommen hier häufig schneller zum Einsatz als in großen Konzernen. Allerdings stellen Geschwindigkeit und Umfang des Wandels besonders Mittelständler mit tradierten Strukturen und nachhaltigen Werten vor neue Herausforderungen. Zwar glauben viele Betriebe grundsätzlich an diese neue Dynamik, da sie als Wachstumschance und Wettbewerbsvorteil erkannt wurde. Einige agieren jedoch zu langsam. Bei anderen zeigt sich eine inhaltliche Überforderung wegen der enormen Komplexität und Mehrdeutigkeit des Themas Digitalisierung. Fehlende zeitliche oder finanzielle Ressourcen spielen dabei ebenso eine Rolle wie die Abwesenheit einer funktionierenden digitalen Strategie, bei der Menschen im Mittelpunkt stehen.

 

Von Anfang an auf der richtigen Spur

Fest steht: Digitalisierung funktioniert nicht im Hauruckverfahren. Es handelt sich um einen zeitintensiven Prozess, bei dem Technologien, Mitarbeiter und Organisation hinterfragt, entwickelt und aneinander angepasst werden müssen. Daher gilt es, sich frühzeitig mit Strategien und möglichen Folgen des digitalen Wandels auseinanderzusetzen. Um die Unternehmenskultur aktiv zu gestalten, sollte in erster Linie der Austausch auf allen Ebenen und die Verbesserung von Informationsflüssen gefördert werden. Denn digitale Transformationsprozesse betreffen niemals nur die IT-Abteilung oder ein Digitalisierungsgremium. Hier sind die oberste Führungsetage und das mittlere Management in der Verantwortung. Als treibende Kraft müssen sie sich engagieren, Sicherheit ausstrahlen, konsequent den gegebenen Handlungsrahmen und alte Prozesse neu denken. Ein zentraler Punkt ist, eine Unternehmenskultur zu etablieren, die Freiräume schafft und Querdenken fördert. Ganz gleich, ob Manager oder Mitarbeiter, alle Abteilungen sollten darin ermutigt werden, den Status Quo zu hinterfragen und Neues auszuprobieren. Dazu gehört auch, bestehende Abläufe, Geschäftsmodelle oder Strategien auf den Prüfstand zu stellen. Entsprechend wichtig ist es, dass sich Entscheider und Personal Zeit nehmen und grundsätzliche Fragen klären. Was bedeutet Digitalisierung für uns? Was kommt auf die Abteilung, das Team und jeden Einzelnen zu? Wie laufen die bestehenden Prozesse ab? Erst, wenn hier klare Antworten gefunden sind, kann eine kohärente Strategie für alle Bereiche des Unternehmens entwickelt werden. Außerdem gilt es, Interessen und spezielle Fähigkeiten der Mitarbeiter zu berücksichtigen und damit Motivation und Begeisterung für die digitale Strategie sinnvoll zu fördern. Dafür existiert allerdings längst nicht in jeder Firma ein Bewusstsein. Impulse durch externe Trainer können helfen innerhalb des Unternehmens ein gemeinsames Verständnis für Digitalisierung zu entwickeln und Transformationsprozesse effektiv begleiten. Ob in Workshops, Seminaren oder individuellen Coachings: Diese Experten geben als neutrale Dritte gezielt Anreize, um die Anforderungen des digitalen Wandels zu reflektieren, mögliche Barrieren abzubauen und erkannte Herausforderungen zu meistern. Denn erst, wenn bestehende Hemmnisse im Hinblick auf Strategie, Struktur oder Prozessabläufe bekannt sind, können individuelle auf das Unternehmen und den Markt zugeschnittene Wege hin zur Arbeit 4.0 gefunden werden.

 

Praxistipps
  • Sprechen Sie mit Ihren Mitarbeitern bevor grundlegende Veränderungen angestoßen werden – holen Sie sie ab und beziehen Sie sie mit in den Prozess ein.
  • Beobachten Sie den gestiegenen Fachkräfte- und Qualifikationsbedarf und reagieren Sie mit frühzeitiger Ausrichtung der Personalbeschaffungs- und Personalentwicklungsprozesse auf die neuen Anforderungen.
  • Entwickeln Sie eine passende digitale Strategie entsprechend Ihrer Tätigkeit und den Menschen Ihres Unternehmens und planen Sie ausreichende und feste Kapazitäten für die Umsetzung ein.
  • Digitalisierung ist Chefsache – Führungsebene und mittleres Management sind für das Projekt entscheidend und sollten in die Verantwortung.

 

Beitragsnummer: 1090

Vertraulichkeit, Integrität und Verfügbarkeit

Schutzziele der Informationssicherheit

Eric Weis, IT Sicherheitsexperte, BRANDMAUER IT GmbH

 

Sicher haben Sie schon von den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit gehört. Diese Schutzziele geben Aufschluss darüber, wie weit ein System Informationssicherheit erreicht hat. Indem Ihre Systeme und damit auch Ihre Daten diese Schutzziele erfüllen, sind sie gegen Angriffe und Einwirkung geschützt. Weiterhin gibt es neben Vertraulichkeit, Integrität und Verfügbarkeit noch die Schutzziele Authentizität, Zurechenbarkeit und Verbindlichkeit, die bei erweiterter Betrachtung relevant sein können.

 

Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit

1. Vertraulichkeit:

Unter Vertraulichkeit versteht man, dass Daten nur von den Personen eingesehen werden dürfen, die dazu auch berechtigt sind. Will man Daten vertraulich behandeln, muss klar festgelegt sein, wer in welcher Art und Weise Zugriff auf diese Daten hat. Doch man muss noch einen weiteren Aspekt beachten, den viele gerne vergessen!

Zur Vertraulichkeit von Daten gehört auch, dass diese bei der Übertragung nicht von unautorisierten Personen gelesen werden! Das heißt, es muss dafür gesorgt sein, dass die Daten bei einer Übertragung in geeigneter Weise verschlüsselt werden.

Ein gutes Beispiel aus der Praxis stellt hier vor allem Ihr E-Mail-Verkehr dar. Vermutlich umfasst dieser wöchentlich mehrere tausend E-Mails. Darunter befinden sich mit Sicherheit Informationen, die vertraulich zu behandeln sind. Aber können Sie auch garantieren, dass diese Informationen nur die Augen erreichen, für die sie bestimmt sind? Ihr E-Mail-Verkehr muss verschlüsselt sein! Andernfalls können Sie die Vertraulichkeit Ihrer Daten, die per E-Mail versendet wurden, nicht mehr garantieren!

Und hier noch ein weniger technisches Beispiel: Auch Räumlichkeiten, in denen vertrauliche Datenbestände wie. z. B. die Lohnbuchhaltung verarbeitet oder gelagert werden, müssen entsprechend gesichert sein. Wenn solche Räume frei zugänglich sind, kann man die Vertraulichkeit der dort befindlichen Daten vergessen!

 

2. Integrität

Viele verwechseln Integrität mit Vertraulichkeit. Integrität bedeutet allerdings, dass es nicht möglich sein darf, Daten unerkannt bzw. unbemerkt zu ändern. Es geht hierbei also nur um die Nachvollziehbarkeit von Datenänderungen, wohingegen bei Vertraulichkeit der Fokus auf der Berechtigung liegt.

Ein kleines Beispiel aus dem Unternehmensalltag: Es existiert ein Datenbestand, auf den über eine Applikation zugegriffen werden kann. Oftmals werden aus Kostengründen nur wenige Lizenzen gekauft. Dann sind auch nur wenige Benutzerkonten mit Passwort vorhanden, die anschließend von mehreren Personen benutzt werden (gerne „Shared User Accounts“ genannt). Offensichtlich ist die Integrität dieser Daten nun nicht mehr gegeben, da Datenänderungen von mehreren Personen, die jedoch dieselbe digitale Identität benutzen, vorgenommen werden können. Mit solchen „Shared User Accounts“ zerstören Sie ganz leicht die Integrität von Datenbeständen, weshalb Sie diese Accounts schnellstmöglich eliminieren sollten! Wenn dies nicht ohne weiteres möglich ist, sollten Sie wenigstens entsprechende Dokumentationspflichten für Datenänderungen einführen.

Nehmen wir einmal Forschungs- und Entwicklungsdaten. Wenn die Integrität solcher Daten zerstört ist, weil eine winzige Änderung unerkannt vorgenommen wurde, können Sie sämtlichen Daten nicht mehr trauen! Man muss niemandem erklären, dass dies eine Katastrophe wäre.

 

3. Verfügbarkeit:

Die Verfügbarkeit eines Systems beschreibt ganz einfach die Zeit, in der das System funktioniert. Im Sinne der Schutzziele geht es hier selbstverständlich darum, die Verfügbarkeit möglichst hoch zu halten. Anders gesagt: Es gilt, das Risiko von Systemausfällen zu minimieren!

Sie sollten sich also einen Überblick über die im Unternehmen vorhandenen Systeme und damit auch Datenbestände verschaffen. Anschließend müssen Sie analysieren, welche Systeme und Datenbestände unbedingt notwendig sind, damit die Arbeitsabläufe im Unternehmen funktionieren können. Diese sollten Sie entsprechend gegen Ausfälle schützen! Eine Art Risikoanalyse, in der man Ausfallwahrscheinlichkeit, Ausfallzeit und Schadenspotenzial auflistet ist hierbei zu empfehlen. Zudem sollte die Geschäftsleitung bzw. eine Fachabteilung festlegen, welche Ausfallzeiten jeweils tolerierbar sind. Diese können nämlich von Unternehmen zu Unternehmen variieren. Beispielsweise kann es durchaus sein, dass der Ausfall des Mailservers für einen Tag verkraftbar ist; in anderen Unternehmen ist das der Super-GAU.

 

Verbindlichkeit und Zurechenbarkeit

Diese zwei erweiterten Schutzziele lassen sich recht gut anhand des Identitätsmanagements veranschaulichen. Verbindlichkeit bedeutet nämlich, dass es nicht möglich sein darf, ausgeführte Handlungen abzustreiten. Unter Zurechenbarkeit (oder Verantwortlichkeit) versteht man die Übernahme von Verantwortung für Informationswerte. Die beiden Begriffe gehen also Hand in Hand. Zudem hängen diese Eigenschaften an den im Unternehmen vorhandenen Identitäten!

Ihr Identitätsmanagement muss dafür sorgen, dass jeder Mitarbeiter eine eindeutige Identität besitzt, deren Handlungen nachvollziehbar sind. Ein kleines Beispiel: Man kann E-Mails signieren. Diese Signatur gibt im Normalfall eine sichere Auskunft darüber, wer eine E-Mail versendet hat. Die Handlung (das Versenden der E-Mail) ist somit zurechenbar und nachvollziehbar.

Ferner gibt es noch ein weiteres Schutzziel namens Authentizität. Diese beschreibt grundsätzlich recht simpel die Echtheit (bzw. Vertrauenswürdigkeit) von Informationen oder Identitäten. Im Sinne der Informationssicherheit hört man oft den Begriff Authentifizierung. Dies sind lediglich die Überprüfung und der Nachweis der Identität einer Person. Der Vorgang des Nachweises der eigenen Identität nennt sich Authentisierung.

 

Fazit

Sie kennen nun die Schutzziele der Informationssicherheit. Was sollten Sie also aus diesem Beitrag mitnehmen? Sie als Geschäftsführer sollten zuerst Ihr Unternehmen und dessen Datenbestände analysieren. Überprüfen Sie welche Daten für das Überleben des Unternehmens essentiell sind und welche Daten bei Verlust die größten Schäden anrichten. Anschließend ist es Ihre Aufgabe, als Geschäftsführer dafür zu sorgen, dass diese Datenbestände die Schutzziele erreichen! Erarbeiten Sie, eventuell auch in Kooperation mit einem IT-Sicherheitsexperten, geeignete Maßnahmen, mit denen Sie Ihre Datenbestände im Sinne der Informationssicherheit schützen.

 

Praxistipps

Prüfen Sie Ihre Datenbestände mit den folgenden beispielhaften Punkten. Dieser Ausschnitt ist ein guter Überblick über die Prüfkriterien und gibt eine gute Vorstellung davon, was wichtig ist, wenn man die Schutzziele erreichen will.

  • Vertraulichkeit:
  • Dokumentierte Schlüsselausgabe
  • Verschlossene Serverschränke/-räume
  • Passwortkonvention mit komplexem Passwort und mind. 10 Zeichen
  • Zentrale Authentifikation mit Benutzername und Passwort
  • Verschlüsselte Datenträger (z. B. Laptop)
  • Rollenbasiertes Berechtigungskonzept

 

  • Integrität:
  • Verschlüsselung (z. B. VPN, E-Mail etc.)
  • Einsatz von z. B. USB-Datenträgern reglementieren
  • Besonderer Schutz beim physischen Transport von Datenträgern (Backup)

 

  • Verfügbarkeit:
  • Implementiertes Backup & Recoverykonzept
  • Testen der Datenwiederherstellung
  • Ausfallschutz (z. B. USV)
  • dokumentiertes Patch-Management

 

Diese lassen sich von IT-Dienstleistern unabhängig überprüfen und bewerten. Dabei wird der Ist-Zustand Ihrer IT-Sicherheit analysiert und in einem detaillierten Bericht mit eingeschlossenen Maßnahmenempfehlungen verarbeitet. Damit lässt sich die fundierte Annäherung eines Unternehmers samt Unternehmung an ein komplexes aber wichtiges Thema gewährleisten.

Beitragsnummer: 1051

Mithaftung für Social-Media-Auftritte?

Auswirkungen der EuGH-Entscheidung vom 05.06.2018, nach welcher der Fanpage-Betreiber für Datenschutzverstöße seitens Facebook mit verantwortlich ist.

Stefan Maas, Fachanwalt für gewerblichen Rechtsschutz, selbstständiger Spezialist für Datenschutzrecht in der Kreditwirtschaft, Köln

Wer nutzt soziale Medien nicht, um sein Unternehmen und seine Produkte bestehenden Kunden, vor allem potentiellen Neukunden, näher zu bringen? Agenturen haben sich darauf spezialisiert, eine Vielzahl von Mitarbeitern wurde zum Social-Media-Manager ausgebildet.

 

Die Nutzung von Facebook birgt Haftungsrisiken für die Fanpage Betreiber?

So allgemein gefragt, ist diese Erkenntnis nicht neu. Ein beleidigendes oder sachlich falsches Posting führte schon lange zu einer juristischen Verantwortlichkeit. Die Nutzung von Fotos, ohne Zustimmung der Fotografen oder der abgebildeten Personen, war auch schon seit längerem Gegenstand von gerichtlichen Verfahren. In der jüngeren Vergangenheit kamen Urteile hinzu, dass auch gesharter Content, etwa Bilder, Texte, Zitate, sofern diese z. B. urheberrechtlich geschützt und als Kopie in die Timeline von Facebook gestellt wurden, zur Haftungsfalle werden konnten.

 

Haftung für die Datenverarbeitung durch Facebook?

Nun hat der EuGH jedoch entschieden, dass der Fanpagebetreiber auch eine Mitverantwortung für die Technik „dahinter” trägt. Durch Einstellungsoptionen, die aktiviert, oder durch spezifischen Funktionen, die gegenüber Facebook seitens der Fanpagebetreiber angefordert werden können, würde eine Einflussnahme auf den Umfang und die Art und Weise der Datenerhebung begründet. Die Datenschutzgesetze nennen dies „über die Zwecke und Mittel” der Daten mit zu entscheiden. Und daher treffe auch den Fanpage Betreiber eine datenschutzrechtliche Haftung für den Fall, dass sein Nutzer die datenschutzrechtswidrige Verarbeitung seitens Facebook beanstande. Solche Praktiken wurden übrigens durch eine Reihe von deutschen Gerichten wiederholt gegenüber Facebook festgestellt und ausgeurteilt.

 

Konsequenzen für das Unternehmen?

Zunächst einmal ist diese Auffassung, mehrere Unternehmungen seien nebeneinander für die Gestaltung datenverarbeitender Prozesse i. S. d. Datenschutzrechts verantwortlich, vollkommen neu.

Fanpage-Betreiber treffen nunmehr u. a. die Betroffenenrechte, wie Auskunft oder auch Information und Belehrung oder das Auskunftsrecht, ohne dass die erforderlichen Informationen tatsächlich seitens Facebook bereitgestellt werden. Hier besteht Handlungsbedarf, d. h. Facebook sollte angeschrieben und um Mitwirkung und Stellungnahme gebeten werden.

Natürlich ist diese neue Beurteilung gerade nicht allein auf die Fanpage bei Facebook zu beschränken. Das führt zu der interessanten Frage, welche Kooperationen bzw. gemeinsamen Verarbeitungsvorgänge gleichfalls in dieser Form „horizontaler“ Zusammenarbeit gleichermaßen haftungsbegründend sein könnten. Etwa verbindliche Vorgaben eines Berufsverbandes oder technische Empfehlungen von Aufsichtsbehörden?

Entscheidendes Kriterium ist nach Auffassung des Gerichts allein die Mitentscheidung über die Zwecke und Mittel der Verarbeitung.

 

Praxistipps
  • Stellen Sie fest, in welchem Umfange Facebook in Ihrem Unternehmen genutzt wird.
  • Kontrollieren Sie den Umfang laufender Marketingmaßnahmen in der Zusammenarbeit mit Facebook.
  • Dokumentieren Sie die dort vorgenommenen datenschutzrechtlichen Einstellungen.
  • Hinterfragen Sie die Einstellungen und reduzieren Sie den Datenfluss über Facebook.
  • Bitten Sie Facebook nachweislich um Mitwirkung, die Feststellungen des EuGHs zu beseitigen.
  • Stellen Sie weiter fest, für welche Social-Media-Angebote die o. g. Aspekte der Einflussnahme auf den Umfang der Datenerhebungen in gleichem Maße zutreffen.

Beitragsnummer: 1035

Ist eine Datenschutz-Prüfung in Ihrem Unternehmen sinnvoll?

DSGVO SofortCheck

Überprüfen Sie anhand folgender Fragen, ob Sie die wichtigsten Anforderungen umgesetzt haben:

  • Ist ihr Datenschutzbeauftragter bestellt und bei der DS-Behörde gemeldet?
  • Sind Ihre Geschäfts- und Serverräume mit technischen und organisatorischen Maßnahmen entsprechend der DSGVO geschützt?
  • Sind ihrem Vertrieb insbesondere in der Kundenansprache und Werbung die engen Grenzen des UWG i.V.m. der DSGVO bekannt?
  • Werden Ihre IT-Umgebung, Geschäftsunterlagen und Datenbanken ausreichend durch eine funktionierende Datensicherung und Firewall geschützt?
  • Haben Sie mit Ihren Dienstleistern aktuelle Auftragsdatenverarbeitungsverträge nach § 28 DSGVO i.V.m. § 62 BDSG-neu geschlossen und die Dienstleister dokumentiert geprüft?
  • Erfassen Sie von ihren Beschäftigten nur Daten, zu denen Sie berechtigt sind?

Achtung – diese Liste erhebt keinen Anspruch auf Vollständigkeit, sondern ist lediglich für eine grobe Einschätzung geeignet.

Haben Sie Defizite identifiziert oder möchten Sie darüber hinaus Kontakt mit uns aufnehmen? Dann nutzen Sie das Kontaktformular.

Senden Sie uns eine E-Mail

 

Beitragsnummer: 1008

Abwehr von Schadensersatzansprüchen unter der Datenschutzgrundverordnung

Martin Strauch, Rechtsanwalt, Senior Associate [im Bereich Prozessführung bei] Hogan Lovells International LLP
Tim Wybitul, Rechtsanwalt, Partner [im Bereich Datenschutz bei] Hogan Lovells International LLP

Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen

Seit dem 25.05.2018 gilt die neue Datenschutzgrundverordnung (DS-GVO). Die DS-GVO sieht europaweit ein strenges Datenschutzrecht vor. Bei Fehlern drohen Bußgelder von bis zu vier Prozent des weltweiten Umsatzes. Daneben müssen datenverarbeitende Unternehmen im Rahmen von Art. 82 DS-GVO mit erheblichen Schadenersatzansprüchen rechnen, sofern sie die Vorgaben der DS-GVO nicht richtig umsetzen. Zudem ist die Beweislage für Unternehmen ungünstig. Außerdem haben Kläger nun die Möglichkeit, auch Ersatz für immaterielle Schäden zu fordern. Ferner will die DS-GVO auch die effektive Durchsetzung der Ansprüche etwa durch Verbandsklagen erleichtern. Datenverarbeitenden Unternehmen ist es deshalb zu raten, spätestens jetzt effektive Maßnahmen umzusetzen, um Schadensersatzforderungen zu vermeiden.

Der vorliegende Überblick zeigt die Voraussetzungen solcher Schadensersatzansprüche und beschreibt, mit welchen konkreten Maßnahmen Unternehmen die Risiken durch solche Ansprüche effektiv verringern können.

 

Was löst die Schadensersatzpflicht aus?

Nach Art. 82 DS-GVO kann jeder Verstoß gegen die DS-GVO einen Schadensersatzanspruch begründen. Beispielsweise kommen Verstöße gegen folgende Pflichten in Betracht:

  • Dokumentationspflichten (z. B. nach Art. 24 DS-GVO)
  • Informationspflichten (z. B. nach Art. 13, 14 DS-GVO)
  • Melde- und Benachrichtigungspflichten (z. B. nach Art. 33 DS-GVO)
  • Löschpflichten (Art. 17 DS-GVO)
  • Anforderungen an datenschutzrechtliche Einwilligungen (Art. 7 DS-GVO)

 

Wer kommt als Anspruchsteller in Betracht?

Als Anspruchsteller kommt nach Art. 82 Abs. 1 DS-GVO „jede natürliche Person“ infrage. Somit kommen in erster Linie die betroffenen Personen in Betracht, deren Daten Gegenstand einer Datenverarbeitung sind. Darunter fallen insbesondere bestehende oder potentielle Kunden sowie Mitarbeiter des datenverarbeitenden Unternehmens. Es kommen aber auch Geschäftspartner (z. B. Einzelkaufleute) und andere natürliche Personen infrage, die durch einen Verstoß gegen die DS-GVO geschädigt werden. Darüber hinaus können auch weiteren Personen Ansprüche zustehen, etwa nahen Angehörigen, die infolge des Datenschutzverstoßes Beeinträchtigungen psychischer oder sonstiger Art erleiden. Juristische Personen wie eine GmbH oder AG können hingegen aus eigenem Recht keine Ansprüche aus Art. 82 DS-GVO geltend machen.

 

Wer kann in Anspruch genommen werden?

Fast jedes Unternehmen verarbeitet Informationen über Mitarbeiter, Kunden und sonstige Geschäftspartner. Auch Unternehmen, die in der Vergangenheit ausschließlich mit Unternehmen Geschäfte gemacht haben (klassisches B2B-Geschäft) verarbeiten immer häufiger auch Daten von Endkunden, z. B. im Rahmen von Auftragsdatenverarbeitungen nach Art. 28 DS-GVO oder als Plattformanbieter.

Anspruchsgegner eines Schadensersatzanspruchs können „Verantwortliche“ i. S. v. Art. 4 Nr. 7 sowie „Auftragsverarbeiter“ i. S. v. Art. 4 Nr. 8 DS-GVO sein. Da wie dargestellt nahezu alle Unternehmen Daten von Kunden, Geschäftspartnern und eigenen Mitarbeitern verarbeiten, kann dementsprechend eine Vielzahl von Unternehmen einem solchen Anspruch ausgesetzt sein. Kann ein Datenschutzverstoß sowohl einem Verantwortlichen als auch einem Auftragsverarbeiter zugerechnet werden, haften beide im Außenverhältnis als Gesamtschuldner. Das bedeutet, dass der Anspruchsteller sowohl den Verantwortlichen als auch den Auftragsverarbeiter auf den vollen Schadensbetrag in Anspruch nehmen kann. Der in Anspruch genommene kann dann seinerseits fordern, dass sein Vertragspartner (Auftragsverarbeiter oder Verantwortlicher) ihm einen Anteil des Schadens ersetzt.

[/et_pb_text][et_pb_text module_class=”textblock” _builder_version=”3.3.1″]

 

Wer trägt die Beweislast?

Im Hinblick auf die Verteidigung gegen Schadenersatzforderungen ist die Beweislast von besonderer Bedeutung. Normalerweise muss im deutschen Recht der Anspruchsteller selbst die Verstöße gegen die Datenschutzbestimmungen beweisen und darlegen, dass der Anspruchsgegner zumindest fahrlässig gehandelt hat. Da für Betroffene selten die Möglichkeit besteht, die Verarbeitung ihrer Daten nachzuvollziehen, war es für sie in Vergangenheit schwierig, entsprechende Verstöße nachzuweisen. In der DS-GVO gilt nun das sog. „Rechenschaftsprinzip“ (Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO). Danach muss der Verantwortliche bei Anfragen oder Prüfungen der Aufsichtsbehörden nachweisen, die Vorgaben der Verordnung einzuhalten. Es bleibt abzuwarten, ob und wie sich das Rechenschaftsprinzip auch in Beweisfragen im Zivilprozess auswirken wird.

Im Zivilprozess wegen tatsächlichen oder vermuteten Datenschutzverstößen wird aber nach dem Wortlaut der DS-GVO künftig wohl zumindest vermutet werden, dass der Anspruchsgegner den Verstoß verschuldet hat. Um sich zu entlasten, muss er darlegen können, was er alles getan hat, um die Vorgaben der DS-GVO einzuhalten. Wichtig ist dabei auch, dass es unter der DS-GVO keine Möglichkeit gibt, sich für Verschulden (also zumindest fahrlässiges Handeln) der eigenen Mitarbeiter zu entlasten, indem man darlegt, dass man diese sorgfältig ausgewählt und überwacht hat. Handelt hier also ein Mitarbeiter fahrlässig, haftet das Unternehmen.

Der Nachweis einer Verletzung der Vorgaben der DS-GVO wird für die Anspruchsteller darüber hinaus dadurch erleichtert, dass ihnen umfangreiche Informationsrechte (etwa nach Art. 13 oder 14 DS-GVO) und umfassende Auskunftsrechte nach Art. 15 DS-GVO zustehen. All das führt dazu, dass die Geltendmachung von Schadensersatzansprüchen unter der DS-GVO im Vergleich zum bisher geltenden Recht deutlich vereinfacht wird.

 

Praxistipp

In der Praxis wird es zwischen Auftragsverarbeiter und Verantwortlichem häufig entscheidend sein, dem jeweils anderen das Verschulden nachzuweisen oder sich vom Vorwurf des Verschuldens zu entlasten. Es ist daher ratsam, die Beweislast sowie Auskunftsansprüche und Informationspflichten durch entsprechende Regelungen in Verträge (z. B. zur Auftragsverarbeitung) mit aufzunehmen.

Wer trägt die Beweislast?

Im Hinblick auf die Verteidigung gegen Schadenersatzforderungen ist die Beweislast von besonderer Bedeutung. Normalerweise muss im deutschen Recht der Anspruchsteller selbst die Verstöße gegen die Datenschutzbestimmungen beweisen und darlegen, dass der Anspruchsgegner zumindest fahrlässig gehandelt hat. Da für Betroffene selten die Möglichkeit besteht, die Verarbeitung ihrer Daten nachzuvollziehen, war es für sie in Vergangenheit schwierig, entsprechende Verstöße nachzuweisen. In der DS-GVO gilt nun das sog. „Rechenschaftsprinzip“ (Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO). Danach muss der Verantwortliche bei Anfragen oder Prüfungen der Aufsichtsbehörden nachweisen, die Vorgaben der Verordnung einzuhalten. Es bleibt abzuwarten, ob und wie sich das Rechenschaftsprinzip auch in Beweisfragen im Zivilprozess auswirken wird.

Im Zivilprozess wegen tatsächlichen oder vermuteten Datenschutzverstößen wird aber nach dem Wortlaut der DS-GVO künftig wohl zumindest vermutet werden, dass der Anspruchsgegner den Verstoß verschuldet hat. Um sich zu entlasten, muss er darlegen können, was er alles getan hat, um die Vorgaben der DS-GVO einzuhalten. Wichtig ist dabei auch, dass es unter der DS-GVO keine Möglichkeit gibt, sich für Verschulden (also zumindest fahrlässiges Handeln) der eigenen Mitarbeiter zu entlasten, indem man darlegt, dass man diese sorgfältig ausgewählt und überwacht hat. Handelt hier also ein Mitarbeiter fahrlässig, haftet das Unternehmen.

Der Nachweis einer Verletzung der Vorgaben der DS-GVO wird für die Anspruchsteller darüber hinaus dadurch erleichtert, dass ihnen umfangreiche Informationsrechte (etwa nach Art. 13 oder 14 DS-GVO) und umfassende Auskunftsrechte nach Art. 15 DS-GVO zustehen. All das führt dazu, dass die Geltendmachung von Schadensersatzansprüchen unter der DS-GVO im Vergleich zum bisher geltenden Recht deutlich vereinfacht wird.

Praxistipp

Unter diesem Gesichtspunkt ist Unternehmen zu raten, sich auf solche Situationen mit einem umfassenden Datenschutzmanagementsystem vorzubereiten, welches Datenschutzmaßnahmen gerichtsverwertbar dokumentiert. So können sie ihrer Beweislast genügen und sich erforderlichenfalls sowohl im Behördenverfahren als auch im Zivilprozess effektiv verteidigen. Die Dokumentation sollte sich dabei gleich an den Anforderungen möglicher Gerichtsverfahren orientieren. Optimalerweise dokumentieren Unternehmen ihre Maßnahmen zur Umsetzung der DS-GVO gleich in einer Form, die sie später auch im Rahmen von Schriftsätzen oder Anlagen hierzu in Gerichtsverfahren vorlegen können.

Welche Schäden sind in welcher Höhe ersatzfähig?

Neben dem Ersatz von materiellen Schäden sieht Art. 82 Abs. 1 DS-GVO auch eine Ersatzpflicht für immaterielle Schäden vor. Materielle Schäden waren auch bisher schon ersatzfähig. Sie fallen bei Datenschutzverstößen aber in der Praxis regelmäßig recht niedrig aus. Solche Schäden umfassen alle Nachteile, welche dem Geschädigten an seinen rechtlich geschützten Gütern entstehen und auf dem Datenschutzverstoß beruhen. Zu denken ist hier an Kosten für den Ersatz von Kreditkarten, Portokosten und ggf. auch Rechtsverfolgungskosten.

Unternehmen mussten immaterielle Schäden nach dem bisherigen Datenschutzrecht hingegen nicht ersetzen. Es handelt sich dabei um Nichtvermögensschäden, die deshalb nur schwer in Geld zu messen sind. Die DS-GVO trifft hinsichtlich der Höhe solcher immaterieller Schäden keine eigenen Regelungen. Daher ist auf nationale Bestimmungen zurückzugreifen. Mangels umfassender Vorgaben zur Ermittlung des Umfangs im deutschen Recht, kommt dem Gericht ein erhebliches Ermessen zu. Betrachtet man Verstöße gegen das sog. allgemeine Persönlichkeitsrecht (z. B. bei unberechtigter Videoüberwachung am Arbeitsplatz), die mit Datenschutzverstößen vergleichbar sind, fielen die Schadensersatzsummen bisher im Vergleich zu Ländern wie den USA noch relativ gering aus. So lagen die bisher zugesprochenen Entschädigungen beispielsweise im Falle von Observation eines arbeitsunfähig erkrankten Arbeitnehmers bei 1.000 €, bei unzulässiger Videoüberwachung am Arbeitsplatz bei 7.000 € oder bei einer unzulässigen Überwachung durch einen vom Arbeitgeber beauftragten Detektiv 10.000 €. Maßstäbe bei der Bemessung waren bisher insbesondere die Dauer, Art und Schwere der Beeinträchtigung. Es bleibt abzuwarten, ob und wann entsprechende Maßstäbe durch den Europäischen Gerichtshof für die Bemessung der immateriellen Schäden bei Datenschutzverstößen entwickelt werden.

Führt man sich vor Augen, dass bei Datenschutzverstößen regelmäßig nicht nur die Daten einer einzelnen Person betroffen sind, sondern häufig viele (hundert, tausend oder hunderttausend) Datensätze, wird schnell klar, dass selbst relativ kleine Schadensersatzbeträge im Einzelfall bei solchen „Streuschäden“ zu großen Gesamtbeträgen werden können.

Praxistipp

Je mehr Datensätze von einem Unternehmen verarbeitet werden, desto wichtiger ist deshalb auch die Vorbereitung auf den Umgang mit möglichen Schadensersatz- oder Auskunftsforderungen. Fehler bei der Umsetzung der DS-GVO können sowohl Bußgelder als auch Schadensersatzforderungen nach sich ziehen, etwa dadurch, dass ein Unternehmen Auskunfts- und Informationsrechte verletzt. Daher sollten Unternehmen insbesondere auch auf solche Anfragen gut vorbereitet sein. Wichtig ist dabei, die Abwehr möglicher Schadensersatzansprüche so vorzubereiten, dass man sie auch nach Drucksituationen wie z. B. einem Cyberangriff, nach internen Ermittlungen oder in möglichen Erpressungsszenarien noch ohne weiteres umsetzen kann. Unternehmen sollten gerade wegen der ungünstigen Beweislast beispielsweise auch auf Bewerber vorbereitet sein, die sich allein mit dem Ziel bewerben, nach einer Ablehnung später Schadensersatzansprüche geltend zu machen.

 

Besteht eine Gefahr von Sammelklagen?

Neben der Geltendmachung von Schadensersatzansprüchen, besteht nunmehr die Möglichkeit, einzelne Ansprüche effizient im Wege von verschiedenen Ausprägungen von Sammelklagen geltend zu machen. Dabei sind insbesondere drei Ausprägungen denkbar:

 

  • Verbandsklage: Die sog. „Verbandsklage“ ermöglicht es Verbänden, wie etwa Verbraucherzentralen, auch im Fall von Datenschutzverletzungen Unternehmen insbesondere auf Unterlassung in Anspruch zu nehmen. Dabei ist keine Beauftragung durch einen einzelnen Betroffenen erforderlich. Verbraucherzentralen, aber auch z. B. spezialisierte Vereine können damit ein Urteil erwirken, das die Unrechtmäßigkeit einer Datenverarbeitung feststellt. Auch wenn diese Entscheidung keine Bindungswirkung für Schadensersatzansprüche von Verbrauchern hat, können sich einzelne Verbraucher zumindest faktisch auf die Feststellungen stützen.
  • Musterfeststellungsklage: Eine Bindungswirkung soll jedoch die sog. Musterfeststellungsklage haben, die gerade das Gesetzgebungsverfahren passiert. Grund für deren schnelle Einführung durch die neue Bundesregierung ist in erster Linie die Stärkung von Verbrauchern, die Fahrzeuge mit manipulierter Abgassoftware gekauft haben. Das Verfahren ist darauf jedoch nicht beschränkt. Es kann auch in anderen Bereichen – wie etwa dem Datenschutzrecht – zum Einsatz kommen. In einem Musterfeststellungsverfahren entscheidet dann das Gericht über die zentralen Fragen des Falls. Zwar entfaltet das Urteil eine bloße Feststellungswirkung und kann damit noch keinen Schadensersatz zusprechen. Jedoch könnten sich die Betroffenen ohne anwaltliche Vertretung in einem elektronischen Klageregister eintragen lassen, die Verjährung dadurch hemmen und sich bei einer nachfolgenden, auf Schadensersatz gerichteten Individualklage auf das Musterfeststellungsurteil berufen. Darüber hinaus ist davon auszugehen, dass es in vielen Fällen keiner Individualklage mehr bedarf, da das Musterfeststellungsurteil die Basis einer außergerichtlichen Einigung schafft.
  • Klagevehikel: Daneben ist es denkbar, dass sog. „professionelle Kläger“ die Geltendmachung von Schadensersatzansprüchen durch sog. Klagevehikel übernehmen. Dies sind speziell gegründete Unternehmen, die mehrere Ansprüche bündeln, um diese gesammelt gerichtlich durchzusetzen. Klagevehikel gibt es in zwei Ausprägungen. Einerseits kann ein Klagevehikel fremde Rechte in eigenem Namen geltend machen, wenn der Rechtsinhaber dafür eine Bevollmächtigung erteilt hat. Die zweite Möglichkeit besteht darin, die Ansprüche als eigenes Recht vor Gericht geltend zu machen, nachdem der ursprüngliche Rechtsinhaber seine Rechte abgetreten hat. Letzteres Modell ist einfacher und bereits jetzt im Kartellrecht ein beliebtes Mittel.

 

Praxistipp

Im Hinblick auf die Gefahr insbesondere von Sammelklagen ist es ratsam, bereits bei der Einführung und Überarbeitung sämtlicher Maßnahmen zur Umsetzung der DS-GVO und anderer datenschutzrechtlicher Vorschriften sämtliche Prozesse (auch die Umsetzungs- und Überarbeitungsprozesse) schon so detailliert zu dokumentieren, dass man diese in einem etwaigen Rechtsstreit gut darstellen und beweisen kann.

Fazit

Neben den möglicherweise erheblichen Bußgeldern sind auch Schadensersatzansprüche ein ernstzunehmendes Risiko, auf das sich Unternehmen vorbereiten sollten. Eine entscheidende Rolle spielt dabei ein entsprechendes Datenschutz-Management-System sowie eine umfassende und gerichtsfeste Dokumentation der wesentlichen Datenverarbeitungsprozesse.

Die wichtigsten Praxistipps auf einen Blick
  • In Verträgen mit Geschäftspartnern (Auftragsdatenverarbeitern) sind die Beweislast, Auskunftsansprüche und Informationspflichten betreffend den Umgang mit Daten ausdrücklich zu regeln.
  • Zur Vorbereitung auf etwaige Streitigkeiten oder Kundenanfragen sind Datenschutzmaßnahmen sorgfältig und möglichst gerichtsverwertbar zu dokumentieren.
  • Der saubere Nachweis eines ordnungsgemäßen Verhaltens ist für eine erfolgreiche Verteidigung gegen Datenschutzklagen essentiell.

 

Beitragsnummer: 992

So sind sensible Daten in der Cloud wirksam geschützt

Elmar Eperiesi-Beck,
Gründer und Geschäftsführer,
eperi GmbH*

 

Einen erfolgreichen Angriff auf Unternehmenssysteme und -anwendungen kann keine IT-Sicherheitstechnologie ausschließen. Eine Verschlüsselung von sensiblen Daten verhindert jedoch im schlimmsten Fall, dass gestohlene oder unberechtigt veröffentlichte Informationen verwertet werden können. Vor allem bei der Auslagerung von Anwendungen in die Cloud ist eine Absicherung unerlässlich.

 

Einleitung

Die Auslagerung von Geschäftsprozessen und Informationen in die Cloud ist ein gängiger Weg, um Ressourcen einzusparen und die Produktivität zu gewährleisten. Doch dieser Weg ist für IT- und Fachverantwortliche für den Bereich Datenschutz in der Cloud ein Tanz auf dem Seil ohne Netz. Unternehmen, die neben ihren Daten und Anwendungen auch die IT-Sicherheit komplett in die Hände des Cloud-Betreibers legen und sich auf Service-Level-Agreements verlassen, wiegen sich in falscher Sicherheit. Denn für den Schutz sensibler Daten ist das Unternehmen als Cloud-Nutzer in letzter Konsequenz allein verantwortlich.

Und die Anforderungen werden immer strenger: Die Europäische Datenschutzgrundverordnung (EU-DSGVO) legt verbindlich die rechtlichen Rahmenbedingungen für den Datenschutz und damit die Anforderungen an einen effektiven Datenschutz fest – auch in der Cloud. Bei der Auslagerung von Daten brauchen Organisationen eine finale Verteidigungslinie, die im Ernstfall eines unerlaubten Zugriffs die Verwertung der Daten verhindert.

Verschlüsselung stellt mit Abstand die wirksamste Methode dar, um sensible Daten zu schützen, aber auch eine der am häufigsten missverstandenen. Obwohl zahlreiche Cloud-Diensteanbieter von Haus aus eigene Verschlüsselungslösungen bieten, ist die bittere Wahrheit doch: Jeder mit administrativem Zugriff auf Cloud-Anwendungen besitzt in der Regel auch Zugriff auf die kryptographischen Schlüssel, die zum Entschlüsseln der Daten benötigt werden. Das schließt interne und externe Administratoren mit ein.

 

Korrekte Verschlüsselung überall und jederzeit

Nicht jede Verschlüsselung ist dabei sicher genug. Nur wenn die sensiblen Daten selbst an jedem Speicher- und Verarbeitungsort und zu jedem Zeitpunkt – also „in Use“, „in Transit“ und „at Rest“ – verschlüsselt werden, ist die höchstmögliche Sicherheit gewährleistet. Jeder Ort und jede Anwendung, in der Daten im Klartext zugänglich gemacht werden, stellt eine potentielle Sicherheitslücke dar. Gerade bei Daten, die in der Cloud gespeichert und verarbeitet werden, kommt es daher auf eine durchgängige Verschlüsselung an.

Standardisierte, praxiserprobte Verschlüsselungsverfahren wie AES 256 und RSA 2048 bieten optimale Sicherheit, wenn sie korrekt implementiert werden. Lösungen, die die Standardverschlüsselung verändern, um Informationen in den verschlüsselten Daten zu suchen oder sortieren zu können, lassen sich leicht aushebeln, wenn keine besonderen Vorkehrungen getroffen werden.

 

Keine Einschränkungen der Produktivität

Datenschutz und Datensicherheit muss nicht auf Kosten der Prozesse und Abläufe im Unternehmen gehen. Verschlüsselungsplattformen wie das eperi Gateway unterstützen berechtigte Anwender bei ihrer Arbeit mit den Daten – ohne wichtige Funktionen, wie z. B. das Suchen in den Daten, zu beeinträchtigen.

Bei Datenverschlüsselungen gewährleisten Funktionalitätsemulationen, die nur den berechtigten Anwendern über das Verschlüsselungsgateway bereitstehen, die Arbeit mit Datenbeständen, als ob es keine Verschlüsselung gäbe.

Das gelingt nur durch Nutzung von Pseudonymisierungstechnik, die sowohl Verschlüsselung als auch die Tokenisierung von sensiblen Daten kombiniert. Tokenisierungsverfahren ermöglichen es berechtigten Anwendern, mit Daten zu arbeiten, die nur sie im Klartext sehen. Für alle anderen werden nur Ersatzwerte dargestellt. Zur Tokenisierung der Informationen generiert das Verschlüsselungsgateway für jeden Datensatz typkonforme Werte. So wird gewährleistet, dass Anwendungs-Workflows weiter funktionieren und nur der Ersatzwert in der Cloud gespeichert wird. Für die Datensicherheit ist aber eine sichere Tokenisierung wichtig. Bei älteren Verfahren sind typkonforme Ersatzwerte oft in einer Mapping-Tabelle verzeichnet, welche ein beliebtes Ziel für Hacking-Angriffe ist. Wichtig ist es daher, die Originaldaten vor Eintragung in die Token-Tabelle zu verschlüsseln und damit Verschlüsselung und Tokenisierung zu kombinieren.

 

Verschlüsselung schnell und einfach implementiert

Verschlüsselungslösungen müssen für Sicherheit sorgen, ohne die bestehende IT-Infrastruktur zu verändern und damit die Funktionalität von Anwendungen zu beeinträchtigen. Höhere Flexibilität ist ein wichtiger Entscheidungsgrund, um Daten in die Cloud zu migrieren. Eine schnelle Implementierung spart Geld. Das spielt insbesondere bei der Absicherung von Rechenzentren eine Rolle. Ein Verschlüsselungsgateway, das vor die eigentliche IT-Infrastruktur geschaltet wird und die Verschlüsselung samt Funktionsemulation außerhalb einer zu schützenden Anwendung durchführt, macht es möglich, dass bestehende IT-Infrastrukturen nicht beeinträchtigt werden und die Verschlüsselungslösung schnell implementiert werden kann.

 

Klare Verantwortlichkeiten – insbesondere beim Gang in die Cloud

Das Thema Datenschutz erfordert gerade in der Cloud eine konsequente Regelung und Vergabe der Zugriffsrechte auf Schlüssel und Daten. Die einzig wirklich sichere Lösung: Generierung und Verwaltung der kryptografischen Schlüssel verbleiben ohne Wenn und Aber im eigenen Unternehmen. Sowohl der Anbieter der Verschlüsselungslösung als auch der Cloud-Betreiber oder Administratoren von Rechenzentren haben keinen Zugriff auf die Schlüssel. Der Administrator im Rechenzentrum kann alle notwendigen administrativen Aufgaben wie Kopieren, Verschieben oder das Veranlassen von Backups, Spiegelung oder Migration anhand verschlüsselter Daten durchführen

Auch unternehmensintern sollte der Kreis der Schlüsselverwalter so klein wie möglich sein. Am besten verwalten wenige ausgewählte Sicherheitsadministratoren die kryptografischen Schlüssel. Sie können diese zuteilen und entziehen, ohne je auf Daten im Klartext zugreifen zu können. Für den Datenzugriff hängt der berechtigte Benutzer von der Verwaltung seiner Rechte durch den IT-Administrator ab. Die Rechtevergabe selbst erfolgt in der Cloud-Anwendung, die die Daten verschlüsselt, etwa in Office 365.

Bei solch einer Rollenteilung ist auch von vornherein klar: Anfragen Dritter beim Cloud-Anbieter zur Herausgabe der Schlüssel oder zur Entschlüsselung an externe, z. B. staatliche Stellen, sind zwecklos.

 

Regulatorische Anforderungen erfüllen

Eine gute Verschlüsselungslösung unterstützt Unternehmen auch bei der Erfüllung der immer weiter zunehmenden Anforderungen an Datenschutz und Cybersicherheit.

Richtige Verschlüsselungsimplementierung dokumentiert die Pseudonymisierung und Verschlüsselung personenbezogener Daten, hilft bei der Erfüllung der Forderung nach Auswahl geeigneter Schutztechnologien, nach administrativer Verwaltung des Zugangs sowie nach Zentralisierung des Datenschutzes, wie es beispielsweise die Datenschutzgrundverordnung fordert. Diese grundsätzliche Konformität mit regulatorischen Anforderungen an den Datenschutz, die eine sichere Datenverschlüsselung bietet, wird in der Cloud besonders wichtig, weil hier die IT-Infrastruktur nicht oder nicht in demselben Maße kontrolliert und abgesichert werden kann wie bei einer On-premises-Architektur.

 

Kompetenzen regeln

Gerade bei der Auslagerung von Daten in die Cloud bleibt die Durchsetzung der Gewaltenteilung wichtig. Modelle einer Datentreuhänderschaft, die sowohl den Anbieter einer Anwendung als auch eines Cloud-basierten Rechenzentrums zu einer Gewaltenteilung verpflichten, bieten erste Ansätze für eine transparente Kompetenzverteilung im Dienste des Datenschutzes. Auch hier kommt es auf die strikte Funktionstrennung an: Der Anbieter der Lösung gewährleistet die Funktion der Applikation, der Cloud-Anbieter den Betrieb sowie die Einhaltung der Service-Level-Agreements. Um die maximale Sicherheit zu gewährleisten, muss aber der Zugriff auf Schlüssel, die Möglichkeit zu deren Generierung und damit auf das Lesen von Klartext allein beim Kunden bleiben. Diese Schlüsselkompetenz sollte man in keiner Gewaltenteilung hergeben.

Verschlüsselungslösungen, die hinreichende kryptografische Verfahren mit entsprechender Rechtevergabe und Infrastruktur koppeln und damit die Hoheit über Daten und Schlüssel beim Unternehmen als Cloud-Nutzer selbst belassen, bieten wirksamen Datenschutz. Sie schaffen damit die eingangs erwähnte finale Verteidigungslinie auch für den Fall des unberechtigten Zugriffs, der nie ausgeschlossen werden kann.

 

Praxistipps

Die gängigen Cloud-Anbieter haben längst erkannt, dass die Fragen nach der Datensicherheit und dem Datenschutz für ihre Kunden eine zentrale Rolle beim Gang in die Cloud spielen und bieten eigene Verschlüsselungslösungen an. Das Problem mit solchen Lösungen besteht meistens darin, dass das Schlüsselmanagement ebenso wie die Ver- und Entschlüsselung der Daten innerhalb der Cloud-Anwendung und damit auch im Zugriffsbereich der Administratoren erfolgen. Der vermeintliche Vorteil einer engen Kopplung von Sicherheitslösung und Cloud-Anwendung ist also gleichzeitig ihr größter Nachteil: Die Schlüssel und die zu schützenden Daten befinden sich im Zugriff des Cloud-Anbieters.

Achten Sie deshalb bei der Wahl einer effektiven Verschlüsselungslösung auf folgende Merkmale:

  • Eine gute Verschlüsselungslösung ermöglicht dem Unternehmen als Cloud-Nutzer die alleinige Kontrolle über sämtliche Schlüssel und Verschlüsselungsvorgänge zu behalten. Der Cloud-Anbieter darf zu keinem Zeitpunkt einen Zugriff auf die kryptographischen Schlüssel haben.
  • Zentrale Architektur: Die Einhaltung unternehmensweiter Datenschutz-Richtlinien werden idealerweise an zentraler Stelle geregelt und kontrolliert. Die Verschlüsselungslösung sollte daher in der Lage sein, als zentrale Verschlüsselungsplattform vielfältige Geschäftsanwendungen – ob in der Cloud oder On-promises – einzubinden und dem Unternehmen die Möglichkeit geben, die zu schützenden Daten gezielt auszuwählen.
  • Keine Einschränkung: Verschlüsselung darf nicht zu Lasten der Cloud-Anwender Am besten, sie arbeiten wie gewohnt mit Cloud-Anwendung weiter und bekommen von der Verschlüsselung nichts mit; Alle wichtigen Cloud-Funktionen und -Clients sind ohne Einschränkung weiterhin nutzbar.
  • Open Source: Eine transparente Verschlüsselungslösung lässt sich „in die Karten schauen“. Idealerweise haben unabhängige Dritte überprüft und bestätigt, dass die genutzten Verschlüsselungsverfahren und -techniken korrekt arbeiten und keine Sicherheitslücken oder Hintertüren

 

*Elmar Eperiesi-Beck ist Gründer und Geschäftsführer der eperi GmbH, einem führenden Anbieter von Cloud Data Protection-Lösungen. Seine Karriere begann er als Principal bei IBM Deutschland, wo er große multinationale Projekte in den Bereichen SAP, e-Business und Security leitete. Elmar Eperiesi-Beck gilt als Pionier von Lösungen zum Schutz kritischer Informationen in kommerziellen Internet-Anwendungen. Im Jahr 2003 begann er mit der Entwicklung des eperi Gateways, das die Basis aller eperi Cloud Data Protection-Lösungen darstellt.

Beitragsnummer: 964

DSGVO Umsetzungscheckliste

Christian Maull,
Datenschutzbeauftragter,
Spezialist Compliance,
FCH Compliance GmbH

 

Die DSGVO steht vor der Tür und mittlerweile ist eines klar: Sie richtet zahlreiche Anforderungen an Unternehmen. Unklar bleibt allerdings häufig, was sich geändert hat und was konkret zu tun ist. Bei den umfangreichen Beiträgen und Umsetzungstipps, die im Netz zu finden sind, besteht außerdem das Risiko, die wesentlichen To-dos aus den Augen zu verlieren.

Die folgende Checkliste soll Sie deshalb dabei unterstützen, einige zentrale Umsetzungsthemen noch einmal zu fokussieren und die Umsetzung im Unternehmen gezielt zu überwachen.

  • Betroffene wurden bzw. werden bei Erhebung personenbezogener Daten gem. Art. 13, 14 und 21 DSGVO über die Verarbeitung und deren Inhalte informiert.
  • Der Datenschutzhinweis auf der Website wurde an die DSGVO angepasst. Neben den Informationspflichten gem. Art. 13, 14 und 21, werden Tracking-Tools und Empfänger in Drittstaaten (außerhalb der EU) aufgeführt.
  • in Verarbeitungsverzeichnis (Verzeichnis mit allen Prozessen/Verarbeitungen, in denen personenbezogene Daten verarbeitet werden) wurde erstellt. Die Inhalte orientieren sich an Art. 30 DSGVO.
  • Ein Verzeichnis technischer und organisatorischer Maßnahmen (Art. 32), welche das Risiko von Datenschutzverstößen reduzieren und die Einhaltung des Datenschutzes unterstützen wurde erstellt.
  • Eine Arbeitsanweisung/Datenschutzrichtlinie mit Anhängen und Vorlagen, welche die Handhabung des Datenschutzes in Ihrem Unternehmen aufzeigt, wurde erstellt und den Mitarbeitern zur Verfügung gestellt.
  • Alle Mitarbeiter wurden bzw. werden gem. dem Datenschutz auf die Vertraulichkeit verpflichtet.
  • Auftragsverarbeitungen werden mit dem Verarbeitungsverzeichnis verknüpft.
  • Auftragsverarbeiter erhalten einen Auftragsverarbeitungsvertrag gem. Art 28., welcher die Grundlage für die Übermittlung personenbezogener Daten darstellt.
  • Für Verarbeitungen im Auftrag (Ihr Unternehmen ist Auftragnehmer, erhält also personenbezogene Daten) sind ebenfalls Auftragsverarbeitungsverträge abzuschließen.
  • Bei Videoüberwachungen werden Betroffene zum frühestmöglichen Zeitpunkt über die Verarbeitung informiert. Das Unternehmen kommt seinen Kennzeichnungspflichten (Hinweis zur Videoüberwachung, Name und Kontaktdaten des Hauptsitzes der verarbeitenden Stelle) nach.
  • Ein Löschkonzept (wann sind personenbezogene Daten gelöscht) wurde erstellt. Die Umsetzung wurde begonnen.
  • Die Bewertung und der Umgang mit Datenschutzrisiken sind erfolgt.
  • Die Umsetzung von Betroffenenrechten (Recht auf Auskunft, Recht auf Berichtigung, Recht auf Löschung, Widerspruchsrechte, …) wurde vorgenommen.
  • Für personenbezogene Daten, welche nicht ausdrücklich für die Durchführung eines Vertrags notwendig sind, wurden Einwilligungserklärungen eingeholt. Dies betrifft sowohl Kunden, Mitarbeiter und Nicht-Kunden.
  • Ein Datenschutzbeauftragter wurde bestellt. Wenn mindestens zehn Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten betraut sind, ist ein Datenschutzbeauftragter zu bestellen. Dieser wurde an die zuständige Aufsichtsbehörde gemeldet.

 

Beitragsnummer: 957

Update zur DSGVO

Thomas Gutte,
Datenschutzberater*

Die DSGVO steht nun kurz vor der Umsetzung

Nun ist es soweit, die verpflichtende Umsetzung der wesentlichsten Novellierung des Datenschutzrechts für in der europäischen Union tätige Unternehmen sowie nationale als auch europäische Institutionen steht vor der Tür. Vor genau zwei Jahren und damit ca. vier Jahre nach der Veröffentlichung des ersten Entwurfs der Europäischen Kommission (Januar 2012) trat die DSGVO in Kraft und ist nach einer zweijährigen Übergangszeit ab dem 25.05.2018 verpflichtend anwendbar. Die DSGVO stellt neben der vermutlich in 2019 umzusetzenden ePrivacy-Verordnung die Antwort der Kommission auf die rasante Entwicklung in der Datenverarbeitung dar. War mit dem Inkrafttreten der letzten Datenschutzrichtlinie in 1995 das Internet gerade erst aus den Kinderschuhen gesprungen, so sind heute Big-Data- und Cloudbasierte Lösungen längst nicht mehr wegzudenken. Weiterentwicklungen in den Bereichen der künstlichen Intelligenz sowie auch die Bitcoin- & Blockchain-Entwicklungen stellen des Weiteren große Herausforderungen an die Wahrung von Persönlichkeitsrechten von Betroffenen dar.

Was bedeutet die DSGVO nun konkret für die Unternehmen

Zunächst einmal muss an dieser Stelle festgehalten werden, dass sich für deutsche Unternehmen mit der DSGVO – inhaltlich gesehen – nicht viel im Vergleich zum bisherigen Bundesdatenschutzgesetz ändert. Wer sich bisher an die Regeln gehalten hat, dem wird die Umsetzung nicht allzu viel Bauchschmerzen bereiten, allenfalls die Dokumentation dessen. Wie hat es der hessische Datenschutzbeauftragte Herr Prof. Ronellenfitsch in einem kürzlich erschienen Zeitungsinterview meines Erachtens folgerichtig formuliert: „Wir waren zahnlos und haben jetzt Zähne bekommen. Das heißt nicht, dass wir bissig geworden sind.“ Er weist mit dieser Äußerung auf die Geldbußen und Sanktionsmöglichkeiten bei groben Verstößen gegen die DSGVO in den Art. 83 und 84 hin. Die möglichen maximalen Geldbußen in Höhe von bis zu vier Prozent des Konzernumsatzes oder 20 Mio. € haben in den letzten Monaten zu heftigen Reaktionen in den Medien und in der deutschen Wirtschaft geführt. Damit ist aber auch schon die wesentlichste Änderung genannt, in der bisherigen EU-Richtlinie war das Thema Durchsetzung doch sehr lückenhaft, – sprich die Mitgliedstaaten konnten hier eigene Regelungen treffen und in Deutschland war die Höchststrafe auf bis zu 300.000 € festgelegt worden.

 

Mit welchen Themen sollten sich Unternehmen in den letzten Monaten beschäftigt haben, um am 25.05.2018 zumindest im Kern DSGVO-konform aufgestellt zu sein:

  • Das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 der DSGVO sollte erstellt sein. (Weiterentwicklung des Verfahrensverzeichnisses gem. §§ 4d und 4e BDSG);
  • ein Verfahren zur Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 der DSGVO muss entwickelt worden sein (Weiterentwicklung des §-en 4d Abs. 5 BDSG);
  • die technisch-organisatorischen Maßnahmen müssen risikobasiert gem. den Vorgaben des Art. 32 der DSGVO – Sicherheit der Verarbeitung fortentwickelt worden sein (bisher § 9 BDSG, zzgl. Anl. zum § 9 BDSG);
  • ein Verfahren zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde muss gem. Art. 33 der DSGVO entwickelt worden sein (Fortschreibung der Vorgaben aus § 42a BDSG – Achtung neu Meldefrist 72 Stunden);
  • die Vereinbarungen mit Auftragsverarbeitern sollten gem. Art. 28 der DSGVO überprüft und ggf. modifiziert werden (bisher § 11 BDSG);
  • die Informationspflichten und das Recht auf Auskunft zu personenbezogenen Daten mussten den neuen Gegebenheiten gem. Art. 13 ff. angepasst werden (bisher §§ 33 ff. BDSG);
  • ein Löschkonzept gem. Art. 17 der DSGVO sollte zumindest organisatorisch entwickelt worden sein (bisher § 3a BDSG);
  • auch sollten die Bedingungen für die Einwilligung gem. Art. 7 der DSGVO beachtet worden sein und die Kunden- und Interessentendatenbestände diesbezüglich überprüft worden sein (bisher § 4a BDSG).

 

Zugegeben die vorgenannten Punkte stellen große Herausforderungen an die Dokumentation dar, sie und der daraus erkennbare Ansatz einer risikobasierten Bewertung des Datenschutz-managements sind aber eine konsequente Weiterentwicklung des GRC-Ansatzes (Governance, Risk und Compliance) eines jeden Unternehmens und der mittlerweile üblichen aufsichtsrechtlichen Forderungen im Banken und Versicherungsbereich sowie bei börsennotierten Gesellschaften – nur dass diesmal eben alle Unternehmen im Regelungsbereich der DSGVO hiervon betroffen sind. Und damit kommen wir zur positiven Bewertung dieser Entwicklung: Während bisher v. a. deutsche Unternehmen, und hier zumeist auch nur einzelne regulierte Bereiche, von derartigen Vorgaben betroffen waren, sind nun alle Unternehmen im Geltungsbereich betroffen. Die DSGVO baut somit Wettbewerbsnachteile ab und stärkt das Auftreten deutscher Unternehmen gegenüber Firmen in Drittstaaten außerhalb der Europäischen Union, da diese wohl nicht bereit sein werden, den europäischen Markt aufzugeben.

Ausblick über weitere datenschutzrechtliche Entwicklungen der nächsten Monate

Als nächstes müssen die Unternehmen sich mit der ePrivacy-Verordnung und deren Anforderungen beschäftigen. Außerdem stellt der neue US-Cloud Act, der vor einigen Tagen von dem amerikanischen Präsidenten verabschiedet worden ist, alle Unternehmen, die mit amerikanischen Firmen oder mit in Amerika an den Börsen gelisteten Firmen zusammenarbeiten, (z. B. Office 365, aber auch SAP) vor neue Herausforderungen.

Praxistipps

Unternehmen sollten sich spätestens jetzt die Frage stellen, ob sie für die neue Datenschutzgrundverordnung bereit sind: Passen die Datenschutzhinweise sowie die Einwilligungen zur Datenverarbeitung – z. B. auf Internetseiten oder bei Vertragsabschluss? Welche Rechte haben Kunden im Einzelfall? Liegen Vereinbarungen zur Auftragsverarbeitung vor, und zwar insbesondere auch dann, wenn personenbezogene Daten innerhalb eines Konzerns oder gar ins Ausland weitergegeben werden müssen? Muss ein Datenschutzbeauftragter bestellt werden? Wie steht es um das Verfahrensverzeichnis und die Datensicherheit, z. B. im E-Mailverkehr?

*Thomas Gutte ist seit rund 20 Jahren als Datenschutzbeauftragter für Unternehmen tätig, zu Beginn als interner Datenschutzbeauftragter im Banken- als auch Versicherungsbereich und in den letzten zehn Jahren als externer Datenschutzbeauftragter für diverse Unternehmen unterschiedlichster Branchen.

Beitragsnummer: 947

Noch neu und schon in aller Munde – Datenschutz-Grundverordnung

Katrin Staier, Rechtsanwältin
Denise Primus, Rechtsanwältin
Schlatter Rechtsanwälte Steuerberater PartG mbB, Heidelberg

 

Fast jeder spricht inzwischen davon und ab diesem Monat gilt sie: Die Datenschutz-Grundverordnung (DSGVO) bringt ab dem 25.05.2018 viele Neuerungen. Fast jeder weiß, dass durch die neue Gesetzeslage v. a. auf Unternehmen einiger Handlungsbedarf zukommt. Doch nicht nur Unternehmen, auch Vereine und Gemeinden sollten sich spätestens jetzt mit der Umsetzung des neuen Datenschutzrechts befassen. Was sind die Schwerpunkte? Wo liegt der größte Handlungsbedarf? Welche Risiken gibt es?

Gesetzesgrundlagen

Die wichtigste rechtliche Grundlage für den Datenschutz wird künftig die Datenschutzgrundverordnung (DSGVO) sein. Diese wird unmittelbar geltendes Recht und regelt den Bereich der Datenverarbeitung durch Private mit einem weitgehend harmonisierten Datenschutzrecht. Daneben findet insbesondere für öffentliche Stellen des Bundes und der Länder das neue Bundesdatenschutzgesetz Anwendung, soweit keine landesrechtlichen Datenschutzgesetze (Landesdatenschutzgesetze) eingreifen.

Gesetzliche Definitionen von einzelnen, zentralen Begriffen im Datenschutzrecht finden sich unmittelbar in der DSGVO. Danach gibt es künftig „personenbezogene Daten“, für die die Rechtmäßigkeit der Verarbeitung abschließend in Art. 6 der Datenschutzgrundverordnung geregelt ist. Daneben gibt es die „besonderen Kategorien von personenbezogenen Daten“, deren Verarbeitung nur unter den Ausnahmetatbeständen des Art. 9 DSGVO bzw. für den öffentlichen Bereich nach § 20 BDSG-neu zulässig sein wird. Zu den personenbezogenen Daten gehören wie bisher alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Inhaltliche Schwerpunkte

Nach wie vor handelt es sich beim Datenschutzrecht um einen sogenannten „Verbotstatbestand mit Erlaubnisvorbehalt“, so dass die Verarbeitung nur dann erlaubt ist, wenn ein Erlaubnistatbestand vorliegt. Die Datenschutzgrundverordnung führt insbesondere die  Einwilligung, Vertragserfüllung und unter bestimmten weiteren Umständen das Vorliegen eines berechtigen Interessens des Verantwortlichen als Erlaubnistatbestand auf.

Die Einwilligung kann künftig auch konkludent erfolgen, was in der Anwendungspraxis eine Erleichterung darstellen dürfte. Der Schutz von Minderjährigen ist hingegen in der Datenschutzgrundverordnung deutlich verschärft worden.

Wichtig bei den Erlaubnistatbeständen ist der Zweckbindungsgrundsatz: Wenn die Nutzung zu einem anderen als dem ursprünglich mitgeteilten Zweck erfolgen soll, werden datenschutzrechtliche Fragen unter dem Gesichtspunkt der Weiterverarbeitung relevant. Im Jahr 2015 hat die bayerische Landesdatenschutzbehörde ein Bußgeld in fünfstelliger Höhe verhängt, nachdem im Rahmen eines Asset-Deals Kundendaten vom Verkäufer an den Erwerber weitergegeben wurden. Weitere Bußgelder in vergleichbaren Fällen hat die Landesdatenschutzbehörde bereits angekündigt.

Informationspflichten ausgeweitet

Die Informationspflichten sind im Vergleich zum alten Bundesdatenschutzgesetz ausgeweitet und an Fristen gekoppelt worden. Nur wenige Ausnahmen von der Informationspflicht sind in besonderen Fällen zugelassen, so z. B., wenn der Aufwand unverhältnismäßig groß wäre oder es besondere Rechtsvorschriften gibt, die Ausnahmen regeln.

Auftragsverarbeitung

Wichtige Änderungen gibt es auch im Bereich der Auftragsverarbeitung. Hier ist der Begriff des Verantwortlichen und dem (neu) Auftragsverarbeiter nicht identisch mit dem alten Bundesdatenschutzgesetz. Insbesondere ist das bisherige Abgrenzungskriterium der Funktionsübertragung in der Datenschutzgrundverordnung weggefallen. Der Auftragsverarbeiter erhält mehr Verantwortung, mehr Pflichten und ist weisungsgebunden gegenüber dem Verantwortlichen. Im Fall von Datenschutzverletzungen gelten nun auch für den Auftragsverarbeiter neue Haftungsregelungen. Flankiert werden die Regelungen zur Auftragsverarbeitung durch Novellierungen in verschiedenen Gesetzen zu Berufsgeheimnissen.

Widerspruchsrecht

Künftig gibt es das eigenständig geregelte Widerspruchsrecht, mit dem der Betroffene einer – zulässigen – Datenverarbeitung im Einzelfall widersprechen kann. Der Widerspruch hat zur Folge, dass die weitere Verarbeitung von personenbezogenen Daten verboten ist.

Datenübertragbarkeit und Datensicherheit

Anspruchsvoll wird für Unternehmen die Erfüllung der neuen Anforderungen im IT-Bereich. Sowohl das neue „Recht auf Datenübertragung“ als auch der Grundsatz der „datenschutzfreundlichen Prozesse“ werden von den Unternehmen neue Wege und Lösungen verlangen.

Besondere Fragen werfen hierbei die Anforderungen an die Sicherheit personenbezogener Daten auf, insbesondere, soweit es um die sichere Kommunikation im elektronischen Postverkehr und der Notwendigkeit von Maßnahmen zur Sicherstellung des Schutzes vor unbefugtem Zugriff geht (Stichwort „Mail-Verschlüsselung“).

Gleiches gilt für die Frage, wie künftig die internationale Datenübermittelung, z. B. bei zentraler Verwaltung der Personaldaten innerhalb eines internationalen Konzerns umgesetzt werden kann.

Organisatorische Anforderungen

Genauso wichtig wie die inhaltlichen Anforderungen der DSGVO zum Recht der Verarbeitung von personenbezogenen Daten und zu den Rechten des Betroffenen sind die Anforderungen an die organisatorischen und betrieblichen Maßnahmen, die Unternehmen künftig erfüllen müssen. Hierbei kommen v. a. die neuen Dokumentationspflichten ins Spiel.

Daneben wird das Erfordernis einer Zertifizierung für Unternehmen diskutiert – die Umsetzung hierfür und entsprechende Richtlinien sind derzeit noch offen. Sicher ist aber bereits jetzt, dass die Dokumentation der datenschutzrelevanten Prozesse, datenschutzrelevanter Entscheidungen und datenschutzbezogener Risikoabwägungen ein zentrales Thema v. a. im Bereich einer etwaigen Zertifizierung werden.

Beschäftigten-Datenschutz

Hier dürften wohl auch nach dem 25.05.2018 einige der bereits jetzt bestehenden Auslegungsfragen zum Datenschutzrecht offenbleiben. Künftig werden aber auch im Beschäftigtendatenschutz die Grundsätze der Zweckbindung, der Zweckkompatibilität sowie der Informationspflichten wichtiger werden als bisher. Gleiches gilt für Regelungen und Vereinbarungen zur (privaten) Nutzung von Informations- und Kommunikationstechnik im Beschäftigungsverhältnis.

Bußgelder bei Verstößen

Im Ergebnis bringt die neue Datenschutzverordnung viel Neues, aber auch Bekanntes.

Das neue nationale Bundesdatenschutzgesetz und neue Landesdatenschutzgesetze sind auf dem Weg. Die Datenschutz-Grundverordnung gilt ungeachtet der nationalen Gesetzgebung ab dem 25.05.2018 unmittelbar. Einige der Neuerungen werden von der Rechtsprechung und den Aufsichtsbehörden noch mit Leben gefüllt werden müssen. Es bleibt abzuwarten, welche konkreten Ausgestaltungen in einzelnen Bereichen kommen werden.

Für Unternehmen wird mit der neuen gesetzlichen Regelung v. a. das Haftungsrisiko erhöht: Bei Verstößen drohen Bußgelder bis zu vier Prozent des weltweiten jährlichen Bruttoumsatzes.

Praxistipps

Unternehmen sollten sich spätestens jetzt die Frage stellen, ob sie für die neue Datenschutzgrundverordnung bereit sind: Passen die Datenschutzhinweise sowie die Einwilligungen zur Datenverarbeitung – z. B. auf Internetseiten oder bei Vertragsabschluss? Welche Rechte haben Kunden im Einzelfall? Liegen Vereinbarungen zur Auftragsverarbeitung vor, und zwar insbesondere auch dann, wenn personenbezogene Daten innerhalb eines Konzerns oder gar ins Ausland weitergegeben werden müssen? Muss ein Datenschutzbeauftragter bestellt werden? Wie steht es um das Verfahrensverzeichnis und die Datensicherheit, z. B. im E-Mailverkehr?

Beitragsnummer: 937