Eines der umfangreichsten europäischen Gesetzgebungsvorhaben ist die EU-Datenschutzgrundverordnung, die das geltende Datenschutzrecht in Europa reformieren und vereinheitlichen soll. Von der Europäischen Kommission im Januar 2012 vorgestellt, hat das Europäische Parlament den Entwurf im März 2014 angenommen. Auch wenn die Verhandlungen darüber mit den 28 Mitgliedsländern der Europäischen Union noch immer nicht abgeschlossen sind und Änderungen erfolgen sind, so kristallisieren sich bestimmte Eckpunkte bereits jetzt deutlich heraus.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Ein zentraler Aspekt ist die Notwendigkeit zur Ernennung eines Datenschutzbeauftragten (im Englischen Data Protection Officer oder kurz DPO genannt), der gemäß Artikel 36 im angenommenen Gesetzesentwurf "...seinen Pflichten und Aufgaben unabhängig nachkommen kann und keine Anweisungen bezüglich der Ausübung seiner Tätigkeit erhält." Von entscheidender Bedeutung dürfte sein: Wie unabhängig darf oder muss der Datenschutzbeauftragte künftig sein?
Berater und Vermittler
Mit dieser Frage beschäftigten sich auch die Teilnehmer des fünften europäischen Datenschutzkongresses der IAPP (International Association of Privacy Professionals), der vor wenigen Tagen in Brüssel stattfand. Für Stephan Geering, EMEA Data Protection Officer bei der Citigroup, birgt die gesetzlich geforderte Unabhängigkeit dieser Funktion einiges an Konfliktpotenzial: "Auf der einen Seite ist mehr Unabhängigkeit zu begrüßen, um weniger Druck aus dem Tagesgeschäfts zu erhalten, bestimmte Operationen freizugeben." Wenn der Datenschutzbeauftragte allerdings komplett unabhängig sein muss, kann das leider auch bewirken, dass die internen Kollegen ihm mit Argwohn begegnen, obwohl sie weiterhin offen ihm umzugehen haben. Dies geschehe schlicht aus der Befürchtung heraus, dass ihre Projekte künftig stärker reglementiert und sie dadurch in ihrer Arbeit behindert werden.
Seiner Ansicht nach steigert eine strikte Unabhängigkeit dieser Rolle das Risiko, dass der Datenschutzbeauftragte seine gleichermaßen wichtige Rolle als interner Berater und Vermittler verliert oder zumindest in Teilen einbüßt. Geering: "Dabei ist es doch sehr wichtig, den Datenschutzbeauftragten so früh wie möglich einzubeziehen, beispielsweise im Kontext von Privacy-by-design und Privacy-by-default."
Manager oder nicht?
Für Philippe Renaudière, Data Protection Officer bei der Europäischen Kommission, ist es hingegen relativ eindeutig, welche Rolle der Datenschutzbeauftragte gemäß der geplanten europäischen Gesetzesnovelle künftig nicht bekleiden darf. "Wenn Sie derjenige sind, der Entscheidungen fällt, gehören Sie zum Management, und besitzen von daher nicht länger eine Unabhängigkeit".
Kritiker mögen an dieser Stelle einwerfen, dass Datenschutzverantwortlichkeiten in öffentlichen Behörden ohnehin etwas anders als in der privaten Wirtschaft geregelt sind - was sich allein schon am Amt des Europäischen Datenschutzbeauftragten zeigt (seine Aufgabe besteht darin, in den Organen und Einrichtungen der EU den Schutz personenbezogener Daten und der Privatsphäre zu gewährleisten). Nichtsdestotrotz macht Renaudières deutlich, dass durch die gesetzliche Unabhängigkeitsforderung gerade für kleinere und mittelständische Unternehmen Schwierigkeiten entstehen können. Denn in vielen dieser Firmen ist der Datenschutzbeauftrage dem Management zuzurechnen, was je nach Unternehmen zwangsläufig zu einer mehr oder minder ausgeprägten Weisungsgebundenheit führt.
Das gilt vor allem dann, wenn die betreffende Person zur selben Zeit noch mit anderen Aufgaben im Unternehmen betraut ist. Renaudière dazu: "Es wird künftig nur funktionieren, wenn Sie keine operative Verantwortung mehr haben. Außerdem sollten Sie das Ganze in Vollzeit machen und nicht nur in Teilzeit."
Die Budget-Frage
Sicherheit kostet Geld. Nur allzu gerne würden daher so manche Firmenchefs auf damit verbundene und nicht nur ihrer Ansicht nach unnütze, sondern zudem auch lästige und teure Schutzmaßnahmen verzichten. Die geplante EU-Datenschutzgrundverordnung aber sieht empfindliche Strafen für Unternehmen vor, die sich nicht um angemessenen Schutz bei der Verarbeitung personenbezogener Daten kümmern. In so manchen Firmen wird daher dem Datenschutzbeauftragten künftig eine neue zuteilwerden, schließlich obliegt es maßgeblich seiner Verantwortung, das Unternehmen vor solchen Folgen zu bewahren.
Im Hinblick auf den Datenschutzbeauftragten und dessen geforderte Unabhängigkeit spielen Kosten jedoch weiterhin eine Rolle. Denn zur Durchführung von Schulungen beispielsweise, die das Bewusstsein der Mitarbeiter für die erforderliche Sicherheit beim Umgang mit personenbezogenen Daten stärken (um nur ein Beispiel zu nennen), wird Geld benötigt. Doch wie unabhängig kann der Datenschutzbeauftragte sein, wenn er bei der Geschäftsleitung Budget für solche Schutzmaßnahmen beantragen und über dessen Verwendung Rede und Antwort stehen muss? Auch dies zeigt, dass längst noch nicht alle Fragen geklärt sind, wenn es um die Ausgestaltung der künftigen Datenschutzgesetze in Europa geht.
Rechtzeitige Vorbereitung
Der Posten des Datenschutzbeauftragten kann in Zukunft also deutlich anders als heutzutage üblich aussehen. Für deutsche Verhältnisse ist das Konzept eines Datenschutzbeauftragten indes nichts grundlegend Neues. Denn im Paragraph 4f regelt bereits das derzeitige Bundesdatenschutzgesetz (BDSG), in Verbindung mit den Datenschutzgesetzen der 16 bundesdeutschen Länder sowie bereichsspezifischen Datenschutzregelungen von Bund und Land, den Umgang mit personenbezogenen Daten. In seinen Grundzügen orientiert sich der im EU-Gesetzentwurf skizzierte Datenschutzbeauftragte am deutschen Modell, doch sind Abweichungen vorhanden - etwa, ab welcher Schwelle (Verarbeitung der Daten von mehr als 5.000 Personen binnen eines Jahres) Unternehmen einen Datenschutzbeauftragten bestellen müssen. Aus diesem Grunde reicht es auch nicht aus, mit Verweis auf den vermeintlich schon vorhandenen respektive hohen Datenschutz in Deutschland sich nicht weiter mit der künftig durch übergreifendes EU-Recht geregelten Rolle des Datenschutzbeauftragten zu beschäftigen. (sh)
- Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren. - Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant. - Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein. - Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon. - Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.