Alles aus Sicht der entwickelnden und produzierenden Unternehmen EU-Datenschutz-Grundverordnung unter der Lupe
20. Juli 2015Mit der EU-Datenschutz-Grundverordnung wird insbesondere eine Vereinheitlichung des fragmentierten Datenschutzrechts in der Europäischen Union, sowie eine Beseitigung der Vollzugsunterschiede in den einzelnen EU‐Mitgliedsstaaten angestrebt. Für entwickelnde und produzierende Unternehmen ist das Prinzip des „privacy by design“ (Datenschutz durch Technik) und „privacy by default“ (datenschutzfreundliche Voreinstellungen) in Artikel 23 des Entwurfs zur EU-Datenschutz-Grundverordnung von besonderem Interesse.
Beim Umgang mit personenbezogenen Daten fordert die EU-Datenschutz-Grundverordnung technische und organisatorische Maßnahmen (TOM) zum Schutz der Verarbeitung.
EU-Datenschutz-Grundverordnung
Unternehmen in der Europäischen Union (EU) und Unternehmen mit Daten von EU‐Bürgern sind gut beraten, die Entwicklungen zur EU-Datenschutz-Grundverordnung aufmerksam zu verfolgen. Insbesondere auf dem Gebiet der Datensicherheit werden entwickelnde und produzierende Unternehmen von der EU-Datenschutz-Grundverordnung künftig stark gefordert.
Mit der EU-Datenschutz-Grundverordnung erfolgt eine längst überfällige, umfassende Modernisierung des europäischen Datenschutzrechts.
Die bisher geltende EU-Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995 stammt noch aus einer Zeit, in der die kommerzielle Nutzung des Internets erstmals die wissenschaftliche Nutzung überstieg und in der die ersten Volltext-Suchmaschinen entstanden. In der Zwischenzeit sind die Herausforderungen an den Datenschutz und die Datensicherheit unter anderem wegen der unvorhersehbaren technischen Revolution und der damit einhergehenden Durchdringung aller geschäftlichen Bereiche mit der EDV enorm gewachsen.
Mit der EU-Datenschutz-Grundverordnung wird insbesondere eine Vereinheitlichung des fragmentierten Datenschutzrechts in der Europäischen Union, sowie eine Beseitigung der Vollzugsunterschiede in den einzelnen EU‐Mitgliedsstaaten angestrebt. Die unterschiedliche Umsetzung der EU‐Richtlinie 95/46/EG in den einzelnen EU-Mitgliedsstaaten hat in der Vergangenheit zu erheblichen Verzerrungen im Unternehmenswettbewerb geführt.
Mit der EU-Datenschutz-Grundverordnung wird eine in den EU-Mitgliedsstaaten unmittelbar geltende EU-Verordnung geschaffen, die den zulässigen Umgang mit personenbezogenen Daten regelt. Im Gegensatz zur EU-Datenschutzrichtlinie 95/46/EG erfordert die EU-Datenschutz-Grundverordnung nicht mehr die Umsetzung durch ein nationales Gesetz. Die EU-Datenschutzrichtlinie 95/46/EG wird aufgehoben und auch das deutsche Bundesdatenschutzgesetz (BDSG) wird – zumindest in Teilen – obsolet.
Obwohl mit der EU-Datenschutz-Grundverordnung eine umfassende Modernisierung des Datenschutzrechts beabsichtigt ist, wird durch den Verordnungsgeber „das Rad nicht neu erfunden“. Altbewährte datenschutzrechtliche Prinzipien werden auch weiterhin in der EU-Datenschutz-Grundverordnung zur Anwendung kommen.
Sicherheitsanforderungen
Für entwickelnde und produzierende Unternehmen ist das Prinzip des „privacy by design“ (Datenschutz durch Technik) und „privacy by default“ (datenschutzfreundliche Voreinstellungen) in Artikel 23 des Entwurfs zur EUDatenschutz-Grundverordnung von besonderem Interesse. Zwar richten sich die Anforderungen aus Artikel 23 des Entwurfs an den für die Verarbeitung Verantwortlichen, bzw. den Auftragsverarbeiter und somit nicht direkt an die Hersteller; zur Förderung einer breiten Umsetzung sollen „Datenschutz durch Technik“ und „datenschutzfreundliche Voreinstellungen“ aber bei öffentlichen Ausschreibungen künftig zwingend berücksichtigt werden.
Das Konzept „Datenschutz durch Technik“ wurde von Ann Cavoukian (Information & Privacy Commissioner der kanadischen Provinz Ontario) in der 1990er Jahren entwickelt. Das Konzept basiert auf sieben Grundprinzipien (Quelle: https://www.privacybydesign.ca):
1. Proaktiv, nicht reaktiv; als Vorbeugung und nicht als Abhilfe
2. Datenschutz als Standardeinstellung
3. Der Datenschutz ist in das Design eingebettet
4. Volle Funktionalität – eine Positivsumme, keine Nullsumme
5. Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus
6. Sichtbarkeit und Transparenz – Für Offenheit sorgen
7. Die Wahrung der Privatsphäre der Nutzer – für eine nutzerzentrierte Gestaltung sorgen.
Geeignete Techniken im Sinne des „Datenschutz durch Technik“ stellen insbesondere die Authentisierung und Authentifizierung, Anonymisierung und Pseudonymisierung, Techniken der Datenvermeidung und Datensparsamkeit, Trennung von Daten und die Verschlüsselung von Daten dar. Beim Umgang mit personenbezogenen Daten fordert die EU-Datenschutz-Grundverordnung technische und organisatorische Maßnahmen (TOM) zum Schutz der Verarbeitung. Diese werden im Entwurf der EU-DatenschutzGrundverordnung in Artikel 30 näher beschrieben.
Ein neu zu bildender europäischer Datenschutzausschuss wird Leitlinien, Empfehlung und bewährte Praktiken in Bezug auf die TOM veröffentlichen und den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen bestimmen. Dabei wird er insbesondere die technologische Entwicklung sowie Lösungen für einen „Datenschutz durch Technik“ und „datenschutzfreundliche Voreinstellungen“ berücksichtigen.
Solche technischen Anforderungen sind dem Datenschutzrecht nicht neu. Bereits heute fordert der deutsche Gesetzgeber mit § 9 BDSG, dass technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen werden. § 9 BDSG stellt bisher den Einstiegspunkt der IT-Sicherheit in das Datenschutzrecht dar. In § 9 Satz 1 BDSG wird auf die Anlage zum BDSG verwiesen, die entsprechend der Schutzziele der IT‐Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) technikneutrale Datensicherheitsanforderungen formuliert.
Der deutsche Gesetzgeber fordert zu den TOMs insbesondere Maßnahmen der Organisations-, Zutritts‐, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle, sowie des Trennungsgebots. Der Katalog an Maßnahmen in der Anlage zu § 9 Satz 1 BDSG ist nicht abschließend und bei der Bestimmung erforderlicher Maßnahmen ist der Grundsatz der Verhältnismäßigkeit zu beachten. Erforderlich sind Maßnahmen demnach nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Je nach dem Einzelfall können mehr oder weniger Maßnahmen erforderlich sein.
Die Gewährleistungspflicht nach § 9 BDSG beinhaltet auch eine präventive Komponente und in § 3a BDSG verlangt der deutsche Gesetzgeber mit dem Grundsatz der Datenvermeidung und Datensparsamkeit, dass die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten sind, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Somit ist im BDSG bereits heute der rechtliche Grundstein für das Prinzip „Datenschutz durch Technik“ gelegt, das durch die künftige EU-Datenschutz-Grundverordnung erheblich an Bedeutung gewinnen wird.
Geltungsbereich
Der räumliche Anwendungsbereich der EU-Datenschutz-Grundverordnung ist bewusst sehr weit gehalten und erfasst Unternehmen in und außerhalb der EU‐Mitgliedsstaaten. Die EU‐Datenschutz-Grundverordnung ist anwendbar auf Unternehmen und Auftragnehmer außerhalb der EU, soweit sie Daten von EU‐Bürgern verarbeiten, um in der EU Waren oder Dienstleistungen anzubieten. Nicht erforderlich ist, dass die Unternehmen von den Betroffenen ein Entgelt verlangen.
Aktuell versuchen die Europäische Kommission, das Europäische Parlament und der Rat im Rahmen des sogenannten „informellen Trilog“ eine Annäherung der Positionen zu erreichen. Nach über drei Jahren Beratungen erscheint es als durchaus möglich, dass die EU-Datenschutz-Grundverordnung bis zum Frühjahr 2016 verabschiedet wird und in Kraft tritt. Bei einer Umsetzungsfrist von zwei Jahren müssten Unternehmen dann mit einer Anwendung der neuen Regelungen im Jahr 2017/2018 rechnen.
Die Konsequenzen für entwickelnde und produzierende Unternehmen sind mitunter gravierend: Die EU-Datenschutz-Grundverordnung bringt für entwickelnde und produzierende Unternehmen Anforderungen des Datenschutzes und der Datensicherheit, deren Berücksichtigung sich bereits bei der Entwicklung von Produkten lohnt.
Darüber hinaus können Verstöße gegen Pflichten aus der EU-Datenschutz‐Grundverordnung existenzgefährdend wirken. Artikel 79 des Entwurfs der EU-Datenschutz-Grundverordnung sieht Geldbußen von bis zu 100.000 Euro oder 5 Prozent des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist.
Entwickelnde und produzierende Unternehmen im Anwendungsbereich der EU-Verordnung wird nahegelegt, sich frühzeitig mit den Auswirkungen der EU-Datenschutz-Grundverordnung auf ihre Prozesse und Strukturen zu befassen. Gerade unter dem Aspekt von „privacy by design“ und „privacy by default“ sollte bei der Entwicklung von Produkten bereits jetzt ein besonderes Augenmerk auf die künftigen Anforderungen gelegt und der Handlungsbedarf identifiziert werden.