Nach dem Geltungsbeginn der DS-GVO am 25. Mai 2018 hat es nicht lange gedauert, bevor das verschärfte Schwert der Datenschutzbehörden im Rahmen der Verhängung von Bußgeldern Anwendung fand. Nach einer Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg hat die verantwortliche Bußgeldstelle gegenüber einem Social-Media-Anbieter ein Bußgeld in Höhe von 20.000.- Euro verhängt.1https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/, abgerufen am ...continue Auslöser war eine Datenpanne auf Seiten des Anbieters, bei welcher auf Grund eines Hackerangriffs personenbezogene Daten von 330.000 Nutzern entwendet wurden. Die Datenschutzbehörde begründet dies mit einem Verstoß gegen die in Art. 32 DS-GVO vorgegebene Datensicherheit. Blickt man über die Landesgrenzen hinweg, hat Frankreichs Datenschutzbehörde CNIL jüngst gegenüber Google eine Strafe von 50 Millionen Euro verhängt.2https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc, abgerufen am 21.02.2019

Der nachfolgende Beitrag soll einen kurzen Überblick über die Anforderungen der DS-GVO an die bereitzuhaltenden technischen und organisatorischen Maßnahmen (TOMs) und drohende Rechtsfolgen bei einem Verstoß gegen selbige bieten. An deren Einhaltung sind auch kleine und mittelständische Unternehmen gebunden.

Grundlegende technisch organisatorische Maßnahmen

Um die Risiken für die Rechte natürlicher Personen zu begrenzen sieht die DS-GVO TOMs für die Sicherheit der Verarbeitung in Art. 25 und Art. 32 DS-GVO vor.

Die Implementierung eines Datenschutzes durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) in Art. 25 DS-GVO ist ein Novum im Bereich datenschutzrechtlicher Regelungen.3Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 1 Der für die Verarbeitung personenbezogener Daten Verantwortliche soll schon bei Gestaltung der IT-Infrastruktur die geeigneten technischen und organisatorischen Maßnahmen vorhalten, um einen bestmöglichen Schutz personenbezogener Daten zu gewährleisten. Dem europäischen Gesetzgeber war bei der Aufstellung dieser Grundsätze vor Augen, dass nicht jedes Unternehmen sowohl personell als auch finanziell in der Lage ist, das bestmögliche Sicherheitssystem zu erstellen. Nach Art. 25 Abs. 1 DS-GVO sind folgende Gesichtspunkte in die Gestaltung mit einzubeziehen:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zweck der Verarbeitung
  • Eintrittswahrscheinlichkeit und Schwere möglicher Verletzungen

Als Beispiel sieht die DS-GVO neben dem Grundsatz der Datenminimierung die Pseudonymisierung personenbezogener Daten als eine geeignete Maßnahme ausdrücklich vor. Eine Neuerung ist die zeitliche Vorverlagerung der zu treffenden Maßnahmen. Bereits im Zeitpunkt der Konzeption soll eine nachhaltige Implementierung von Datenschutz in die zukünftige Verarbeitung erfolgen. Von der erstmaligen Erhebung der Daten bis zu einer endgültigen Löschung hat der Verantwortliche ein ausreichendes Datenschutzniveau zu garantieren.4Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 33. In der Praxis ist es ratsam, genau zu dokumentieren, warum die getroffenen Maßnahmen geeignet sind und ob die oben ausgeführten Voraussetzungen hinreichend berücksichtigt wurden. Nicht nur kommt der Verantwortliche somit seinen Rechenschaftspflichten aus Art. 5 Abs. 2 DS-GVO nach, es wird ihm ebenso ermöglicht, Anpassungen und Aktualisierungen in der Zukunft zielgerichteter vornehmen zu können. 5Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 37

Nicht nur an die verwendete Technikumgebung, sondern auch an die softwareseitige Gestaltung stellt die DS-GVO weitergehende Anforderungen. Privacy by Design ist das neue Schlagwort des Art. 25 Abs. 2 DS-GVO. In der Praxis sehen die Voreinstellungen der Verantwortlichen zumeist eine datenintensive Erhebung vor. Möchte der Betroffene möglichst wenig Daten über sich Preis geben, verbleibt ihm zumeist nur die aufwändige manuelle Suche nach sparsameren Einstellungen. An diesem Punkt setzt die DS-GVO ein. Diensteanbieter sollen voreingestellt nur die Daten erheben, die für den jeweiligen Verarbeitungszweck zwingend erforderlich sind. Werden diese Vorgaben richtig umgesetzt, kann der Nutzer des Dienstes diesen ohne Sorge vor einer weitgehenden Verwertung seiner Daten verwenden. Es verbleibt ihm, ob er dem Betreiber freiwillig weitere Daten überlassen möchte. Diese Grundsätze der Datenminimierung, Zweckbindung und Speicherbegrenzung sind zwar prinzipiell bereits in der DS-GVO verankert, werden jedoch durch Art. 25 Abs. 2 DS-GVO konkretisiert und der Verantwortliche folglich zu einem proaktiven Handeln verpflichtet.6Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 40

Eine weitere Konkretisierung des Grundsatzes der Integrität und Vertraulichkeit bietet Art. 32 DS-GVO. Im Vordergrund der Regelung stehen die Anforderungen an die Sicherheit der Verarbeitung. Anders als noch § 9 BDSG a.F. sind in Art. 32 DS-GVO konkrete Maßnahmen aufgenommen worden:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Im Rahmen der Auswahl der technischen und organisatorischen Maßnahmen verfolgt die DS-GVO einen relativen Ansatz. Der Verantwortliche hat einen Abgleich zwischen Schutzaufwand und Risiko zu treffen.7Paulus, in: BeckOK DatenschutzR, 26. Ed. 01.11.2018, DS-GVO Art. 32 Rn. 8 Ziel muss es sein, eine unbefugte oder unrechtmäßige Verarbeitung sowie Verlust, Beschädigung und Zerstörung der Daten zu verhindern.8Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 32 Rn. 12 Um dies sicherzustellen, ist Normadressat neben dem Verantwortlichen auch ein eventueller Auftragsverarbeiter bzw. Unterauftragsverarbeiter.9Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 32 Rn. 15 Der schnellen Entwicklung des digitalen Sektors, einhergehend mit steigender Finesse und Anzahl schädlicher Attacken 10Die Cybercrime Statistik des Bundeskriminalamts hat im Jahr 2017 85.960 Fälle von Cybercrime im engeren Sinne erfasst; ein Anstiegt von 4% ...continue, ist es geschuldet, dass die Sicherheit der Verarbeitung über den kompletten Zeitraum nachjustiert werden muss.11Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 32 Rn. 18

Einen ersten Anhaltspunkt der nötigen Maßnahmen können Unternehmen dem Standard-Datenschutzmodell, beschlossen von den unabhängigen Datenschutzbehörden des Bundes und der Länder, entnehmen.12https://www.datenschutzzentrum.de/uploads/sdm/SDM-Methode_V1.1.pdf,abgerufen am 21.02.2019 Dieses soll insbesondere kleineren Unternehmen die Auswahl und Bewertung technischer und organisatorischer Maßnahmen erleichtern und jene unterstützen.

Bußgeldrisiken nach der DS-GVO

Das Damoklesschwert eines drohenden Bußgeldes schwebt seit der Wirksamkeit der DS-GVO über den Verantwortlichen. Welche Höhe dieses erreichen kann zeigt der jüngste Vorstoß der französischen Datenschutzbehörde CNIL gegen Google LLC. Die Datenschutzbehörde stellte bei Google Verstöße gegen wichtige Verpflichtungen der DS-GVO, insbesondere Informationen bezüglich der Verwendung der personenbezogenen Daten, fest und ahndete diese mit einem Bußgeld in Höhe von 50 Mio. Euro.13https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc, abgerufen am 21.02.2019

Zuständig für die Verhängung der Geldbußen des Art. 83 DS-GVO sind die jeweiligen nationalen Aufsichtsbehörden. Diesen steht es nach Art. 58 Abs. 2 lit. i DS-GVO frei, Geldbußen anstelle oder zusätzlich zu anderen Abhilfebefugnissen zu verhängen.14Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 14

Je nach Verstoß drohen Bußgelder in Höhe von bis zu 10 Mio. Euro bzw. bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorausgegangenen Geschäftsjahrs oder, bei Verstößen gegen gewichtigere Grundsätze der DS-GVO, sogar bis zu 20 Mio. Euro bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes. Die Höhe des zu verhängenden Bußgeldes richtet sich nach der Sanktionsrechtsprechung des EuGH. Eine Geldbuße muss danach wirksam, verhältnismäßig und abschreckend sein.15Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 18; vgl. EuGH v. 21.09.1989, C-68/88 Die Höhe der seitens der französischen Datenschutzbehörde gegen Google verhängten Geldbuße bemisst sich nach der Auffassung des Autors nicht nur Anhand des tatsächlichen Verstoßes. Zweck der Geldbuße ist auch eine positive Generalprävention.16Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 19 Die Allgemeinheit soll zur Befolgung der datenschutzrechtlichen Grundlagen angehalten werden; die Bestrafung einzelner großer Unternehmen mittels beträchtlicher Summen kann eine ausstrahlende Wirkung auf andere Branchenvertreter entwickeln und die Motivation zur Einhaltung der entsprechenden Regelungen fördern. Wie das einleitende Beispiel verdeutlicht, bedeutet dies jedoch nicht, dass kleinere und mittelständische Unternehmen aufatmen können und sich der Pflicht zur Einhaltung – in der Hoffnung nicht bestraft zu werden – entziehen sollten. Bei der Bemessung der Höhe des Bußgeldes sind unter anderem die (nicht) getroffenen technischen und organisatorischen Maßnahmen im Rahmen der Art. 25 und Art. 32 DS-GVO zu berücksichtigen. Kann der Verantwortliche darlegen, dass er zumindest grundlegende Maßnahmen implementiert hat, welche durch nicht vorhersehbare Cyber-Angriffe umgangen wurden, kann dies die zu verhängende Geldbuße beträchtlich verringern. Maßgebliches Kriterium in diesem Zusammenhang ist, wie viele technisch organisatorische Maßnahmen ergriffen und ob diese gründlich in der IT-Infrastruktur verankert und regelmäßig auf dem Stand der Technik gehalten wurden.17Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 28

Ausblick

Der hohe Bußgeldrahmen ist ein effektives Mittel um private Unternehmer zur umfassenden Einhaltung der datenschutzrechtlichen Vorgaben anzuhalten.18Schwartmann/Jacquemain in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 1. Aufl. 2018, Art. 84 Rn. 97 Verfehlungen können schnell die Abschöpfung des kompletten Jahresgewinns sowie existenzielle Bedrohungen nach sich ziehen.19Schwartmann/Jacquemain in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 1. Aufl. 2018, Art. 84 Rn. 91 Es kann davon ausgegangen werden, dass gerade in den ersten Jahren ein vergleichsweise scharfes Vorgehen der Datenschutzbehörden zu beobachten sein wird, um die Vorschriften der DS-GVO nachhaltig in den Unternehmensstrukturen zu integrieren. Werden jedoch insbesondere die Vorgaben des Standard-Datenschutzmodells eingehalten, kann das Risiko für kleine und mittelständische Unternehmen stark begrenzt werden.

Referenzen   [ + ]

1. https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/, abgerufen am 21.02.2019
2. https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc, abgerufen am 21.02.2019
3. Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 1
4. Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 33.
5. Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 37
6. Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 40
7. Paulus, in: BeckOK DatenschutzR, 26. Ed. 01.11.2018, DS-GVO Art. 32 Rn. 8
8. Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 32 Rn. 12
9. Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 32 Rn. 15
10. Die Cybercrime Statistik des Bundeskriminalamts hat im Jahr 2017 85.960 Fälle von Cybercrime im engeren Sinne erfasst; ein Anstiegt von 4% gegenüber dem Vorjahr, https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2017.html;jsessionid=80EC71ECCB0CFCF78A08407660ECECDA.live0611?nn=28110, abgerufen am 21.02.2019
11. Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 32 Rn. 18
12. https://www.datenschutzzentrum.de/uploads/sdm/SDM-Methode_V1.1.pdf,abgerufen am 21.02.2019
13. https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc, abgerufen am 21.02.2019
14. Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 14
15. Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 18; vgl. EuGH v. 21.09.1989, C-68/88
16. Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 19
17. Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 28
18. Schwartmann/Jacquemain in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 1. Aufl. 2018, Art. 84 Rn. 97
19. Schwartmann/Jacquemain in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 1. Aufl. 2018, Art. 84 Rn. 91