Nach dem Geltungsbeginn der DSGVO am 25. Mai 2018 hat es nicht lange gedauert, bevor das verschärfte Schwert der Datenschutzbehörden im Rahmen der Verhängung von Bußgeldern Anwendung fand. Nach einer Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg hat die verantwortliche Bußgeldstelle gegenüber einem Social-Media-Anbieter ein Bußgeld in Höhe von 20.000.- Euro verhängt.[1] Auslöser war eine Datenpanne auf Seiten des Anbieters, bei welcher auf Grund eines Hackerangriffs personenbezogene Daten von 330.000 Nutzern entwendet wurden. Die Datenschutzbehörde begründet dies mit einem Verstoß gegen die in Art. 32 DSGVO vorgegebene Datensicherheit. Blickt man über die Landesgrenzen hinweg, hat Frankreichs Datenschutzbehörde CNIL jüngst gegenüber Google eine Strafe von 50 Millionen Euro verhängt.[2]
Der nachfolgende Beitrag soll einen kurzen Überblick über die Anforderungen der DSGVO an die bereitzuhaltenden technischen und organisatorischen Maßnahmen (TOMs) und drohende Rechtsfolgen bei einem Verstoß gegen selbige bieten. An deren Einhaltung sind auch kleine und mittelständische Unternehmen gebunden.
Grundlegende technisch organisatorische Maßnahmen
Um die Risiken für die Rechte natürlicher Personen zu begrenzen sieht die DSGVO TOMs für die Sicherheit der Verarbeitung in Art. 25 und Art. 32 DSGVO vor.
Die Implementierung eines Datenschutzes durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) in Art. 25 DSGVO ist ein Novum im Bereich datenschutzrechtlicher Regelungen.[3] Der für die Verarbeitung personenbezogener Daten Verantwortliche soll schon bei Gestaltung der IT-Infrastruktur die geeigneten technischen und organisatorischen Maßnahmen vorhalten, um einen bestmöglichen Schutz personenbezogener Daten zu gewährleisten. Dem europäischen Gesetzgeber war bei der Aufstellung dieser Grundsätze vor Augen, dass nicht jedes Unternehmen sowohl personell als auch finanziell in der Lage ist, das bestmögliche Sicherheitssystem zu erstellen. Nach Art. 25 Abs. 1 DSGVO sind folgende Gesichtspunkte in die Gestaltung mit einzubeziehen:
- Stand der Technik
- Implementierungskosten
- Art, Umfang, Umstände und Zweck der Verarbeitung
- Eintrittswahrscheinlichkeit und Schwere möglicher Verletzungen
Als Beispiel sieht die DSGVO neben dem Grundsatz der Datenminimierung die Pseudonymisierung personenbezogener Daten als eine geeignete Maßnahme ausdrücklich vor. Eine Neuerung ist die zeitliche Vorverlagerung der zu treffenden Maßnahmen. Bereits im Zeitpunkt der Konzeption soll eine nachhaltige Implementierung von Datenschutz in die zukünftige Verarbeitung erfolgen. Von der erstmaligen Erhebung der Daten bis zu einer endgültigen Löschung hat der Verantwortliche ein ausreichendes Datenschutzniveau zu garantieren.[4] In der Praxis ist es ratsam, genau zu dokumentieren, warum die getroffenen Maßnahmen geeignet sind und ob die oben ausgeführten Voraussetzungen hinreichend berücksichtigt wurden. Nicht nur kommt der Verantwortliche somit seinen Rechenschaftspflichten aus Art. 5 Abs. 2 DSGVO nach, es wird ihm ebenso ermöglicht, Anpassungen und Aktualisierungen in der Zukunft zielgerichteter vornehmen zu können.[5]
Nicht nur an die verwendete Technikumgebung, sondern auch an die softwareseitige Gestaltung stellt die DSGVO weitergehende Anforderungen. Privacy by Design ist das neue Schlagwort des Art. 25 Abs. 2 DSGVO. In der Praxis sehen die Voreinstellungen der Verantwortlichen zumeist eine datenintensive Erhebung vor. Möchte der Betroffene möglichst wenig Daten über sich Preis geben, verbleibt ihm zumeist nur die aufwändige manuelle Suche nach sparsameren Einstellungen. An diesem Punkt setzt die DSGVO ein. Diensteanbieter sollen voreingestellt nur die Daten erheben, die für den jeweiligen Verarbeitungszweck zwingend erforderlich sind. Werden diese Vorgaben richtig umgesetzt, kann der Nutzer des Dienstes diesen ohne Sorge vor einer weitgehenden Verwertung seiner Daten verwenden. Es verbleibt ihm, ob er dem Betreiber freiwillig weitere Daten überlassen möchte. Diese Grundsätze der Datenminimierung, Zweckbindung und Speicherbegrenzung sind zwar prinzipiell bereits in der DSGVO verankert, werden jedoch durch Art. 25 Abs. 2 DSGVO konkretisiert und der Verantwortliche folglich zu einem proaktiven Handeln verpflichtet.[6]
Eine weitere Konkretisierung des Grundsatzes der Integrität und Vertraulichkeit bietet Art. 32 DSGVO. Im Vordergrund der Regelung stehen die Anforderungen an die Sicherheit der Verarbeitung. Anders als noch § 9 BDSG a.F. sind in Art. 32 DSGVO konkrete Maßnahmen aufgenommen worden:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Im Rahmen der Auswahl der technischen und organisatorischen Maßnahmen verfolgt die DSGVO einen relativen Ansatz. Der Verantwortliche hat einen Abgleich zwischen Schutzaufwand und Risiko zu treffen.[7] Ziel muss es sein, eine unbefugte oder unrechtmäßige Verarbeitung sowie Verlust, Beschädigung und Zerstörung der Daten zu verhindern.[8] Um dies sicherzustellen, ist Normadressat neben dem Verantwortlichen auch ein eventueller Auftragsverarbeiter bzw. Unterauftragsverarbeiter.[9] Der schnellen Entwicklung des digitalen Sektors, einhergehend mit steigender Finesse und Anzahl schädlicher Attacken[10], ist es geschuldet, dass die Sicherheit der Verarbeitung über den kompletten Zeitraum nachjustiert werden muss.[11]
Einen ersten Anhaltspunkt der nötigen Maßnahmen können Unternehmen dem Standard-Datenschutzmodell, beschlossen von den unabhängigen Datenschutzbehörden des Bundes und der Länder, entnehmen.[12] Dieses soll insbesondere kleineren Unternehmen die Auswahl und Bewertung technischer und organisatorischer Maßnahmen erleichtern und jene unterstützen.
Bußgeldrisiken nach der DSGVO
Das Damoklesschwert eines drohenden Bußgeldes schwebt seit der Wirksamkeit der DSGVO über den Verantwortlichen. Welche Höhe dieses erreichen kann zeigt der jüngste Vorstoß der französischen Datenschutzbehörde CNIL gegen Google LLC. Die Datenschutzbehörde stellte bei Google Verstöße gegen wichtige Verpflichtungen der DSGVO, insbesondere Informationen bezüglich der Verwendung der personenbezogenen Daten, fest und ahndete diese mit einem Bußgeld in Höhe von 50 Mio. Euro.[13]
Zuständig für die Verhängung der Geldbußen des Art. 83 DSGVO sind die jeweiligen nationalen Aufsichtsbehörden. Diesen steht es nach Art. 58 Abs. 2 lit. i) DSGVO frei, Geldbußen anstelle oder zusätzlich zu anderen Abhilfebefugnissen zu verhängen.[14]
Je nach Verstoß drohen Bußgelder in Höhe von bis zu 10 Mio. Euro bzw. bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorausgegangenen Geschäftsjahrs oder, bei Verstößen gegen gewichtigere Grundsätze der DSGVO, sogar bis zu 20 Mio. Euro bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes. Die Höhe des zu verhängenden Bußgeldes richtet sich nach der Sanktionsrechtsprechung des EuGH. Eine Geldbuße muss danach wirksam, verhältnismäßig und abschreckend sein.[15] Die Höhe der seitens der französischen Datenschutzbehörde gegen Google verhängten Geldbuße bemisst sich nach der Auffassung des Autors nicht nur Anhand des tatsächlichen Verstoßes. Zweck der Geldbuße ist auch eine positive Generalprävention.[16] Die Allgemeinheit soll zur Befolgung der datenschutzrechtlichen Grundlagen angehalten werden; die Bestrafung einzelner großer Unternehmen mittels beträchtlicher Summen kann eine ausstrahlende Wirkung auf andere Branchenvertreter entwickeln und die Motivation zur Einhaltung der entsprechenden Regelungen fördern. Wie das einleitende Beispiel verdeutlicht, bedeutet dies jedoch nicht, dass kleinere und mittelständische Unternehmen aufatmen können und sich der Pflicht zur Einhaltung – in der Hoffnung nicht bestraft zu werden – entziehen sollten. Bei der Bemessung der Höhe des Bußgeldes sind unter anderem die (nicht) getroffenen technischen und organisatorischen Maßnahmen im Rahmen der Art. 25 und Art. 32 DSGVO zu berücksichtigen. Kann der Verantwortliche darlegen, dass er zumindest grundlegende Maßnahmen implementiert hat, welche durch nicht vorhersehbare Cyber-Angriffe umgangen wurden, kann dies die zu verhängende Geldbuße beträchtlich verringern. Maßgebliches Kriterium in diesem Zusammenhang ist, wie viele technisch organisatorische Maßnahmen ergriffen und ob diese gründlich in der IT-Infrastruktur verankert und regelmäßig auf dem Stand der Technik gehalten wurden.[17]
Ausblick
Der hohe Bußgeldrahmen ist ein effektives Mittel um private Unternehmer zur umfassenden Einhaltung der datenschutzrechtlichen Vorgaben anzuhalten.[18] Verfehlungen können schnell die Abschöpfung des kompletten Jahresgewinns sowie existenzielle Bedrohungen nach sich ziehen.[19] Es kann davon ausgegangen werden, dass gerade in den ersten Jahren ein vergleichsweise scharfes Vorgehen der Datenschutzbehörden zu beobachten sein wird, um die Vorschriften der DSGVO nachhaltig in den Unternehmensstrukturen zu integrieren. Werden jedoch insbesondere die Vorgaben des Standard-Datenschutzmodells eingehalten, kann das Risiko für kleine und mittelständische Unternehmen stark begrenzt werden.
[1] Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO, abgerufen am 21.02.2019.
[2] The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC, CNIL.fr, 21.01.2019, abgerufen am 21.02.2019.
[3] Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 1.
[4] Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 33.
[5] Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 37.
[6] Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 25 Rn. 40.
[7] Paulus, in: BeckOK DatenschutzR, 26. Ed. 01.11.2018, DS-GVO Art. 32 Rn. 8.
[8] Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 32 Rn. 12
[9] Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 32 Rn. 15
[10] Die Cybercrime Statistik des Bundeskriminalamts hat im Jahr 2017 85.960 Fälle von Cybercrime im engeren Sinne erfasst; ein Anstiegt von 4% gegenüber dem Vorjahr, BKA, Bundeslagebild Cybercrime 2017, abgerufen am 21.02.2019.
[11] Hansen in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 32 Rn. 18.
[12] AK Technik der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Das Standard-Datenschutzmodell (PDF), abgerufen am 21.02.2019.
[13] The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC, CNIL.fr, 21.01.2019, abgerufen am 21.02.2019.
[14] Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 14.
[15] Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 18; vgl. EuGH v. 21.09.1989, C-68/88.
[16] Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 19.
[17] Boehm in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 28.
[18] Schwartmann/Jacquemain in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 1. Aufl. 2018, Art. 84 Rn. 97.
[19] Schwartmann/Jacquemain in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 1. Aufl. 2018, Art. 84 Rn. 91.