Datenschutzgrundverordnung

Die Datenschutzgrundverordnung hat zum Ziel, das Datenschutzniveau innerhalb der EU zu harmonisieren, d.h. zu vereinheitlichen. Damit soll der freie Datenverkehr innerhalb der EU gewährleistet werden. Unternehmen müssen seit Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 (Artikel 99 Absatz 2 DS-GVO) nur noch diese befolgen. Mit dem Inkrafttreten dieser Verordnung sind die einzelnen nationalen Datenschutzgesetze in den Mitgliedsländern abgelöst. Das liegt daran, dass Verordnungen der europäischen Union unmittelbare Geltung in den einzelnen Mitgliedsstaaten entfalten (Art. 288 AEUV) und diese den Datenschutzgesetzen der Mitgliedstaaten vorgehen.1zum Vorrang des Unionsrechts EuGH, Urt. v. 15.07.1964, 6/64 – Costa ./. E. N. E. L.

Die Datenschutz-Grundverordnung sieht verschiedene Neuerungen auch in Hinblick auf die IT-Sicherheit vor. Die Vorschriften über die IT-Sicherheit finden sich in der Datenschutzgrundverordnung an unterschiedlichen Stellen.

Insbesondere folgende Vorschriften der Datenschutzgrundverordnung sind für die IT- und Datensicherheit von Bedeutung. Bei der Auslegung der Datenschutzgrundverordnung ist zu berücksichtigen, dass diese unabhängig vom mitgliedstaatlichen Recht auszulegen ist, wodurch sich selbst bei gleicher Wortwahl zu etwaigen deutschen Gesetzen Unterschiede hinsichtlich der Bedeutung ergeben können.

Art. 4 Nr. 12 DS-GVO – Verletzung des Schutzes personenbezogener Daten

Der Schutz von personenbezogenen Daten ist nach der Legaldefinition der Datenschutzgrundverordnung aus Art. 4 Nr. 12 verletzt, wenn die IT- bzw. Datensicherheit mit der Folge nicht eingehalten wurde, dass die Datenintegrität und -verfügbarkeit beeinträchtigt wurde. Hierbei kommt es nicht auf ein Verschulden an.

Art. 5 Abs. 1 lit. f DS-GVO und Art. 32 DS-GVO – Technische und Organisatorische Maßnahmen

Die Datensicherheit als zentraler Aspekt des Datenschutzes wurde in den Artikeln 5 Abs. 1 lit. f und Art. 32 verankert. Hierbei benennt Art. 5 Abs. 1 lit. f DS-GVO die Integrität und Vertraulichkeit als einen der Grundsätze für eine rechtmäßige Verarbeitung personenbezogener Daten, wohingegen Art. 32 DSG-VO, der zu technischen und organisatorischen Maßnahmen verpflichtet, um die Datensicherheit zu gewährleisten. Im Gegensatz zur Anlage 1 zu § 9 BDSG (alte Fassung) sind die erforderlichen Maßnahmen nach Art. 32 allgemein umschrieben und bedürfen noch der Konkretisierung durch die Aufsichtsbehörden. Einzig die Pseudonymisierung und die Verschlüsselung werden gem. Art. 32 Abs. 1 lit. a als konkrete Maßnahmen genannt. Die Verantwortlichen haben gem. Artikel 32 Abs. 1 unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und Zweck der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten geeignete technische und organisatorische Maßnahmen umzusetzen. Dabei muss das Sicherheitslevel im Verhältnis zum Risiko angemessen sein.

Nähere Informationen  zu Art. 32 DS-GVO.

Art. 23 DS-GVO – Beschränkungen der datenschutzrechtlichen Grundsätze

Nach Art. 23 Abs. 1 DS-GVO können datenschutzrechtliche Grundsätze wie das Erfordernis der transparenten Datenverarbeitung, Informationspflichten und Auskunftsrechte des Betroffenen, Datenberichtigungsansprüche und das Recht auf Vergessenwerden beschränkt werden, sofern dies zum Schutz der nationalen Sicherheit, Landesverteidigung und Verhütung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten und anderer enumerativ aufgezählter Ziele erforderlich ist. Eine solche Beschränkung ist allerdings nur zulässig, wenn die Grundrechte und Grundfreiheiten des Einzelnen dem Wesen nach berücksichtigt werden und die Maßnahme notwendig und verhältnismäßig ist.

Sofern eine solche Maßnahme durch den Gesetzgeber getroffen wird, muss dieser auch die IT-Sicherheit berücksichtigen und geltende Sicherheitsmaßnahmen vorschreiben.

Art. 24 Abs. 1 DS-GVO – Allgemeine Verpflichtung zu technischen und organisatorischen Maßnahmen

Art. 24 Abs. 1 DS-GVO beschreibt die zentrale Verantwortung des Verantwortlichen, mittels technischer und organisatorischer Maßnahmen dafür Sorge zu tragen, dass die Bestimmungen der Verordnung bei der Datenverarbeitung eingehalten werden. Den Verantwortlichen im Sinne dieser Vorschrift bestimmt Art. 4 Nr. 7 DS-GVO als denjenigen, der anhand einer Würdigung der faktischen Gegebenheiten allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Maßgeblich ist demnach die Entscheidungsgewalt.2Kühling / Buchner, DS-GVO / BDSG, 2. Auflage, Art. 24 DS-GVO, Rn. 12  Den Nachweis über die Schaffung geeigneter Maßnahmen zu erbringen, obliegt ebenso dem Verantwortlichen, Art. 24 Abs. 1 DS-GVO.

Art. 25 DS-GVO – Privacy by Design / Privacy by Default

Art. 25 Abs. 1 verpflichtet den Datenverarbeiter zu „Privacy by Design“. Demnach soll der Verantwortliche bereits bei der Wahl der Mittel zur Datenverarbeitung als auch bei deren Einsatz technisch und organisatorisch dafür sorgen, dass die datenschutzrechtlichen Grundsätze (insbesondere Datenminimierung) eingehalten werden. Damit sollen bereits in die Entwicklung von Produkten, Diensten und Anwendungen, mit deren Hilfe Daten verarbeitet werden, datenschutzrechtliche Erwägungen Berücksichtigung finden. 3Ehmann / Selmayr, Datenschutzgrundverordnung, Art. 25, Rn. 9

„Privacy by Default“ ist in Art. 25 Abs. 2 verankert und trägt dem Grundsatz der Datensparsamkeit aus Art. 5 Abs. 1 lit c Rechnung. Voreinstellungen sollen derart gewählt werden, dass nur die personenbezogenen Daten verarbeitet werden, die für den konkret verfolgten Zweck erforderlich sind.

Art. 30 DS-GVO – Verzeichnis von Verarbeitungstätigkeiten

Art. 30 normiert wie und welche Verarbeitungsaktivitäten durch die datenverarbeitende Stelle bzw. den Auftragsverarbeiter aufzuzeichnen sind. In diesem Zusammenhang sollen, sofern dies möglich ist, auch allgemeine Beschreibungen der technischen und organisatorischen Maßnahmen der IT-Sicherheit aufgenommen werden. Hierbei ist beispielsweise aufzuführen, ob Verschlüsselungssoftware eingesetzt wurde. Art. 30 Abs. 1 entspricht der mit der Datenschutzgrundverordnung abgelösten Regelung des § 4e Satz 1 BDSG (alte Fassung). Anders als im bisherigen Recht besteht allerdings die Möglichkeit einer teilweisen Befreiung von der Pflicht zur Verfahrensverzeichnissen für kleinere Unternehmen (weniger als 250 Mitarbeiter, Art. 30 Abs. 5).

Art. 33 DS-GVO – Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Art. 33 normiert eine Meldepflicht des für die Verarbeitung Verantwortlichen, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt („data breach“) gegenüber den Aufsichtsbehörden. Diese Meldung ist ohne schuldhaftes Zögern vorzunehmen. Art. 33 Abs. 1 stellt ferner das Erfordernis auf, dass diese Meldung nach Möglichkeit binnen 72 Stunden nach Feststellung der Datenschutzverletzung zu erfolgen hat. Diese kurze Frist gilt jedoch nicht, wenn es unwahrscheinlich ist, dass die Verletzung personenbezogener Daten zu einer Rechte- oder Freiheitsverletzung der betroffenen Person führt. Ein solcher Ausschluss führt zu Unsicherheiten in der Praxis, denn es ist unklar, wer festlegt, dass ein Risiko für Rechte und Freiheiten des Betroffenen wahrscheinlich oder unwahrscheinlich ist.

Wenn ein Auftragsverarbeiter die Verletzung personenbezogener Daten feststellt, hat er dies unverzüglich dem Verantwortlichen der Verarbeitung, also seinem Auftraggeber, zu melden, Art. 33 Abs. 2. Dieser muss anschließend nach Art. 33 Abs. 1 diese Verletzung der Aufsichtsbehörde (vgl. Art. 51) melden.

Art. 33 Abs. 3 stellt die jeweiligen Informationen dar, die die Meldung an die staatliche Aufsicht enthalten muss. Diese einzelnen Informationen können auch zeitlich versetzt angegeben werden, wenn es nicht möglich ist, die Informationen zur gleichen Zeit bereit zu stellen.

In der Folge der Datenschutzverletzung hat der für die Verarbeitung Verantwortliche neben dieser alle hiermit in Zusammenhang stehenden Fakten, wie die Auswirkung der Verletzung und die ergriffenen Abhilfemaßnahmen zu dokumentieren, Art. 33 Abs. 5 DS-GVO. Diese exemplarische Aufzählung ist nicht abschließend zu verstehen. Auch diese Dokumentation ist den Behörden vorzulegen, damit diese überprüfen kann, ob der Verantwortliche der Verarbeitung die Datenschutzverletzung hinreichend beseitigt und die erforderlichen Maßnahmen getroffen hat. In diesem Zusammenhang wird jedoch die richtige Folgenabschätzung bzgl. der Auswirkung von Datenschutzverstößen für die betroffenen Unternehmen schwerlich zu treffen sein.

Art. 34 DS-GVO – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Gemäß Art. 34 Abs. 1 obliegt dem für die Datenverarbeitung Verantwortlichen die Pflicht, im Falle der Verletzung des Schutzes personenbezogener Daten („data breach“) den Betroffenen hierüber unverzüglich zu benachrichtigen, sofern eine hohe Gefahr der Verletzung dessen persönlicher Rechte und Freiheiten besteht. Wie bei Art. 33 tritt diese Pflicht verschuldensunabhängig ein.

Art. 34 Abs. 2 konkretisiert die Benachrichtigungspflicht dahingehend, dass dem Betroffenen die Art der Verletzung der personenbezogenen Daten unter Angabe der Informationen aus Art. 33 Abs. 3 lit. b, c und d (Ansprechpartner, mögliche Folgen, ergriffene Maßnahmen) in klarer, verständlicher Form dargelegt werden muss. In dieser Vorschrift spiegelt sich das in der gesamten Verordnung implementierte Leitbild eines schutzbedürftigen und informierten Bürgers wieder.

Als logische Konsequenz entfällt die Benachrichtigungspflicht gem. Art. 34 Abs. 3, wenn keine Gefahr für die Rechte des Betroffenen besteht, etwa weil durch den Verantwortlichen bereits im Voraus (Art. 34 Abs. 3 lit. a), oder im Anschluss (Art. 34 Abs. 3 lit. b) an die Verletzung personenbezogener Daten Sicherheitsmaßnahmen getroffen wurden, die eine Verletzung der Rechte des Betroffenen unterbinden oder zumindest sehr unwahrscheinlich erscheinen lassen.Um trotz des hohen Schutzes des Betroffenen eine gerechte Berücksichtigung der verschiedenen Interessen der Beteiligten zu ermöglichen, bietet Art. 34 Abs. 3 lit. c für Fälle, in denen die Erfüllung der Pflicht zur Benachrichtigung jedes einzelnen Betroffenen mit einem unverhältnismäßig hohen Aufwand für den Verantwortlichen verbunden wäre, eine Alternative – die öffentliche Bekanntmachung oder eine ähnliche Maßnahme.

Wie auch in Art. 33, widmet sich der letzte Absatz der  Vorschrift – hier Art. 34 Abs. 4 – den Befugnissen der Aufsichtsbehörden bei der Überwachung der Benachrichtigungspflichten. Die Aufsichtsbehörde ermittelt zunächst, ob der Betroffene informiert wurde. Ist dies nicht der Fall, kann sie entweder feststellen, ob eine Ausnahme zur Benachrichtigungspflicht gem. Art. 34 Abs. 3 besteht oder sie kann andernfalls den Verantwortlichen auffordern, seiner Benachrichtigungspflicht nachzukommen.

Den Aufsichtsbehörden wurde insofern nur ein schwaches Sanktionsinstrument an die Hand gegeben und sie erfüllen vor allem eine Überwachungsfunktion.

Art. 35 DS-GVO – Datenschutz-Folgenabschätzung

Art- 35 DS-GVO führt das Instrument der Datenschutz-Folgenabschätzung ein. Demnach sind Verantwortliche verpflichtet, für Formen von Datenverarbeitungen mit hohem Risiko der Verletzung von Rechten und Freiheiten natürlicher Personen eine Abschätzung der Folgen der Datenverarbeitung vorzunehmen. Diese Abschätzung hat vor Beginn der Datenverarbeitung zu erfolgen. Abs. 7 beschreibt hierbei den Mindeststandard der Folgenabschätzung.

Es handelt sich um ein Instrument der eigenverantwortlichen Risikoanalyse, welche gegebenenfalls auch unter Berücksichtigung der Einschätzungen von Datenschutzbeauftragtem (Abs. 2) und der betroffenen Personen (Abs. 9) erfolgen kann bzw. muss.

Die Aufsichtsbehörde kann gem. Abs. 4 und 5 sowohl positiv feststellen, welche Verarbeitungsvorgänge immer einer Folgenabschätzung bedürften, als auch negativ abzugrenzen, bei welchen Vorgängen das nicht notwendig ist.

Art. 40 DS-GVO – Verhaltensregeln und Zertifizierung

In Art. 40 geht es um die konkrete Umsetzung der Bestimmungen dieser Verordnung. Die Umsetzung erfolgt in einem Zwischenschritt durch eine individuelle Ausarbeitung von auf die jeweiligen Datenverarbeiter (z.B. Kleinst-, Klein-, mittlere Unternehmen) angepassten Verhaltensregeln. Diese Ausarbeitung soll zwar von den Aufsichtsbehörden, dem Europäischen Datenschutzausschuss und der Kommission gefördert werden (Art. 40 Abs. 1), wird aber faktisch in die Hände von Arbeitgeberverbänden (Art. 40 Abs. 2) gelegt.

Die konkrete Verwirklichung des Schutzes des Bürgers liegt mit diesem Modell der freiwilligen Selbstregulierung weitestgehend in der Verantwortung derer, deren Interessen regelmäßig dem Schutz des Einzelnen entgegenstehen werden und ermöglicht so – immerhin mit dem Wortlaut als äußerste Auslegungsgrenze – eine gewisse Verwässerung der betroffenenschützenden Vorschriften der Verordnung.

Art. 40 Abs 2 lit. h nennt als Anwendungsbereich der Ausarbeitungsbefugnisse ausdrücklich auch die von dem für die Datenverarbeitung Verantwortlichen zu treffenden Maßnahmen und Verfahren der Art. 24 und 25 (siehe oben), sowie die Maßnahmen für die Sicherstellung der Sicherheit der Verarbeitung gem. Art. 32.

Art. 45 DS-GVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Art. 44 legt fest, dass eine mittelbare oder unmittelbare Übermittlung personenbezogener Daten an Drittstaaten oder internationale Organisationen nur zulässig ist, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bestimmungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden.

Eine solche Übermittlung ist gem. Art. 45 Abs. 1 auch dann rechtmäßig, wenn die Kommission nach genauer Prüfung festgestellt hat, dass in dem entsprechenden Drittstaat, Gebiet innerhalb dieses Drittstaates bzw. der internationalen Organisation ein angemessener Schutz der personenbezogenen Daten besteht.

Ob der Schutz angemessen ist, bemisst sich gem. Art. 45 Abs. 2 insbesondere danach, ob eine Aufsichtsbehörde des Drittstaates / der internationalen Organisation die Datenschutzvorschriften wirksam überprüfen und ihre Einhaltung durch Sanktionen sicherstellen kann. Die entsprechende Aufsichtsbehörde muss darüber hinaus als Ansprechpartner für die Betroffenen sowie für die Aufsichtsbehörden der Mitgliedsstaaten zuständig sein.

Nach dem Wortlaut des Art. 45 Abs. 2 lit b hat die Kommission bei der Prüfung der Angemessenheit das Vorhandensein von entsprechenden Aufsichtsbehörden jedoch nur zu berücksichtigen. Daraus ergibt sich die Problematik, dass in Ausnahmefällen eine Übermittlung auch an Drittstaaten / internationale Organisationen möglich sein kann, in denen der Schutz der übermittelten personenbezogenen Daten nicht durch eine Aufsichtsbehörde sichergestellt wird.

Art. 47 DS-GVO – Verbindliche interne Datenschutzvorschriften

Art. 47 Abs. 1 stellt die Voraussetzungen für die Erteilung einer Genehmigung von unternehmensinternen Datenschutzvorschriften durch die Aufsichtsbehörde auf, wohingegen Abs. 2 die in den Datenschutzregeln mindestens zu enthaltenden Angaben auflistet.

So ist gem. Art. 47 Abs. 2 lit. d mitunter in der Anwendungen der allgemeinen Datenschutzgrundsätze vorausgesetzt. Diese sind insbesondere Zweckbindung, Datensparsamkeit, begrenzte Speicherzeiten, Datenqualität, „Privacy by Design“, „Privacy by Default“, das Vorhandensein einer Rechtsgrundlage für die Verarbeitung, eine Differenzierung nach verschiedenen Arten der Daten, Maßnahmen zur Sicherstellung der Datensicherheit, sowie Anforderungen an die Datenweitergabe an Stellen, die nicht an diese unternehmensinternen Datenschutzvorschriften gebunden sind.

Art. 89 DS-GVO – Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

Die Norm regelt die zentralen Vorgaben für den Forschungs- und Wissenschaftsbereich, die bei der Datenverarbeitung zu berücksichtigen sind. Dies schließt insbesondere geeignete Garantien ein, die Rechte und Freiheiten der Betroffenen sicherzustellen. Bei der Verarbeitung zu wissenschaftlichen und historischen Forschungszwecken oder Archivzwecken wird den Mitgliedsstaaten nach Abs. 2und 3 offen gestellt, Ausnahmen von den allgemein geregelten Rechten Art. 15 ff DS-GVO (Auskunftsrecht, Berichtigungsrecht, usw.) zuzulassen. Allerdings stellt Abs. 4 ausdrücklich klar, dass auch bei mehrfachen Verarbeitungszwecken, die Ausnahmen allein für die in Abs. 2 und 3 genannten Zwecke zulässig sind.

Art. 89 Abs. 2 und 3 sind damit Ausfluss der Entscheidung einer Interessensabwägung zwischen dem Recht des Datensubjekts auf den Schutz seiner personenbezogenen Daten nach Art. 8 Abs. 1, 2 EU-Charta4Aufgrund der Regelung in Art. 6 Abs. 3 EU-Vertrag sind die Grund- und Menschenrechte der Charta der Grundrechte der europäischen Union Teil des ...continue, sein Recht auf Datenschutz nach Art. 1 des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und dem öffentlichen Interesse an Archivierung, Forschung und Erkenntnisgewinnung zugunsten des Letzteren. Art. 89 ist in seiner Gesamtheit dennoch nicht als eine sich zu Ungunsten des Datensubjektes auswirkende Regelung zu sehen, da Abs. 1 überhaupt erst Sicherheitsmaßnahmen (beispielsweise die Pseudonymisierung) zugunsten des Datensubjekts schafft.

Referenzen   [ + ]

1. zum Vorrang des Unionsrechts EuGH, Urt. v. 15.07.1964, 6/64 – Costa ./. E. N. E. L.
2. Kühling / Buchner, DS-GVO / BDSG, 2. Auflage, Art. 24 DS-GVO, Rn. 12
3. Ehmann / Selmayr, Datenschutzgrundverordnung, Art. 25, Rn. 9
4. Aufgrund der Regelung in Art. 6 Abs. 3 EU-Vertrag sind die Grund- und Menschenrechte der Charta der Grundrechte der europäischen Union Teil des Unionsrecht und sind für die Auslegung europäischer Gesetze heranzuziehen.