DIE DATENSCHUTZ GRUNDVERORDNUNG: EINE NEUE HERAUSFORDERUNG?

Die Umsetzung der Anforderungen der EU-Datenschutz Grundverordnung (DSGVO) stellt IT- bzw. Rechts- und Compliance Abteilungen vor immense Herausforderungen. Doch woher kommt die Unsicherheit in der Auslegung und Anwendung der neuen Bestimmungen der DSGVO?

In der Rechtswissenschaft besteht weitgehend Einigkeit, dass die DSGVO in Europa materiell nur wenig Neues bringt. Strenge Zweckbindung und das Bestehen einer Rechtsgrundlage für die Speicherung von Daten, sowie adäquate Maßnahmen zur Datensicherheit waren schon Bestandteil des ersten (immer noch in Kraft befindlichen) staatenübergreifenden Regelwerks zu diesem Thema: der Datenschutzkonvention des Europarates von 1981 (“Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten”, http://www.coe.int/de/web/conventions/full-list/-/conventions/rms/0900001680078b38).

In seinem Art 5 (lit e) sieht das Übereinkommen bereits eine zeitliche Begrenzung vor, Daten nicht länger zu speichern, als für den definierten Zweck notwendig ist. Sensible Daten (politische, religiöse, medizinische Informationen, etc.) wurden schon damals besonders geschützt. Selbst ein Auskunfts-, Berichtigungs- und Löschungsrecht (“Recht auf Vergessenwerden”) war nach Art 8 dieses Übereinkommens bereits verpflichtend vorzusehen. Auch grenzüberschreitender Datenverkehr wurde damals schon geregelt und ein “gleichwertiger Schutz” der Daten bei einer Übertragung ins Ausland gefordert (Art 12 Abs 3 lit a).

Auch wenn sich die im Übereinkommen formulierten Verpflichtungen in erster Linie an Staaten wenden, wurden sie in Österreich bereits 1988 mit horizontaler Direktwirkung (gegenseitig, unter Privaten) umgesetzt. Auf nationaler Ebene war das Grundrecht auf Datenschutz und Zweckbindung für private Datenverarbeitungen schon zehn Jahre zuvor, im DSG1978 vorgesehen.

Effektiv überwacht wurde die Einhaltung auf europäischer Ebene durch den Zugang zu einem Rechtsmittel an den Europäischen Gerichtshof für Menschenrechte (Auf menschenrechtlicher Ebene wurde Datenschutz aus Art 8 EMRK, dem Recht auf Schutz des Privat- und Familienlebens abgeleitet). In einem Zusatzprotokoll wurde 2002 die Verpflichtung zur Errichtung einer unabhängigen Behörde in den einzelnen Mitgliedsstaaten vereinbart. Auch Österreich hat sich diesem Zusatzprotokoll unterworfen.

Das Übereinkommen hat derzeit 50 Mitglieder, darunter auch Russland (nicht Partei des Zusatzprotokolls) oder Burkina Faso. Seit dem Jahr 1999 ist auch die EU selbst Vertragspartei des Übereinkommens und hat sich damit zur Sicherung der europäischen Datenschutzkultur formell verpflichtet.

Spätestens seit der RL 95/46/EG, beschlossen im Oktober 1995 – umzusetzen bis Ende 1998, war durch sekundärrechtliche Verankerung auf EU-Ebene der Datenschutz nach europäischer Prägung mit starken Betroffenenrechten nicht mehr aufzuhalten.

Strenge Zweckbindung und durchsetzbare Betroffenenrechte sind also schon seit über 30 Jahren Kernbestandteil der europäischen Datenschutzkultur. Mit dem Beschluss der DSGVO durch das Europäische Parlament am 14. April 2016 fand also tatsächlich nur eine Evolution dieser gelebten Kultur statt.

Besonderes Augenmerk wurde in dieser Evolutionsstufe jedoch auf die Durchsetzung der Bestimmungen gelegt. Das sichtbarste Ergebnis war also, dass dem Datenschutz scharfe Zähne gewachsen sind.

Die starke Bewehrung der Vorschriften ist auch der Hauptgrund für die mediale und unternehmerische Aufmerksamkeit. Vor allem die befürchteten hohen Strafen, die in ihrer extremsten Ausprägung bis zu 4% des konsolidierten Konzernumsatzes betragen können, sorgen für großes Kopfzerbrechen.

Mit der vorgesehenen Strafhöhe katapultiert sich die EU an die globale Spitze der möglichen Sanktionen für Verstöße gegen Datenschutzbestimmungen. Nur wenige Staaten sehen ähnliche Strafen vor, etwa Brasilien, mit Höchststrafen von 10% des jährlichen Konzernumsatzes.

Unternehmen sind also heute primär aus Angst bestrebt die “neuen” Anforderungen umzusetzen. Diese Angst verhilft dem bisher eher als “Orchideenfach” gesehenen Sonderling Datenschutzrecht zu großer Prominenz und praktischer Bedeutung.

Daraus entsteht derzeit auch ein starker Antrieb für neue Geschäfts- und Beratungsmodelle. Die International Association of Privacy Professionals schätzt aufgrund der DSGVO einen zusätzlichen Bedarf an 75.000 Datenschutzbeauftragten weltweit. Zusätzliche Datenschutz Experten werden außerdem nach dem Fall von Safe Harbor und der Neufassung von “Privacy Shield” benötigt.

WO SOLL MAN ANFANGEN?

Der primäre Antrieb Datenschutz-Compliance zu erreichen, stellt für die meisten Unternehmen die Vermeidung von Strafen dar. Die Generalprävention erreicht also anscheinend ihren gewünschten Zweck.

Dennoch sollte in einem Risiko-vermeidenden Ansatz zunächst gefragt werden: Wie kann es zur Verhängung von Strafen kommen? Daraus kann abgeleitet werden, welche Maßnahmen hauptsächlich gesetzt werden sollten um Strafen zu vermeiden.

Die Strafen werden von der Datenschutzbehörde aufgrund von Verstößen gegen die DSGVO oder das österreichische Durchführungsgesetz verhängt. Allerdings kann die Datenschutzbehörde nur aufgrund eines konkreten Verdachts tätig werden und ermitteln.

Nach dem am 22.05.2017 vorgelegten Ministerialentwurf zur Neufassung des österreichischen Datenschutzgesetzes (der Status des Gesetzgebungsverfahrens und der Entwurf sind abrufbar unter (https://www.parlament.gv.at/PAKT/VHG/XXV/ME/ME_00322/index.shtml) darf die Datenschutzbehörde gemäß dem geplanten § 11 nur bei begründetem Verdacht auf Verstöße gegen den Datenschutz Ermittlungen gegen Verantwortliche anstoßen bzw deren “Datenverarbeitungen überprüfen.” Es wird also keine unbegründeten “Audits” oder Untersuchungen geben.

Fraglich ist, ob die Behörde in Zukunft “Dawn Raids”, wie sie aus dem Kartellrecht gefürchtet werden, durchführen wird. Dabei durchsucht die Behörde unangekündigt “im Morgengrauen” ein Unternehmen, das in Verdacht steht Gesetzesverstöße begangen zu haben. In erster Linie wird das wohl davon abhängen, wie die personelle Ausgestaltung der Datenschutzbehörde in Zukunft aussehen wird. Durch den Wegfall des DVR stehen sicher zusätzliche Planstellen zur Verfügung.

Zum Zweck der Einschau darf die Behörde Räumlichkeiten betreten und die zu untersuchenden Datenverarbeitungen durchführen. Die Mitarbeiter der Behörde unterliegen diesbezüglich natürlich einer Verschwiegenheitsverpflichtung.

 

WIE GERÄT MAN IN DEN ERMITTLUNGSFOKUS DER BEHÖRDE?

Denkbar sind eigentlich nur drei Konstellationen, wie es zu einem Verdacht kommen kann:

 

1. Verstoß gegen Betroffenenrechte / Beschwerde durch Betroffenen

Die DSGVO sieht Betroffenenrechte vor, die von Verantwortlichen jedenfalls wahrzunehmen sind. Darunter fällt im einfachsten Fall das Recht auf Information oder auf Auskunft. (Technisch) schwieriger ist die Umsetzung des Rechts auf Löschung.

Wenn im Anlassfall im Unternehmen keine geeigneten Prozesse vorhanden sind um Betroffenenrechte zu erfüllen, und deshalb etwa eine Auskunftsanfrage nicht oder nicht rechtzeitig beantwortet werden kann, darf die betroffene Person nach § 13 des Ministerialentwurfs eine Beschwerde an die Datenschutzbehörde richten, die aufgrund der Beschwerde tätig werden muss.

Damit wird ein Ermittlungsverfahren eingeleitet und die Behörde wird bei Vorliegen eines Verstoßes auch eine Strafe verhängen.

 

2. Data Breach Notification

Verantwortliche sind nach Art 33 DSGVO verpflichtet Datenpannen (kurz gefasst: Verlust von vielen Datensätzen oder von kritischen Datensätzen mit Auswirkungen auf die Rechte und Freiheiten der Personen) innerhalb von 72 Stunden nach Bekanntwerden an die Datenschutzbehörde zu melden.

Das bedeutet nicht, dass Data Breaches per se verboten sind. Auch bei Umsetzung des Stand der Technik und aller denkmöglichen Sicherheitsvorkehrungen kann es wahrscheinlich trotzdem irgendwie dazu kommen, dass Daten gestohlen werden, wenn genügend kriminelle Energie in das Vorhaben gesteckt wird.

Allerdings wird die Behörde bei Vorliegen eines gemeldeten Data Breaches wahrscheinlich eher geneigt sein einen Verdacht auf unzureichende Sicherheit zu erheben und eine Überprüfung der betroffenen Datenanwendungen durchführen. Das wäre die zweite Möglichkeit in den Fokus der Behörde zu kommen.

 

3. Amtswegige Ermittlung

Als verwaltungsrechtliche Materie unterliegt das Datenschutzgesetz in Österreich dem Verwaltungsstrafgesetz (VStG). Ein amtswegiges Ermittlungsverfahren kann daher gemäß § 25 VStG jederzeit von der Behörde eingeleitet werden, wenn der Verdacht einer Verwaltungsübertretung besteht. Auch Nicht-Betroffenen (zB Mitbewerbern) steht somit die Möglichkeit offen im Wege einer Sachverhaltsdarstellung an die Behörde ein Verfahren zu starten, sollten sie Kenntnis von Verstößen erlangen.

 

KONKRETE EMPFEHLUNGEN

Neben dem generellen Bestreben, Datenschutz-Compliance zu erreichen, sollte also die erste Stoßrichtung auf die Vermeidung eines Ermittlungsverfahrens gesetzt werden um Strafen zu vermeiden. Die folgenden ersten Schritte in der Umsetzung von Maßnahmen können dabei einmal primär helfen:

 

1. Betroffenenrechte

Zunächst sollte die Möglichkeit zur Erfüllung von Betroffenenrechten bzw. deren Anfragen im Mittelpunkt stehen. Dazu sind sowohl Dokumentationen aller Datenverarbeitungen als auch entsprechende Prozesse vorzusehen.

Es gilt der Grundsatz: Ein Verantwortlicher muss wissen, welche personenbezogenen Daten er oder sie zu welchem Zweck verarbeitet. An der Erstellung eines Verfahrensverzeichnisses führt also schon aus praktischen Gründen für keinen Verantwortlichen ein Weg vorbei. Rechtlich ist dieses Verzeichnis darüber hinaus in Art 30 der DSGVO verpflichtend vorgesehen.

Das Verzeichnis stellt wahrscheinlich auch in vielen Fällen den Ausgangspunkt der Ermittlungen der Datenschutzbehörde dar. Je genauer es gepflegt ist, umso “zufriedener” wird die Behörde in ihrem Ermittlungsverfahren sein.

Aus dem Verzeichnis lässt sich relativ einfach die proaktive “Information” für die Betroffenen erstellen, welche Daten der oder die Verantwortliche über sie verarbeitet. Darüber hinaus kann es der Dreh- und Angelpunkt für alle weiteren Betroffenenrechte sein.

Pro verzeichneter Datenanwendung kann anhand des Verzeichnisses Auskunft zu den jeweils zu einer  Person gespeicherten Daten gegeben werden, was wiederum der Startpunkt für ein eventuelles Berichtigungsbegehren ist. Wenn ein Verantwortlicher alle seine Datenanwendungen kennt, kann er auch entsprechend leicht Auskunft darüber erteilen, welche Daten über Betroffene verarbeitet werden. Reporting Tools können hier Hilfe bieten.

Darüber hinaus ist für jedes Betroffenenrecht ein Prozess vorzusehen. Die Betroffenenrechte sind mit Fristen versehen und müssen dementsprechend rasch vom Verantwortlichen nach Eintreffen einer Anfrage beantwortet werden. Deshalb sollte das Unternehmen bzw. die entsprechende Fachabteilung vorbereitet sein, damit nach der ersten Auskunftsanfrage keine Unsicherheit ausbricht. Durch prozesshafte Abbildung kann das im Unternehmen in der Regel am besten erreicht werden.

 

2. Data Breach vermeiden

Das Vorsehen von technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit, Vertraulichkeit und Integrität von Daten stellt ebenfalls eine unumgängliche Maßnahme nach Art 32 DSGVO dar. Der Umfang der Maßnahmen, also wie rigoros die Sicherheit gewährleistet werden muss, ergibt sich dabei aus dem jeweiligen Risiko, dem eine konkrete Datenanwendung unterliegt. Kurz gesagt: je größer die negativen Auswirkungen einer Datenpanne für die Betroffenen, umso stärker müssen die Sicherheitsmaßnahmen ausgeprägt sein.

Letztlich unterliegt die Bewertung, ob die Maßnahmen ausreichend sind oder waren, der Datenschutzbehörde. Eine ISO27001 Zertifizierung mit einem geringen Risikorating scheint hier ganz generell ausreichende (Rechts-)Sicherheit zu bieten.

Jedenfalls müssen die Maßnahmen dem Stand der Technik entsprechen. Zum Beispiel wird eine Netzwerk-Segmentierung mit Firewalls ohne Intrusion Protection System im Jahr 2018 nicht mehr dem Stand der Technik entsprechen. Der fehlende Einsatz von Malware Protection ist im Jahr 2018 sicher auch nicht mehr zu rechtfertigen. Die IT Security erhält also massiven Rückenwind durch Anforderungen der DSGVO. Dazu sei trotzdem angemerkt, dass die Gewährleistung der Sicherheit der Daten auf keinen Fall neu ist. Derartige Maßnahmen waren auch schon in § 14 DSG2000 und sogar in § 21 DSG1978 zwingend vorgesehen.

 

3. Data Breach erkennen

Das Erkennen von “Datenpannen” und eine adäquate Reaktion darauf stellt definitiv eine der größten technischen Herausforderung dar. Datendiebstahl wird hauptsächlich im Geheimen erfolgen. Derartige Zugriffe können nur präventiv vermieden aber nie gänzlich ausgeschlossen werden.

Eine adäquate Reaktion auf die Datenpanne sollte in das IT Notfallkonzept aufgenommen werden. Durch die Vorbereitung von Formularen zur Meldung an die Behörde kann das Gesamtbild gegenüber der Behörde entsprechend professionalisiert werden. Eine umfassende und vollständige Meldung an die Behörde und eine umgehende Verständigung der Betroffenen wird einen positiveren Eindruck vermitteln, als unkoordinierte Panikaktionen mit laufenden Nachmeldungen. Das Gebot technische und organisatorische Maßnahmen zu treffen umfasst eben auch eine Dokumentation der Notfallorganisation.

Man kann darüber hinaus aus technischer Sicht jedenfalls sagen, dass zumindest ein Intrusion Detection System in Zukunft zwingend durch datenschutzrechtliche Bestimmungen vorgeschrieben ist. Wie soll man sonst Kenntnis von einer Datenpanne erlangen. Die Zuhilfenahme des Art 30-Verzeichnisses erleichtert die Meldung an die Datenschutzbehörde, da damit wiederum die betroffenen Datenanwendungen rasch identifiziert und bezeichnet werden können. Insofern schließt sich der Kreis zum Verfahrensverzeichnis, das Dreh- und Angelpunkt für die Datenschutz-Compliance darstellen wird.

 

FAZIT

Das bestehende hohe Datenschutzniveau der Europäischen Union wird durch die DSGVO in Teilbereichen gestärkt und insgesamt mit hohen Sanktionen belegt. Letztlich ist das auch der primäre Treiber für Datenschutz-Compliance: die Angst vor den hohen Strafen.

Mit der Umsetzung von relativ einfachen organisatorischen und – zugegeben – etwas aufwändigeren technischen Maßnahmen kann rasch eine Basis-Compliance hergestellt werden, die Ausgangspunkt für weitere Maßnahmen ist. So können etwa anhand des Verfahrensverzeichnisses risikobehaftete Datenanwendungen identifiziert werden, für die eine Datenschutzfolgenabschätzung vorgenommen werden muss.

Natürlich erfordert die DSGVO noch andere Maßnahmen. Allerdings ist mit dem beschriebenen Paket ein wichtiger Schritt in der ersten Umsetzung der DSGVO getan. Vor allem die Wahrscheinlichkeit der Einleitung von Ermittlungsverfahren aufgrund von Verdachtsmomenten kann so reduziert werden.

Nicht zuletzt muss jede Maßnahme, die ein Verantwortlicher zur Herstellung von Datenschutz-Compliance trifft, in die Bemessung der Strafhöhe (zugunsten des Verantwortlichen) einfließen. Jede vom Verantwortlichen getroffene Maßnahme kann also eine Strafe potenziell verringern.

NTS legt besonderes Augenmerk auf die Bereitstellung von IT-Security Infrastruktur, um personenbezogene Daten entsprechend dem Stand der Technik zu schützen und mithilfe von IDS/IPS Deployments Visibility für Data Breaches zu schaffen. Es wird empfohlen vor allem die technischen Maßnahmen so rasch wie möglich – noch 2017 – umzusetzen, da das Jahr 2018 nur wenig Zeit bietet, um die Arbeiten abzuschließen.

Weiterführende Quellen:

Handbuch zum europäischen Datenschutzrecht: https://rm.coe.int/16806ae64e

Liste der Signatarstaaten der Datenschutzkonvention: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures

Sanctions for data breaches:https://ca.practicallaw.thomsonreuters.com/Document/I8417d5bd1cb111e38578f7ccc38dcbee/View/FullText.html?originationContext=knowHow&transitionType=KnowHowItem&contextData=%28sc.Default%29

IAPP Annual Report Annual Privacy Governance Report 2016