Datenschutz und Brexit – Besteht Handlungsbedarf?

Datenschutz und Brexit. Ein Mann im Anzug hält einen Gegenstand nach vorne auf dem die UK- und EU-Flaggen abgebildet sind.

Die Übergangsregelung für das Datenschutzrecht bezüglich des Brexits verschafft erneut Zeit für alle betroffenen Unternehmen, um sich für einen etwaigen Datenverkehr ins Vereinigte Königreich abzusichern. Es ist dabei nicht ratsam, dass sich betroffene Unternehmen auf den fristgerechten Abschluss eines Angemessenheitsbeschlusses der EU-Kommission verlassen. Unternehmen sollten sich vielmehr auf die Situation vorbereiten, dass das Vereinigte Königreich zumindest vorübergehend zu einem Drittland wird.

“EU-US Privacy Shield” – EuGH kippt Datendeal

Flagge der USA und Videokamera / Privacy Shield

Der EuGH hat die Vereinbarung zwischen der EU und den USA über den Transfer personenbezogener Daten, das sogenannte “Privacy Shield”, für ungültig erklärt. In seinem Urteil stellt der EuGH fest, dass die Zugriffsmöglichkeiten der US-Behörden und insbesondere das Fehlen geeigneter Garantien, durchsetzbarer Rechte und wirksamer Rechtsbehelfe den Anforderungen an den Datenschutz der EU widersprechen. Eine weitere Möglichkeit den Transfer von personenbezogenen Daten in die USA zu rechtfertigen, die sog. Standardvertragsklauseln, hat das Gericht jedoch grundsätzlich bestätigt. Im Ergebnis helfen die Standardvertragsklauseln den Unternehmen jedoch in den meisten Fällen nicht weiter, denn der EuGH hat Einschränkungen formuliert. Es ist laut EuGH zu prüfen, ob im Zielland ein Schutzniveau gewährleistet ist, das im Wesentlichen dem in der EU garantierten Schutzniveau entspricht. Dies ist für die USA mit den bereits gegen das Privacy Shield angeführten Argumenten als problematisch zu bewerten. Über die Frage, wie dieses Problem zu lösen ist, ist eine Debatte entbrannt.

DSGVO: Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung

Unternehmen sollten sich im Zuge der Vorbereitung auf die Datenschutzgrundverordnung (DSGVO) rechtzeitig mit der Datenschutz-Folgenabschätzung vertraut machen. Diese ist immer dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DSGVO). Im Rahmen der Datenschutz-Folgenabschätzung sind Unternehmen gehalten, vor Einführung eines Datenverarbeitungsverfahrens eine Risikoeinschätzung vorzunehmen und zu dokumentieren 1). Es handelt sich insofern um eine Pflicht zur vorherigen Analyse der Folgen, welche die Verarbeitung für den Schutz personenbezogener Daten mit sich bringt. Völlig unbekannt ist die Vornahme einer solchen Prüfung nicht, denn mit der Vorabkontrolle in § 4 d Abs. 5 BDSG waren Unternehmen auch bisher schon verpflichtet, bestimmte Verfahren speziellen Prüfungen zu unterziehen. Dieser Artikel gibt einen Überblick über die Datenschutz-Folgenabschätzung.

Wozu ist die Datenschutz-Folgenabschätzung notwendig?

Die Datenschutz-Folgenabschätzung ist eine Ausprägung des datenschutzrechtlichen Grundsatzes Privacy by Design 2). Dieser hält dazu an, durch datenschutzfreundliche Technikgestaltung und Voreinstellung, zur Verringerung des Gefahrenpotenzials beizutragen. Im Kern geht es um die Wahrung des informationellen Selbstbestimmungsrechts der betroffenen Personen. Damit knüpft die Datenschutz-Folgenabschätzung (genau wie bisher die Vorabkontrolle) bereits vor Implementierung eines Verfahrens an, um Risiken bei der Verarbeitung personenbezogener Daten einzuschätzen und letztlich durch organisatorische Vorkehrungen einzudämmen.

Die Datenschutz-Folgenabschätzung ist als Instrument zur Risikoerkennung und -bewertung zu verstehen. Ihr Ziel ist es, das persönlichkeitsgefährdende Potenzial eines Verfahrens zu erkennen, welches dem Individuum in seinen unterschiedlichen Rollen (als Bürger, Mitarbeiter eines Unternehmens, Kunde etc.) durch den Einsatz einer bestimmten Technologie oder eines Systems droht 3). Die Abschätzung dient als Basis für sinnvolle Gegenmaßnahmen.

Wann kommt die Datenschutz-Folgenabschätzung zum Einsatz?

Eine Folgenabschätzung ist immer dann durchzuführen, wenn das geplante Verfahren auf die Verarbeitung personenbezogener Daten abzielt und dies ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.4)

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird dabei eine Person angesehen, die anhand direkter oder indirekter Merkmale bestimmt werden kann, also insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung.5) Der Begriff der personenbezogenen Daten wird dabei im Sinne eines effektiven Schutzes von Betroffenen sehr weit ausgelegt, d.h. ein Personenbezug ist immer schon dann anzunehmen, wenn ein solcher nicht auszuschließen ist. Beispiele für personenbezogene Daten sind Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Beruf und Ausbildungsstand.

Ferner muss ein hohes Risiko vorliegen. Ein Risiko ist jedenfalls dann als hoch einzustufen, wenn eine Prognose ergibt, dass mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten natürlicher Personen droht. Droht ein hoher Schaden, genügt eine geringe Eintrittswahrscheinlichkeit. Bei hoher Wahrscheinlichkeit genügt bereits ein geringer zu erwartender Schaden.6)

Beispielhaft werden in der DSGVO u.a. folgende Fälle genannt, bei denen eine Folgenabschätzung grundsätzlich zu erfolgen hat:

  • Verarbeitung besonderer Kategorien personenbezogener Daten; diese Daten werden umgangssprachlich auch sensible oder sensitive Daten bezeichnet und umfassen nach Art. 9 Abs. 1 DSGVO:
    • Rassische oder ethnische Herkunft
    • Politische Meinung
    • Religiöse und weltanschauliche Überzeugung
    • Gewerkschaftszugehörigkeit
    • Genetische Daten
    • Biometrische Daten
    • Gesundheitsdaten
    • Sexualleben sowie sexuelle Orientierung
  • Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Systematische und weiträumigen Überwachungen öffentlich zugänglicher Bereiche (z.B. durch Videokameras)
  • Automatisierte Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen oder ähnlich intensiven Folgen für die betroffenen Personen (z.B. Scoring, Online Kreditanträge oder Online-Einstellungsverfahren)

Die Aufsichtsbehörden werden eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine Folgenabschätzung unerlässlich ist (black list). Ebenso können diese auch Listen erstellen, bei denen festgelegt wird, dass keine Folgenabschätzung gemacht werden muss (white list).

Hinweis: Wurden für die bereits laufenden Verarbeitungsverfahren bisher keine Prüfungen auf etwaige notwendige Folgenabschätzungen durchgeführt, sollte dies nachgeholt werden, um das Risiko etwaiger Persönlichkeitsrechtsverletzungen zu vermeiden.

Wie wird eine Datenschutz-Folgenabschätzung durchgeführt?

In Art. 35 Abs. 7 DSGVO ist der Mindestinhalt einer Datenschutz-Folgenabschätzung geregelt. Zusammengefasst beinhaltet eine Folgenabschätzung folgende schriftlich zu dokumentierende Schritte:

  1. Beschreibung des vorgesehenen Verarbeitungsverfahrens und der Zwecke der Verarbeitung, Art. 35 Abs. 7 lit. a DSGVO
  2. Ggf. Einholung des Standpunkts der betroffenen Personen (konkret betroffenen Personen bzw. aber auch Gruppen wie Verbraucherverbände), Art. 35 Abs. 9 DSGVO
  3. Bewertung, Art. 35 Abs. 7 lit. b und c DSGVO
    • Verarbeitungsverfahren notwendig?
    • Verhältnismäßigkeitsprüfung bezüglich Verarbeitungszwecks
    • Bewertung der Risiken hinsichtlich der Rechte und Freiheiten der betroffenen Personen
  4. Ausarbeitung von Abhilfemaßnahmen zum Schutz der Daten, Art. 35 Abs. 7 lit. d DSGVO

In der Folge ist eine Überprüfung und Überwachung der Vorgaben auch der Folgenabschätzung, auch im Hinblick auf eventuelle Änderungen, erforderlich.

Im Gegensatz zur Vorabkontrolle, für die bisher die Zuständigkeit explizit beim Datenschutzbeauftragten lag, obliegt die Durchführung der Folgenabschätzung nach Art. 35 Abs. 2 DSGVO dem Verantwortlichen, also dem jeweiligen Unternehmen. Allerdings ist der Rat des Datenschutzbeauftragte einzuholen.

Benachrichtigung der Aufsichtsbehörde

Verbleiben bei dem geplanten Verfahren trotz Maßnahmen zur Eindämmung der Risiken potenzielle Gefahren für Betroffenem, so hat das Unternehmen nach Art 36 Abs. 1 DSGVO die Pflicht, die Aufsichtsbehörde vor Beginn einer solchen Datenverarbeitung zu benachrichtigen. Kommt der Unternehmer dieser Pflicht nicht nach, kann die Aufsichtsbehörde ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Jahresumsatzes verhängen; je nachdem, welcher der Beträge höher ist.7) Nach Konsultation der Aufsichtsbehörde sind diese angehalten, auf das Ersuchen innerhalb von acht Wochen zu antworten.

Folgen der Nichtdurchführung

Wird eine erforderliche Datenschutz-Folgenabschätzung erst gar nicht durchgeführt, kann dies eine Geldbuße von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Gesamtjahresumsatzes zur Folge haben. Auch hier gilt, genau wie bei Verletzung der Konsultationspflicht, dass jeweils der höhere der beiden Beträge angesetzt wird.8)

Fazit

Mit Inkrafttreten der DSGVO wird das bestehende Prüfungsverfahren der Vorabkontrolle durch die Datenschutz-Folgenabschätzung abgelöst. Grundsätzlich sind beide Instrumente ähnlich. Allerdings weist die Datenschutz-Folgenabschätzung gegenüber ihrem Vorgänger unter anderem einen erweiterten Anwendungsbereich auf und erfasst sämtliche Verarbeitungen (nicht nur automatisierte Verarbeitungen). Ferner wird die grundsätzliche Zuständigkeit der Durchführung auf das Unternehmen verlagert. Allerdings bleibt die Einbeziehung eines Datenschutzbeauftragten als Ansprechpartner weiterhin unausweichlich, Art 35 Abs. 2 DSGVO.

Nach der Konzeption der DSGVO versteht sich die Datenschutz-Folgenabschätzung nicht nur als Last für Unternehmen. Sie eröffnet auch die Chance, ungewollte Datenschutzrisiken frühzeitig zu erkennen, aufsichtsbehördliches Verhalten zu antizipieren und spätere Anpassungsnotwendigkeiten durch „Privacy by Design“-Maßnahmen zu vermeiden – und dadurch im Idealfall Ressourcen zu sparen.9)

Sollten Sie Unterstützung im Bereich der Erfüllung datenschutz-rechtlicher Anforderungen benötigen, können wir Ihnen als zertifizierte Datenschutzbeauftragte gerne helfen. Nehmen Sie dazu Kontakt zu uns auf.

Der richtige Weg zum Beratungsgespräch

Informationspflichten und Transparenz

DSGVO Informationspflichten und Transparenz

Die im Mai 2018 in Kraft tretende Datenschutz Grundverordnung (DSGVO) führt in einigen Bereichen zu erheblichen Änderungen der aktuellen Gesetzeslage. Eine wichtige Neuerung betrifft die nunmehr notwendigen Informationspflichten bei der Erhebung von personenbezogenen Daten. Dies bedeutet, dass Unternehmen in jedem Fall ihre Datenschutzerklärungen überarbeiten müssen, insbesondere auf ihren Webseiten, sofern dort über Formulare oder auf … Weiterlesen

EU-Datenschutzgrundverordnung – Das ist neu

Es ist ein Schreibtisch zu sehen auf dem eine Brille, ein Kugelschreiber, eine EU-Flagge, ein Vertrag und ein Tablett liegen. Dahinter erkennt man in Unschärfe, einen zum Fenster hinausblickenden Herren. / Datenschutzgrundverordnung

Der Weg zur neuen europäischen Datenschutzgrundverordnung (DSGVO) war lang und beschwerlich. Über vier Jahre dauerte der harte Kampf durch das Gesetzgebungsverfahren der Europäischen Union. Nie zuvor hatte ein Verfahren dermaßen viel Zeit in Anspruch genommen. Nie zuvor gab es so viele Anträge und Änderungswünsche (über 4000).Am 25. Mai 2018 wird die neue europäische Datenschutzgrundverordnung die … Weiterlesen

Der EU-US Privacy Shield – Was verbirgt sich hinter dem neuen Datenschutzabkommen?

Der EU-US Privacy Shield

Der Nachfolger von Safe Harbor steht fest: Am 12.07.2016 gab die Europäische Union (EU) grünes Licht für den EU-US Privacy Shield. Nachdem das Safe Harbor Abkommen mit den USA bereits hohe Wogen geschlagen hatte und 2015 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurde, soll der Privacy Shield nun den Datentransfer in die USA regeln. … Weiterlesen

Safe Harbor – Endlich verständlich

Safe Harbor: Europaflaggen wehen vor einem Hochhaus im Wind.

Viele große Unternehmen wie Facebook, LinkedIn oder PayPal haben ihren Sitz in den USA. Was dürfen US-Unternehmen mit den Daten der EU-Bürger tun? Können US-Behörden auf diese Daten zugreifen? Um diese Fragen und um die rechtliche Regelung der Verarbeitung personenbezogener Daten ging es bei dem Safe Harbor Abkommen. Dieses Abkommen wurde im Jahr 2000 abgeschlossen … Weiterlesen