(2 votes, average: 5,00 out of 5)
Loading...

Die neue EU-DSGVO – Wen haben die Aufsichtsbehörden im Visier?

7.08.2018 | Kommentare
0

Der 25. Mai 2018 war ein großer Tag in der Geschichte des Datenschutzes  – von diesem Tag an gilt die neue EU-Datenschutzgrundverordnung und Europa steht auf dem Kopf. Doch was ist tatsächlich passiert?

 

Auf den Weg gebracht hat die EU-DSGVO im Jahr 2009 der Grünen-Europaabgeordnete Jan-Philipp Albrecht, der nebenbei aber auch begeistert twittert und auf Facebook unterwegs ist. Trotz dessen oder gerade deshalb hat er damals bereits erkannt, wie wichtig es ist, dass man neue Technologien fördert, die Nutzer aber weiterhin die Hoheit über ihre Daten haben. Sein Ansatz: Die neuen sozialen Medien und digitalen Innovationen bringen einen großen Fortschritt in der Vernetzung der Menschen und dem Voranschreiten einer „smarten Welt“; allerdings muss es möglich sein, dass Twitter etc. die personenbezogenen Daten löschen, wenn man die Plattform verlässt und das Grundrecht auf Privatsphäre und die Unabhängigkeit geschützt sind.

 

 

Was ist tatsächlich passiert?

Viele Privatpersonen, Unternehmen, Vereine und Blogger haben diesen Tag, teilweise besser, teilweise weniger vorbereitet, mit Spannung erwartet. Einige Blogger haben aus Angst vor hohen Bußgeldern und Abmahnwellen ihre Blogs aus dem Netz genommen. Doch der große Knall ist zunächst ausgeblieben. Ist diese Angst überzogen?

 

Es ist Aufgabe der Datenschutz-Aufsichtsbehörden, die Anwendung der Datenschutzgrundverordnung zu überwachen und durchzusetzen. Allerdings beschränkt sich der Aufgabenbereich der Aufsichtsbehörde nicht ausschließlich auf die Kontrolle: Es ist auch Aufgabe der Aufsichtsbehörden,  in  datenschutzrechtlichen Fragestellungen beratend tätig zu sein. Die entsprechenden Regelungen sind in der DSGVO in den Art. 51-59 und Art. 31 detailliert festgehalten. Daher ist anzunehmen, dass die Behörden Unternehmen in der Anfangszeit bei Kontrollen hinsichtlich der Umsetzung der DSGVO auch beraten werden, wenn sie sehen, dass sich das Unternehmen bereits bestmöglich bemüht. Es wird allerdings keine Frist von weiteren zwei Jahren geben, bis die Aufsichtsbehörden auf ihr neues Instrumentarium aus dem Datenschutzrecht zurückgreifen, wie die Datenschutzbeauftragte von Schleswig-Holstein, Marit Hansen, dem Handelsblatt im Mai 2018 mitteilte. Dieser Verzicht würde „dem Datenschutzrecht die Zähne ziehen, die er gerade erst bekommt“ sagte Hansen. Man kann also zusammenfassen, dass die Datenschutzbehörden in der nächsten Zeit wohl nicht zu Höchststrafen greifen werden. Allerdings legen sie bei Kontrollen großen Wert darauf, dass die Unternehmen bereits handeln, um die Vorschriften der DSGVO umzusetzen.

 

 

Welche Unternehmen werden als Erstes von den Kontrollen betroffen sein?

Von den Kontrollen betroffen sein können Unternehmen aller Branchen. Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat Ende Juni einen Fragenkatalog zur DSGVO an 50 Unternehmen mit Hauptsitz in Niedersachsen zur branchenübergreifenden Querschnittsprüfung herausgeschickt. Betroffen sind hiervon allerdings zunächst große und mittelgroße Unternehmen – der kleine Handwerksbetrieb oder der Bäcker um die Ecke werden nicht Zielgruppe sein, sagt die LfD Niedersachsen, Barbara Thiel. Sie erklärt: „Es geht zum jetzigen Zeitpunkt [] nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Stattdessen möchten wir aufklären, sensibilisieren und wertvolle Hinweise geben. Trotzdem kann es natürlich zu einem entsprechenden Verfahren kommen, wenn wir während der Prüfung Verstöße gegen die DSGVO feststellen.“ Außerdem erhofft sich die Landesbeauftragte, durch die Ergebnisse Hinweise auf notwendige Schwerpunktprüfungen in bestimmten Branchen zu erlangen.

 

Der Schwerpunkt der Kontrollen von Aufsichtsbehörden wird außerdem sicherlich auch auf Unternehmen aus Branchen liegen, deren Datenverarbeitung ein besonders hohes Risiko für betroffene Personen bedeutet und die somit eine Datenschutzfolgenabschätzung (DSFA) durchführen müssen. Eine Datenschutzfolgenabschätzung ist eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten. Die DSGVO verpflichtet Unternehmen und Organisationen darauf, eine Datenschutzfolgenabschätzung nach Artikel 35 und 36 durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat].“ Wenn aus der DSFA herausgeht, dass die Verarbeitung der Daten ein hohes Risiko für die betroffenen Personen zur Folge hätte und trotz Gegenmaßnahmen weiterhin hohe Restrisiken bestehen, muss außerdem vor der Verarbeitung die Aufsichtsbehörde konsultiert werden.

 

 

Wen betrifft eine Datenschutzfolgenabschätzung?

Einige Fallgruppen, wie Profiling oder eine systematische, umfangreiche Videoüberwachung öffentlich zugänglicher Bereiche, werden als Beispiele in der DSGVO bereits genannt, bei denen eine DSFA verpflichtend durchgeführt werden muss. Auch bei der umfangreichen Verarbeitung besonders sensibler personenbezogener Daten (Artikel 9 Abs. 1 DSGVO) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO ist eine DSFA erforderlich.

 

Um die Unternehmen bei der weiteren Abwägung zu unterstützen, ist es nach Artikel 57 Abs. 1 lit. k Aufgabe der Datenschutzbehörden, weitere Verarbeitungsarten zu veröffentlichen, bei denen eine Datenschutzfolgenabschätzung notwendig ist (blacklist). Ebenso können von den Aufsichtsbehörden auch Listen  von Vorgängen veröffentlicht werden, bei denen keine DSFA notwendig ist (whitelist).

 

Solche Listen der Verarbeitungsvorgänge, die eine Datenschutz-Folgenabschätzung verlangen, haben die meisten Aufsichtsbehörden von Bund und Ländern bereits veröffentlicht. Allerdings ist ein Kritikpunkt, dass die Listen nicht einheitlich sind, obwohl die DSGVO in allen Ländern gleichermaßen gilt. Betroffen sind in jedem Falle aber wie erwartet soziale Netzwerke sowie Dating-, Kontakt-, und Bewertungsportale. Dating-Portale wurden bspw. auch in der Vergangenheit von der bayerischen Aufsichtsbehörde bereits auf Datenschutzkonformität kontrolliert. Auch Unternehmen, die Daten zum Aufenthaltsort von Personen umfangreich verarbeiten, müssen eine DSFA durchführen. Hierzu zählen Car-Sharing-Dienste, die Positions- und Abrechnungsdaten verwalten; Unternehmen, die Daten erheben, die Fahrzeuge über ihre Umgebung generieren und daraus beispielsweise freie Parkplätze oder verbesserte Algorithmen zum automatisierten Fahren ermitteln und auch Verkehrsstromanalysen auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes. Auskunfteien, Banken oder Versicherungen, die ein Scoring über Vertrauenswürdigkeit, Ausfallrisiko der Rückzahlung von Personen oder das Risiko einer bestimmten Person im Hinblick auf bestimmte Eigenschaften oder Aktivitäten zur Bestimmung einer Versicherungspolice bestimmen, sind ebenfalls betroffen. Auch werden die zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind, sowie diverse weitere Verarbeitungsvorgänge genannt, die eine DSFA erfordern.

 

Eine Datenschutzfolgenabschätzung ist folglich durchzuführen, wenn eine Form der Verarbeitung, d.h. eine konkret durchgeführte Verarbeitungstätigkeit, ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt. Bei der Abwägung, ob eine DSFA notwendig ist, führt man eine Risikoanalyse durch. Das LDA Bayern empfiehlt, das Risiko für die betroffene Person mithilfe einer Matrix auf Basis der Faktoren Eintrittswahrscheinlichkeit und Schaden zu bestimmen. Außerdem ist zu prüfen, ob nach DSGVO oder nach einer „Blacklist“ der Aufsichtsbehörde die Durchführung einer DSFA notwendig ist.

 

 

Status quo nach dem 25. Mai 2018

Mit dem einheitlichen Datenschutzstandard, der durch die EU-Datenschutzgrundverordnung geschaffen wurde, erlangt der Datenschutz in Europa erstmals gesamteuropäisch eine große Geltung. Unternehmen müssen sich an die Datenschutz-Vorschriften der europäischen Verordnung halten, unabhängig davon, in welchem Land sich die europäische Niederlassung des Unternehmens befindet. Auch durch die empfindlichen Strafen bei Nicht-Einhaltung wird dem Datenschutz in Europa erstmals großes Gehör verschafft. In Anbetracht der rasanten technologischen Entwicklungen ist dies ein dringend notwendiger Schritt, um den Schutz personenbezogener Daten im digitalen Zeitalter durchsetzen zu können.

 

Betroffene Unternehmen werden zunächst die großen Konzerne und Mittelständler sein. Auch Unternehmen aus Branchen mit besonders risikoreicher Datenverarbeitung stehen im Fokus. Aufsichtsbehörden verhängen nicht nur Bußgelder, sondern sind auch beratend und unterstützend tätig. Wobei dies natürlich weder bedeutet, dass kleine Unternehmen und Blogger vom Datenschutz ausgenommen seien, noch dass die Datenschutz-Aufsichtsbehörden ihre neuen Möglichkeiten nicht nutzen werden, um Datenschutzverletzungen durch hohe Strafen zu unterbinden.

 

Noch steckt die EU-DSGVO in den Kinderschuhen, die Aufsichtsbehörden geben immer wieder Informationen heraus, wie das neue Gesetz in konkreten Situationen umgesetzt werden soll. Des Weiteren wird momentan noch die europaweite ePrivacy-Verordnung geplant, die die EU-DSGVO ergänzt und Ende 2019 in Kraft treten soll.

 

 

 

Über die Autorin:

Tanja Fenn ist seit 2018 als Praktikantin im Team der Datenschützer bei der T-Systems MMS, das sowohl externe als auch interne Kunden rund um den Datenschutz betreut. Seit 2013 studiert sie Wirtschaftsinformatik an der Universität Passau. Ihr Motto: „Datenschutz aus Leidenschaft!“

 

 

 

(2 votes, average: 5,00 out of 5)
Loading...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.