Zwischenbilanz Datenschutz-Grundverordnung: Welche technischen und organisatorischen Maßnahmen sind angemessen?
Für große Verunsicherung bei den Unternehmen hat die EU-Datenschutz-Grundverordnung (DSGVO) vom 27. April 2016 gesorgt, die nach einer Übergangsfrist nun seit eineinhalb Jahren zu beachten ist. Gerade kleine und mittlere Unternehmen äußerten vielfach Unmut wegen des hohen Aufwands und auch wegen der angedrohten Bußgelder, die bei Verstößen fällig werden können (bis zu zwei Prozent des gesamten weltweit erzielten Jahresumsatzes eines vorausgegangenen Geschäftsjahres). Die für die Aufsicht zuständigen Behörden haben bislang offensichtlich umsichtig reagiert und den Unternehmen ausreichend Zeit für die Umsetzung gelassen. Einige Aufsichtsbehörden haben in ihren Zuständigkeitsbereichen sogenannte Querschnittsprüfungen durchgeführt, indem sie Fragenkataloge an Unternehmen versandt und den aktuellen Umsetzungsstand abgefragt haben.
Ein wichtiger Aspekt bei der betrieblichen Umsetzung der DSGVO ist ein angemessenes technisches Schutzniveau, um die Sicherheit der Datenverarbeitung zu gewährleisten. Gemäß Art. 32 DSGVO muss der Unternehmer dafür geeignete technische und organisatorische Maßnahmen treffen. Dabei muss er den Stand der Technik, die Implementierungskosten und die Eintrittswahrscheinlichkeit von „Datenverletzungen“ berücksichtigen. Es ist also bestmöglich Sorge zu tragen, dass die Gefahr des Verlustes personenbezogener Daten, des Missbrauchs, der Beschädigung oder Zerstörung der verwendeten IT-Systeme (Hard- und Software) sowie deren Infrastruktur abgewendet wird. Die DSGVO lässt aber offen, was das einzelne Unternehmen konkret zu tun hat.
Richtschnur für die konkrete Umsetzung im Unternehmen kann der Maßnahmenkatalog in Art. 32 DSGVO sein, wenngleich dieser nicht abschließend geregelt ist. Nachfolgend einige Maßnahmen, die in den meisten Unternehmen von Relevanz sein dürften:
Pseudonymisierung und Verschlüsselung: Die IT-Technik im Unternehmen sollte ermöglichen, personenbezogene Daten zu pseudonymisieren und zu verschlüsseln, um sie dann verarbeiten zu können (z. B. Auswertungen für Werbezwecke und Analyse von Nutzerverhalten). Eine Pseudonymisierung von Daten ist bei vielen Verarbeitungsvorgängen von Vorteil. Beispielsweise kann eine Datenverarbeitung im Direktmarketing auf das sogenannte „berechtigte Interesse“ des Unternehmers gestützt werden. Bei diesem Einwilligungstatbestand ist aber immer eine Interessenabwägung vorzunehmen. Wenn personenbezogene Daten pseudonymisiert verarbeitet werden, fällt eine solche Interessenabwägung eher zugunsten des Unternehmers aus.
Werden personenbezogene Daten übertragen, sollte der Unternehmer für eine ausreichende Verschlüsselung Sorge tragen. So ist beispielsweise eine Verschlüsselung mittels eines SSL- oder TLS-Protokolls für Kontaktformulare auf Websites zwingend geboten. Nutzt der Unternehmer auf Websites Kontaktformulare ohne eine solche Verschlüsselung, stellt dies einen datenschutzrechtlichen Verstoß dar und kann zudem als Wettbewerbsverletzung von Mitbewerbern abgemahnt werden. Die konsequente Anwendung von Verschlüsselungstechnik hat zudem den Vorteil, dass im Falle von Datenschutzverstößen keine Benachrichtigungspflicht gegenüber der betroffenen Person besteht. Wenn der Unternehmer neue EDV-Anlagen anschafft bzw. seine IT-Infrastruktur „updated“, sollte er also darauf achten, dass die neue Hard- und Software über entsprechende Verschlüsselungstechniken verfügen.
Vertraulichkeit und Integrität: Der Unternehmer als Verantwortlicher der Datenverarbeitung hat auch zu gewährleisten, dass die genutzten IT-Systeme (u. a. Hard- und Software, Netzwerktechnik, Embedded Systeme) die Vertraulichkeit und Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitung sicherstellen. Beispielsweise sind zur Sicherstellung der Vertraulichkeit folgende Maßnahmen zu empfehlen: Zutrittskontrollen (z. B. Zugangsbeschränkung zu Datenverarbeitungssystemen durch bauliche Maßnahmen, gesicherte Zugangstüren und Zugangskontrollsysteme), Rechtemanagement (z. B. Einrichtung besonderer Nutzerkonten für Zugang zu bestimmten Daten) sowie gegebenenfalls Authentifizierungsmaßnahmen (je nach erforderlichem Schutzniveau: Zugangskarten, PIN-Codes und Passwörter, Fingerprint, Iris-Muster).
Werden Passwörter im Unternehmen ausgegeben, so sollte die Länge von sechs Zeichen nicht unterschritten werden. Die Zeichen sollten aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen gewählt werden. Zudem sollte systemseitig sichergestellt werden, dass die Passwörter in regelmäßigen Zeitabständen (z. B. halbjährig) gewechselt bzw. erneuert werden müssen. Je nach Risikobedarf sollte im Falle einer mehrfachen falschen Eingabe eines Passworts der Zugang zeitweise gesperrt werden, bis die Berechtigung geklärt ist. Im Idealfall haben nur diejenigen Personen im Unternehmen Zugang zu personenbezogenen Daten, die zur Erfüllung ihrer Aufgaben im Unternehmen darauf angewiesen sind.
Zudem sollten Maßnahmen getroffen werden, die sicherstellen, dass gespeicherte Daten nicht unbefugt verändert oder gestohlen werden können (Integrität), z. B. durch Schadsoftware von außen. Hier hat der Unternehmer sicherzustellen, dass er integritätssichernde Maßnahmen wie Firewalls und Antiviren-Scanner vorhält sowie regelmäßig die von den IT- und Software-Anbietern empfohlenen Sicherheitsupdates durchführt.
Wiederherstellung von Daten: Schließlich muss der Unternehmer sicherstellen, dass personenbezogene Daten nach einem Zwischenfall wiederhergestellt werden können. Dies lässt sich durch regelmäßige Sicherungen der gespeicherten Datenbestände erreichen.
regelmäßige Evaluierung: Die technischen und organisatorischen Maßnahmen sollten regelmäßig – mindestens alle zwei Jahre – daraufhin überprüft werden, ob sie angepasst werden müssen, um ein angemessenes Schutzniveau zu gewährleisten.
Angemessenheit der Maßnahmen: „Angemessen“ bedeutet, dass die konkreten Umstände im Unternehmen und die Kosten für die Umsetzung der Maßnahmen im richtigen Verhältnis zum Schutzzweck stehen müssen. Es kommt immer auf den konkreten Einzelfall an, aber der Unternehmer muss grundsätzlich keine überzogenen, unverhältnismäßigen technischen Maßnahmen im Betrieb vornehmen.
Neuerungen durch das Datenschutzanpassungsgesetz: Mit dem zweiten Datenschutzanpassungsgesetz hat der Bundestag das Datenschutzrecht des Bundes an die seit Mai 2018 geltende DSGVO angepasst und zahlreiche Gesetze mit den Vorgaben der DSGVO in Einklang gebracht. Für die Praxis bedeutsam sind u. a. diese Änderungen: Die Bestellung eines Datenschutzbeauftragten wurde vereinfacht. Ein Datenschutzbeauftragter muss erst bestellt werden, wenn im Betrieb mindestens 20 Personen ständig personenbezogene Daten verarbeiten (bisher mindestens zehn Personen). Wenn von Beschäftigten datenschutzrechtliche Einwilligungen eingeholt werden, ist dafür nicht mehr die Schriftform notwendig. Die Einwilligung kann nun schriftlich oder elektronisch (z. B. per E-Mail) erfolgen.
Es gibt viele Gesichtspunkte, die bei der Umsetzung der DSGVO zu beachten sind und die die Unternehmen weiter im Blick haben sollten. Viele Regelungen sind allerdings sehr unbestimmt und allgemein formuliert. Zahlreiche offene rechtliche Fragen werden wohl durch die Aufsichtsbehörden und die Gerichte entschieden werden. Deshalb ist zu empfehlen, die Umsetzung der datenschutzrechtlichen Vorschriften im Unternehmen turnusgemäß zu überprüfen bzw. überprüfen zu lassen. Damit bleibt man auf dem aktuellen Stand und kann im Fall einer behördlichen Überprüfung fundiert Rede und Antwort stehen.
