Die schwere Belastung für die Datenverantwortlichen

Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER

Die DSGVO legt den Schwerpunkt auf die Verantwortlichkeit der Beteiligten. Anders als die Richtlinie von 1995 (dem ersten großen europäischen Datenschutzgesetz) ist keine vorherige Genehmigung oder Erklärung erforderlich. Das ist ein kluger Schachzug der Entwickler: Der Mangel an vorheriger Kontrolle trägt dazu bei, den Aufwand zur Einhaltung der neuen Regeln akzeptabel zu halten.

Wie bereits erwähnt, benennt die DSGVO in jeder Struktur einen „Verantwortlichen“, der für die Einhaltung der Vorschriften und die ordnungsgemäße Funktion der Datenverarbeitung verantwortlich ist. Die Aufgaben dieses Verantwortlichen sind anspruchsvoll: Er muss nicht nur die entsprechenden Maßnahmen ergreifen, sondern auch nachweisen können, dass die Verarbeitung gemäß der Verordnung erfolgt (Art. 24-1). Dies ist keine Pflicht, aber der Verweis auf einen Verhaltenskodex (Art. 40) oder eine Zertifizierung (Art. 42), wie sie von den Aufsichtsbehörden empfohlen wird, kann den erforderlichen Nachweis erleichtern.

Der Leitsatz des Verantwortlichen ist einfach: Verwenden Sie so wenig personenbezogene Daten wie möglich. Artikel 25 empfiehlt daher die bereits oben erwähnte „Pseudonymisierung“ und „Minimierung“. Er ergänzt das Prinzip des datenschutzfreundlichen Vorgehens: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass durch Voreinstellungen nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist“ (Art. 25-2). Im Gegensatz zur derzeitigen Praxis, bei der alles „erfasst“ wird, sofern nicht ausdrücklich etwas anderes angegeben ist, darf nun nur noch das verwendet werden, was zur Erreichung des angegebenen Zwecks unbedingt erforderlich ist. Der datenschutzfreundliche Vorgehen scheint in gewisser Weise die Datenminimierung zum Zeitpunkt der Datenerhebung zu ergänzen.

Zwei Fachkräfte können gemeinsam für die Verarbeitung verantwortlich sein; in diesem Fall wird die Rolle jedes Einzelnen genau definiert und der betroffenen Person mitgeteilt (Art. 26). Sind die Verantwortlichen nicht in der Europäischen Union niedergelassen, benennen sie einen Vertreter mit Sitz in einem Mitgliedstaat, der als Ansprechpartner für die betroffene Person und die Aufsichtsbehörden fungiert (Art. 27). Die Beauftragung eines Subunternehmers ist möglich, sofern dieser ausreichende Garantien dafür bietet, dass die Verarbeitung im Einklang mit der DSGVO erfolgt (Art. 28-1).

Die Führung eines „Verzeichnisses der Verarbeitungstätigkeiten“ ist verpflichtend (Art. 30). Es muss die Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung, die Kategorien der betroffenen Personen, Daten und Empfänger, etwaige Übermittlungen in Drittländer, die Löschfristen sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen enthalten. Dieses Register ist der Aufsichtsbehörde auf Anfrage vorzulegen. Für Unternehmen oder Organisationen mit weniger als 250 Beschäftigten ist es nicht verpflichtend, „es sei denn, die von ihnen vorgenommene Verarbeitung birgt voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen, sofern sie nicht nur gelegentlich erfolgt…“ (Art. 30-5). Vorsicht also: Die Unternehmensgröße allein ist kein ausreichendes Kriterium für die Befreiung von der Registerpflicht. Wenn Sie häufig Daten verarbeiten oder Ihre Tätigkeit in irgendeiner Weise mit den „Rechten und Freiheiten natürlicher Personen“ in Verbindung gebracht werden kann, sind Sie verpflichtet, ein Verzeichnis der durchgeführten Tätigkeiten zu führen.

Eine Verordnung ist kein technisches Handbuch. Artikel 32, der sich mit der Sicherheit der Datenverarbeitung befasst, erinnert dennoch an einige grundlegende Punkte: Pseudonymisierung und Verschlüsselung, Mittel zur Gewährleistung der Vertraulichkeit und Integrität sowie die Wiederherstellung der Verfügbarkeit und des Zugangs zu den Daten im Falle eines Vorfalls. Die Verfasser des Textes vernachlässigen dabei nicht das Risiko von Hackerangriffen: „Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die mit der Verarbeitung verbundenen Risiken zu berücksichtigen, insbesondere die Risiken durch Vernichtung, Verlust, Veränderung, unbefugte Weitergabe personenbezogener Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, oder den unbefugten Zugriff auf diese Daten, ob unbeabsichtigt oder unrechtmäßig“ (Art. 32-2). Mit anderen Worten: Ein Verarbeitungssystem gilt nur dann als konform, wenn es die erforderlichen, zumindest maximalen Garantien in Bezug auf Datenschutz und -sicherheit bietet. Wir erinnern uns an den Aufruhr, der durch den Hack der Mitgliederdatenbank der nordamerikanischen Dating-Website für Verheiratete ausgelöst wurde, als Zehntausende vertraulicher Profile im Internet veröffentlicht wurden.

Wird trotz der getroffenen Vorkehrungen eine Verletzung des Schutzes personenbezogener Daten festgestellt, muss der Verantwortliche die Aufsichtsbehörde innerhalb von 72 Stunden informieren, „es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ (Art. 33-1). Dieser Vorbehalt bietet einen gewissen Spielraum, auch wenn der gesamte Text nahelegt, dass er nicht missbraucht werden sollte, um ein Problem zu verschleiern. Der Bericht muss die Art der Verletzung, die ungefähre Zahl der betroffenen Personen, die wahrscheinlichen Folgen dieser Verletzung sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Problems oder zur Begrenzung seiner Folgen enthalten.

Der Verantwortliche muss das Opfer zudem schnellstmöglich über den Verstoß informieren (Art. 34). Diese Benachrichtigung ist nicht erforderlich, wenn die gestohlenen Daten „unverständlich“ sind, beispielsweise aufgrund von Verschlüsselung, oder wenn die getroffenen Maßnahmen keine Risiken für die Rechte und Freiheiten der betroffenen Person bedeuten oder wenn eine solche Benachrichtigung „einen unverhältnismäßigen Aufwand erfordern würde“. In solchen Fällen ist stattdessen eine öffentliche Benachrichtigung oder eine ähnliche Maßnahme zu ergreifen, die eine ebenso wirksame Information der betroffenen Personen ermöglicht (Art. 34-3c). Dieser Absatz zielt auf Massen-Hacks ab und befreit die Verantwortlichen davon, an jede in ihren Dateien gespeicherte Person eine personalisierte E-Mail zu senden.

Abschließend sei klargestellt, dass der Geist der DSGVO eindeutig ist: In einem Unternehmen mit Tochtergesellschaften unterliegen letztere denselben Pflichten wie die Muttergesellschaft.