Gastartikel: Bereits jetzt sind Online-Händler verpflichtet, bei der Verarbeitung personenbezogener Daten technische und organisatorische Maßnahmen zu treffen, um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen des Bundesdatenschutzgesetzes (BDSG) erfüllt sind.
Mit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) am 25.05.2018 wird das Datenschutzrecht europaweit vereinheitlicht. Durch diese Vereinheitlichung ergeben sich auch einige Änderungen in Bezug auf die Anforderungen an die technischen und organisatorischen Maßnahmen.
Online-Händler sollten daher bereits jetzt überprüfen, ob die technischen und organisatorischen Maßnahmen in ihrem Unternehmen den Anforderungen der DS-GVO genügen und diese bis zum Stichtag ggf. anpassen, sonst drohen hohe Sanktionen durch die Aufsichtsbehörden.
In diesem Beitrag erklären wir, was technische und organisatorische Maßnahmen sind und wie diese in ihrem Shop umgesetzt werden können, um sich nicht der Gefahr von Sanktionen durch die Aufsichtsbehörden auszusetzen.
Was sind Technische und organisatorische Maßnahmen?
Technische Maßnahmen sind all jene, welche sich physisch umsetzen lassen, etwa durch bauliche Maßnahmenwie Alarmanlagen oder durch Soft- und Hardwarevorgaben wie etwa passwortgeschützte Benutzerkonten. Die technischen Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang selbst.
Organisatorische Maßnahmen dagegen betreffen Regeln, Vorgaben und Handlungsanweisungen, mit welchen Mitarbeiter zur Einhaltung des Datenschutzes angehalten werden. Diese beziehen sich auf den äußeren Ablauf bzw. die äußeren Rahmenbedingungen des Datenverarbeitungsvorgangs.
Welche Maßnahmen sind geeignet?
Im Wesentlichen sollen nach den Anforderungen der DS-GVO personenbezogene Daten vor einem Zugriff durch unberechtigte Dritte oder vor versehentlicher Löschung geschützt werden. Um dies zu verhindern verlangt die DS-GVO, dass mit den getroffenen Maßnahmen ein angemessenes Schutzniveau bei der Datenverarbeitung sichergestellt wird.
Welche Maßnahmen hierzu geeignet sind, richtet sich nach dem Stand der Technik, den Implementierungskosten und den konkreten Risiken. Dabei muss berücksichtigt werden, dass je höher das Risiko der Datenverarbeitung ist (z.B. wenn besonders sensible Daten verarbeitet werden), umso höher auch die Implementierungskosten sein können.
Was bedeutet „Stand der Technik“?
Der Stand der Technik ist ein unbestimmter Rechtsbegriff. Gemeint damit sind die bekannten und etablierten Maßnahmen, die auf dem Markt verfügbar sind. Im Online-Handel ist der Einsatz von SSL-Zertifikaten zur verschlüsselten Übertragung von personenbezogenen Daten etwa bei Bestellformularen oder Login-Seiten etabliert und daher zwingend einzusetzen. Da der Stand der Technik sich in einem steten Wandel befindet, sind Unternehmen aufgerufen, sich hier regelmäßig auf dem Laufenden zu halten.
Müssen die Maßnahmen verpflichtend getroffen werden?
Grundsätzlich gilt, dass alle technischen und organisatorischen Maßnahmen zwar möglich aber nicht obligatorisch sind. Welche konkreten Maßnahmen zum Schutz der Daten ergriffen werden können, liegt also im Ermessen des Unternehmens. Wie bisher gilt, dass nur solche Maßnahmen umzusetzen sind, die auch verhältnismäßig sind. Entscheidend ist, dass die Summe der getroffenen Maßnahmen einem der Verarbeitung angemessenen Datenschutzniveau entspricht.
Welche Maßnahmen können getroffen werden?
Die DS-GVO gibt verschiedene Beispielkategorien vor, die dazu geeignet sein können, ein angemessenes Datenschutzniveau zu gewährleisten. Folgende Kategorien werden dabei unterschieden:
- Pseudonomysierung und Verschlüsselung personenbezogener Daten (Ersteres z.B. durch das Versehen mit einem nicht personenbezogenen Namen oder einer Nummer)
- Vertraulichkeit
Es soll verhindert werden, dass es zu einer unbefugten oder unrechtmäßigen Verarbeitung der Daten kommt. Dies kann z.B. durch bauliche Maßnahmen oder Zugangskontrollen geschehen.
- Verfügbarkeit und Belastbarkeit
Um die Daten bzw. Datenverarbeitungssysteme verfügbar und belastbar zu halten, sind sie bestmöglich gegen innere und äußere Einflüsse wie z.B. Stromausfall, Blitzeinschlag oder auch Sabotageakte zu schützen. Hierzu zählen Maßnahmen wie abgesicherte Stromanschlüsse oder Blitzableiter insbesondere in Serverräumen.
- Integrität
Es soll verhindert werden, dass Daten unbeabsichtigt geändert oder zerstört werden können (z.B. durch Virenscanner, Firewalls, Software-Updates).
- Wiederherstellung von Daten nach Zwischenfall
Die Verfügbarkeit der Daten und den Zugang zu Ihnen nach einem physischen oder psychischen Zwischenfall kann z.B. durch geeignete Back-up-Systeme, Notstromversorgung oder gespiegelte Datenbanken wiederhergestellt werden.
- Überprüfung, Bewertung und Evaluierung
Es muss regelmäßig überprüft werden, ob die Maßnahmen ihren Zweck noch erfüllen oder ob technische Fortschritte oder neu entstandene Risiken veränderte oder neue Maßnahmen erfordern. Hierzu sind etwa regelmäßige intern oder extern protokollierte Prüfungen oder Evaluierungen durch Betroffene oder Nutzer sinnvoll.
Welche Folgen drohen, wenn kein angemessenes Schutzniveau erreicht wird?
Entsprechen die getroffenen technischen und organisatorischen Maßnahmen keinem angemessenen Schutzniveau, drohen hohe Bußgelder durch die Aufsichtsbehörden, die bis zu 10 Millionen Euro bzw. bis zu 2% des gesamten Jahresumsatzes des Unternehmens betragen können.
Fazit
Online-Händler sollten bereits jetzt ihre bestehenden Maßnahmen, die sie zum Schutz sowohl ihre eigenen als der verarbeiteten Daten im Einsatz haben, überprüfen und analysieren, ob weitere Maßnahmen zur Abdeckung der neuen Schutzkategorien der DS-GVO notwendig sind. Der konkrete Anpassungsbedarf hängt davon ab, wie gut Online-Händler bereits im Bereich der technischen und organisatorischen Maßnahmen aufgestellt sind.
Regine meint
Drohen nicht sogar bis zu 20 Millionen Euro Bußgeld bzw. 4% des gesamten Jahresumsatzes oder gibt es hier Sonderregeln?
Bernadette Mohme meint
Nach Art. 83 Abs. 4 der DSGVO drohen Bußgelder in Höhe von 10 Millionen bzw. 2 Prozent des Jahresumsatzes, wenn eine Pflicht, die die technischen und organisatorischen Maßnahmen betrifft, verletzt wird. Bußgelder bis zu 20 Millionen bzw. 4 Prozent des Jahresumsatz drohen nach, wenn Pflichten nach Art. 83 Abs. 5 DSGVO verletzt werden.