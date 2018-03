Die Zeit wird knapp, die Datenschutzgrundverordnung steht schon in den Startlöchern. Leider kommt die DSGVO als eine Art Monster daher, das eine instinktive Fluchtreaktion oder „Kopf in den Sand“-Haltung triggert. Doch es hilft alles nichts, es ist hohe Zeit, zu handeln.

Und dies trifft praktisch jeden, der im Internet aktiv ist: Onlinehändler sowieso, aber sogar „normale Websitebetreiber“, Dienstleister etc. sind gehalten, sich mit dem „Monster“ auseinanderzusetzen. Bzw. vielmehr sich damit auseinanderzusetzen, wo und wie sie welche Daten erheben und/oder bearbeiten lassen – gerade letzteres ist ja nicht ohne: Jeder Webserver erhebt Besucherdaten, jedes CMS erst recht und insbesondere marketinglastige Funktionserweiterungen legen dabei noch einmal drei Schippen drauf. Hinzu kommt, dass womöglich noch Clouddienste genutzt werden und somit auch an dieser Stelle womöglich sensible Daten an externer Stelle verarbeitet werden.

Wichtig: Dieser Artikel soll ein Weckruf und eine Ermutigung sein für alle, die es bislang vermieden haben, dem Monstern ins Gesicht zu schauen. Er soll und kann aber keine Anleitung oder komplette To-do-Liste darstellen und schon gar nicht ein juristischer Ratgeber, zumal die Autorin keine Juristin ist. Vielmehr sind die enthaltenen Auflistungen beispielhaft und nicht vollständig, ebenso wie insgesamt an dieser Stelle nicht jeder einzelne Aspekt der DSGVO angesprochen und erläutert werden kann. Der Artikel ersetzt daher nicht eine Beratung im Einzelfall durch einen Juristen. Er beleuchtet jedoch die Kernbereiche und Grundideen der EU-Datenschutznovelle und enthält darüber hinaus diverse Links zu solchen Ratgebern und Checklisten, die weitere Hinweise für ein individuelles „Abarbeiten“ der nötigen Aufgaben bieten.

Gegen die Blockade im Kopf

Zwei verbreitete Vorwürfe, die den Unwillen sich mit der DSGVO zu beschäftigen schüren, sind:

„Mal wieder erfinden die Deutschen lauter überflüssige Regeln, die keiner einhalten kann und die kein Mensch braucht.“ „Wir kleinen deutschen Händler leiden, während die großen multinationalen Konzerne fein raus sind.“

Ganz abgesehen davon, dass es nicht hilfreich ist, sich mit solchen Ansichten selbst zu blockieren: beides ist falsch. Erstens kommt die DSGVO ja gerade aus der EU und nicht aus deutscher Feder. Der Sinn dahinter ist, Händlern generell den grenzüberschreitenden Handel zu erleichtern. Denn mal Hand aufs Herz: Sind Sie informiert über die aktuellen Datenschutzregeln in Spanien, Frankreich, Polen, Belgien? Da die EU ja fordert, dass Händler generell alle Kunden in der EU bedienen müssen, ist es nur fair, für die Händler dann auch einheitliche Bedingungen zu schaffen. Hier ist nun der Vorstoß, der eine entsprechende Einheitlichkeit zumindest in Datenschutzfragen schafft. Und zweitens zeigen gerade die aktuellen Aufdeckungen rund um Cambridge Analytica, wie extrem wichtig guter Datenschutz für uns alle – persönlich, aber auch als Gesellschaft – ist.

Im übrigen gelten die Regelungen der DSGVO nicht nur für Unternehmen mit Sitz hier bzw. in der EU. Vielmehr gelten sie im Gegenteil für alle Personen mit Aufenthaltsort in der EU. Das bedeutet, auch alle multinationalen Unternehmen, „China-Händler“, Google und Facebook müssen (wie alle!) die Regelungen der DSGVO einhalten, wann immer sie mit EU-Bürgern handeln, ja sogar wann immer sie mit Personen agieren, die sich in der EU befinden – selbst wenn diese gar keine EU-Bürger sind.

Sogar Kindergärten, Schulen und Vereine – sowie alle Behörden! – müssen die Regeln der DSGVO einhalten. Und schließlich gilt das Regelwerk nicht nur für personenbezogene Daten, die elektronisch erhoben werden. Auch wer über Video oder sogar im direkten Dialog – mit Kugelschreiber und Block – personenbezogene Daten erfasst, unterliegt dabei den Regeln der DSGVO. Von einer einseitigen Belastung kleiner Händler kann mithin wirklich keine Rede sein.

Also Gedankenbarrieren beiseite und los geht’s!

Hinweis: Am kommenden Donnerstag, den 29. März 2018, führen wir im Rahmen unserer neuen Reihe „15 minutes“ von 10:30– 0:45 (11:00) Uhr ein Experten-Webinar zur DSGVO mit Martin Hahn, Datenschutzbeauftragter der Händlerbund Management AG durch. Melden Sie sich hier kostenlos an!

Im Westen nix Neues

Was will die DSGVO? Im Grundsatz geht es für uns in Deutschland eigentlich um nix Neues, denn auch bisher galt hierzulande der Grundgedanke der informationellen Selbstbestimmung und der Zwang zur Datensparsamkeit. Und dies ist auch der Kern der DSGVO, nämlich dass immer nur so wenig (personenbezogene) Daten gesammelt werden sollen, wie möglich ist. Konkret: Lässt sich ein Dienst ohne personenbezogene Daten umsetzen, so soll dies auch so umgesetzt werden. Das war auch bislang so, man denke beispielsweise einmal an Newsletter-Abos, deren Abschluss man den Nutzern auch bisher bereits ohne die Angabe ihres Namens ermöglichen musste oder das Tracking von Nutzerdaten, bei dem die IPs beschnitten werden mussten.

Grundsatz: Datenschutzinteresse versus berechtigtes Interesse an der Erhebung und Verarbeitung personenbezogener Daten

Generell erkennt die DSGVO also an, dass es begründete Interessen geben kann, warum man personenbezogene Daten benötigt. Das ist fair. Dem gegenüber schreibt auch die DSGVO fest, dass der Schutz von persönlichen Daten ein sehr hohes Gut ist. Jeder, der sich in der EU aufhält, soll die Möglichkeit haben, Herr über seine Daten zu bleiben. Auch das ist fair – und wenn man nur einmal darüber nachdenkt, wo welche Daten von einem selbst wohl überall verbreitet sind, verarbeitet werden und womöglich zu Profilen zusammengeführt werden könnten, wird man sofort merken, wie schwierig es ist, den Überblick und die Kontrolle über seine Daten zu behalten und wie wichtig daher Regelungen dafür sind, die eine Kontrolle ermöglichen. (Wer sich bisher noch nicht über die Schweinerei rund um Cambridge Analytica informiert hat, möge dies einmal kurz tun: Wer möchte psychologische Dossiers über sich angefertigt und verkauft wissen?)

Die Kernaussage der DSGVO lautet inhaltlich also in etwa:

Ja, es gibt berechtigte Interessen, personenbezogene Daten zu erheben und zu verarbeiten. Wisse aber, die Privatsphäre jedes Menschen ist ein sehr, sehr hohes Gut. Dein berechtigtes Interesse zur Datenverarbeitung muss also stets so wichtig sein, dass es das berechtigte Interesse auf Privatsphäre (Schutz der Daten) überwiegt.

Von daher bringt die DSGVO hier im Grundsatz gar keine so „böse Verschlimmerung“ mit sich, wie es oft empfunden wird. Was genau ist also tatsächlich neu? Es gibt vor allem folgende wichtige Neuerungen:

Technisch Notwendiges bedarf keiner Einwilligung (wohl aber der Information!) Dienstleister werden mit in die Pflicht genommen Das „dicke Ding“: Das Verfahrensverzeichnis Übertragbarkeit von Daten

Technisch notwendig oder „nur“ aus berechtigtem Interesse?

Zum ersten Punkt: Denken wir an das leidige Thema Cookies. Kein Webshop kommt heute noch vernünftig ohne Cookies aus. Einige der Cookies sind schlicht technisch notwendig, beispielsweise um den Warenkorb oder ein Login zu halten. Die DSGVO erkennt grundsätzlich an, dass es solche technischen Notwendigkeiten gibt – und wo dies so ist, erlaubt die DSGVO dann auch den Einsatz dieser Cookies ganz generell, also auch ohne vorherige Einwilligung des Nutzers. Demnach könnten bezüglich solcher technisch notwendigen Cookies sogar die lästigen Cookie-Notice-Balken zukünftig obsolet werden und eine Information im Rahmen der Datenschutzbelehrung ausreichen. Aber Achtung: Mit dem Inkrafttreten der kommenden ePrivacy-Verordnung in 2019 könnte auch hier wieder eine Verschärfung eintreten und das für Setzen von technisch nicht zwingend notwendigen Cookies mit personalisierten Inhalten – etwa der IP-Adresse des Nutzers – ist eine andere Sache.

Denn abseits vom technisch Notwendigen bleibt für alles was aus „berechtigtem Interesse“ erhoben wird, die Regelung: Hierfür ist (wie auch bislang) die Einholung einer Zustimmung erforderlich, wenn dabei personenbezogene sowie pseudonymisierte Daten betroffen sind, beispielsweise Namen & (private) Adresse, Mailadresse, IP, Krankheiten, aber auch Standortkennung oder „Werbekennung des Telefons“ sowie sonstige Daten, die zur Identifizierung einer eindeutigen Person führen können. Somit dürften auch besondere Vorlieben und Kaufhistorien etc. einen besonderen Schutz unterliegen.

Ebenso begrenzt der Zwang zur Datensparsamkeit den Umfang des Möglichen. Das bedeutet aber nicht, das komplette Aus für Dienste wie beispielsweise Google Analytics. So wird auch zukünftig der Einsatz unter Kürzung der erfassten IP-Adresse möglich sein. Bei Facebook-Pixeln dagegen bleibt (vorerst) das Datenschutz-Dilemmma bestehen: Da Facebook recht „schrankenlos“ mit den Daten der Nutzer – und eben auch mit denen, die es über sein Zählpixel erhält – umgeht, sehen Fachleute es derzeit als nicht umsetzbar an, eine gültige Einwilligung von den Nutzern zu erhalten. Das erscheint logisch, schließlich kann man sie gar nicht umfassend darüber aufklären, was Facebook über sein Pixeltracking alles realisiert. Andererseits: Auch Facebook ist für seine Dienste an Personen in der EU an die DSGVO gebunden und evtl. sorgt gerade die aktuelle aktuelle Aufdeckung der Datensauereien dafür, dass Facebook in Sachen Datenschutz freiwillig nachbessert nachbessern muss.

Dienstleister in die Pflicht

Zum zweiten Punkt: Oft wissen Websitebetreiber gar nicht genau, welche Daten von den verwendeten Programmen wo erhoben und wie verarbeitet werden. Dass dies so ist, macht interessanterweise gerade der verbreitete Aufschrei über das zu erstellende Verfahrensverzeichnis offensichtlich, der belegt, wie überfordert viele davon sind, einen Überblick über die bei ihnen vorhandenen und verarbeiteten Daten zu erhalten.

Diesen Umstand erkennt die DSGVO nun an und hilft Websitebetreibern bei ihrer Aufgabe, den Überblick zu bewahren, indem sie neben ihnen nun auch alle Dienstleister, Programmierer, App-Entwickler etc. in die Pflicht nimmt. Als Händler muss man also zukünftig nicht nur selbst allen an Shop- und sonstigen Softwaren beteiligten Unternehmen hinterherrennen und hoffen, von denen klare Angaben darüber zu bekommen, wo und wie welche Daten erhoben und verarbeitet werden — sondern die Dienstleister selbst sind verpflichtet, solche Auskünfte zu geben und darüber hinaus sogar proaktiv auf mögliche Datenprobleme hinzuweisen sowie generell dafür zu sorgen, dass ihre Anwendungen den Zwang zur Datensparsamkeit einhalten. Das Stichwort hierzu lautet „Datenschutz durch Technikgestaltung“ und „durch datenschutzfreundliche Voreinstellungen“. Konkret: Wo Programme entwickelt werden, sollen sie bereits auf Datenschutzbelange hin zugeschnitten werden und wo Programme vorkonfiguriert sind, müssen sie auf Sparsamkeit konfiguriert sein. Wo mehr Daten als notwendig erhoben werden, muss der Dienstleister auf mögliche Datenschutzprobleme hinweisen.

Für mich als Dienstleister ist das unbequem, denn ich muss mich noch mehr als bisher mit dem Thema Datensparsamkeit auseinandersetzen, ich muss evtl. das eine oder andere funktionelle Layout meiner Anwendungen überdenken, ggf. meine Dokumentation verbessern und ich muss meine Kunden umfangreicher informieren und eventuell auch von bestimmten Funktionen abraten. Und vor allem: Bei Vergehen droht eine Strafe nicht nur meinen Auftraggebern sondern womöglich auch mir!

Dazu gehört auch das Thema Auftragsverarbeitung: Schon aus Eigeninteresse werden seriöse Dienstleister zukünftig für jede Zusammenarbeit eine entsprechende vertragliche Vereinbarung anbieten bzw. dazu bereit sein, die geforderten vertraglichen Regelungen einzugehen. Denn auch dies bleibt bestehen: Für Verarbeitung von Daten durch Dritte (bisher: „Auftragsdatenverarbeitung“, ab DSGVO dann „Auftragsverarbeitung“) muss es immer eine entsprechende Vereinbarung geben. Laut Onlinehändler-News wird dafür künftig jedoch einen Vertrag in elektronischer Form oder ein „sonstigen Rechtsakt“ genügen, dabei muss sich Auftragnehmer zur Verschwiegenheit verpflichten.

Für Händler ist diese Inhaftnahme der Dienstleister insbesondere auch dahingehend, dass diese selbst auf die Grundsätze der Datensparsamkeit etc. achten müssen, eine faire Regelung: Denn sie bildet die Grundlage dafür, dass sie in die Lage versetzt werden, einen umfassenden und kompletten Überblick darüber zu erhalten, wo denn welche Daten genau erfasst und verarbeitet werden. Und diesen genauen Überblick benötigen sie – nicht zuletzt für das „dicke Ding“, das Verfahrensverzeichnis.

Das dicke Ding: Verzeichnis Verarbeitungstätigkeiten (VVT)

Davor haben alle Angst: Wie um alles in der Welt soll man diese Megaaufgabe schaffen, das geforderte Verfahrensverzeichnis zu erstellen?

Aber machen wir uns doch nichts vor: Auch bisher gab es den Zwang dazu, genau zu wissen, wo welche Daten verarbeitet und gespeichert werden! Denn auch heute müssen wir alle jederzeit Auskunft darüber geben können, wo wir welche personenbozogenen Daten verarbeiten. Genauso wie wir auch heute bereits auf Antrag die Löschung sicherstellen müssen (und schon allein darum auch wissen müssen, wo welche Daten erhoben werden und gespeichert liegen).

Hand aufs Herz: Wer könnte diese Antworten sofort ad hoc geben? Wer jemals eine Auskunftsanfrage in Form eines T5F („Thoms Fassung von Framstags freundlichem Folterfragebogen“) erhalten hat oder auch „nur“ eine Selbstauskunft nach §34 BDSG (Beispielbrief einer Anforderung) bearbeiten musste, weiß genau, wie aufwendig das Zusammensuchen der geforderten Informationen ist…

Genau hier setzt das Verfahrensverzeichnis an: Damit solche Auskünfte zukünftig schnell, sicher und korrekt gegeben werden können (und um einem Lösch- oder Herausgabebegehren nachkommen zu können), soll einmalig zentral dokumentiert werden, wo welche Daten überhaupt liegen bzw. von wo erhalten und wohin übertragen werden. Und auch bislang gab es schon das Werkzeug des Verfahrensverzeichnis bzw. der Verarbeitungsübersicht gemäß der §§ 4e und 4g BDSG, nur traf dies nicht alle. Nun trifft es also alle, die nicht „nur gelegentlich“ personenbezogene Datenverarbeiten. Das bedeutet: Im Onlinehandel betrifft es schlicht alle. Entsprechend groß ist der Aufschrei.

Dabei ist die Aufgabe im Grunde genau dieselbe, die auch bisher – von jedem – gestemmt werden musste, sobald auch nur eine Person eine umfangreiche Auskunft über seine Daten angefordert oder die zuverlässige Löschung derselben verlangt hat. Eine Heidenarbeit? Ja absolut! Eine neue Zumutung? Im Grunde nicht.

Also warum nicht die Pflicht zur Erstellung eines Verfahrensverzeichnisses als eine Hilfestellung ansehen: Als Tritt in den Hintern, sich endlich einen echten Überblick zu verschaffen, wo alles sensible, schützenswerte Daten im eigenen Verantwortungsbereich herumfahren. Und als Anlass, diese Erkenntnisse endlich einmal so aufzuschreiben, dass man im Ernstfall sofort auf eine umfassende Dokumentation zurückgreifen kann. Also einmal richtig ackern, aber danach mit einem Griff auch die unangenehmsten Anfragen ohne große Probleme beantworten zu können.

Ran an den Speck: Die Megaaufgabe stemmen

Wie aber lässt sich diese Riesenaufgabe meistern? Die Diskussionsgruppen und Foren sind voll mit den Fragen verzweifelter Händler nach Muster-Verfahrensverzeichnissen. Das es allerdings nicht einfach ein allgemeines Muster für alle Unternehmen geben kann, dürfte jedoch klar sein: Jeder nutzt andere Programme, andere Dienstleister, hat andere Funktionen aktiv, die mit anderen Daten arbeiten… Es gibt keine echte Abkürzung, das Verzeichnis muss jeder schon selbst erarbeiten.

Aber Hilfen dazu gibt es schon, eine ganz sinnvolle beispielsweise hier bei der Gesellschaft für Datenschutz und Datensicherheit e.V. (PDF). Ein etwas anders gestaltetes Muster – getrennt nach Auftraggeber und Auftragnehmer bei der Datenverarbeitung – bietet activemind hier an.

Einen ganz bodenständigen, aber deshalb umso praxistauglichen Ansatz vermittelte Datenschutzberater Andreas Rübsam von Condatis in seinem Webinar für den VGSD e.V. Sein Tipp ist ein Arbeitsplan über mehrere Wochen, der grob gesagt so verläuft:

Tag 0: Notizbuch anschaffen

Woche 1: Bei jedem Programmstart (bzw. Einloggen in ein Tool/in eine Website oder Cloud/bei einem Dienstleister) das Programm (Tool/DL) notieren. Apps nicht vergessen! Dabei dazuschreiben, wozu (Zweck) man dieses Programm/Tool gestartet hat. Wichtig: Dies müssen alle Mitarbeiter tun, denn im VTT muss ja später auch alle Mitarbeiter und deren Daten-Arbeiten gelistet werden!

Woche2: Alle genutzten Programme/Tools/Clouds sowie den jeweiligen Zweck zusammenschreiben und Identifizieren, welche sensiblen Daten im Tool genutzt (und woher bezogen, wohin übermittelt) werden.

Wichtig: Dabei müssen generell alle Geräte identifiziert werden, über die Zugriff auf sensible Daten genommen werden: Oft werden beispielsweise auch Smartphones genutzt und dies ist im Sinne der Absicherung nicht ganz unwichtig, insbesondere wenn dabei Geräte im Spiel sind, die auch privat genutzt werden. Und auch das noch: Neben den elektronischen Geräten gilt es auch, „analoge Speicherorte“ zu identifizieren: Wo stehen die Ordner mit den Kundendaten? Wo wird das Notizbuch mit den Notizen zu meinen Top-Kunden verwahrt? Auch diese müssen schließlich ausreichend geschützt werden.

Abschließend gilt es zu notieren, welche Datentransfers automatisch zwischen den genutzten Systemen erfolgen sowie zwischen den eigenen Systemen und weiteren Dienstleistern, etwa Scoring-/Inkasso-, Versand-/Logistik- und Paymentdienstleistern.

Nach diesen zwei Wochen sollte eine recht umfassende Liste von Programmen, Speicherorten, Verarbeitungsschritten und -zwecken, Mitarbeiterzugriffen etc. zusammengekommen sein. Zusätzlich sollte man sich noch überlegen, welche Arbeiten man nur gelegentlich vornimmt. Beispiele hierfür sind der Newsletterversand, monatliche Controllingaufgaben oder Bestelllisten-Abgleiche mit Marktplätzen wie Amazon oder eBay und Co. sowie Datenübertragungen an Steuerberater.

Nun gilt es also zum einen, diese Informationen zu sortieren. Dabei ergibt sich gleich die Möglichkeit, die eigenen Prozesse zu überdenken. Und zwar nicht nur in Sachen Datenschutz – Stichwort hier wieder „Datensparsamkeit“ -, sondern auch im Hinblick auf Prozessoptimierung. Längst wird im Onlinehandel ein guter Teil des Geldes nicht mehr im Verkauf selbst, sondern in den Prozessen verdient! Von daher sollte man die Arbeit zur Erstellung des VVT dazu nutzen, auch direkt die eigenen Prozesse zu überdenken und zu optimieren.

Darüber hinaus stehen nun folgende Aufgaben an:

Zusammenfassen der Daten zu einem Verfahrensverzeichnis

zu einem Verfahrensverzeichnis Abschließen von Verträgen (falls nicht schon geschehen) mit den beteiligten Dienstleistern unter Festlegung der Weisung, welche Daten diese wie verarbeiten dürfen (Zweckbindung)

(falls nicht schon geschehen) mit den beteiligten Dienstleistern unter Festlegung der Weisung, welche Daten diese wie verarbeiten dürfen (Zweckbindung) Identifizierung von Cloud-Tools (nicht vergessen: Maildienste!) – auch hier müssen entsprechende Vertragsgrundlagen geschaffen werden (s.u.) . Außerdem sollte geprüft werden, wie gut die Cloudsysteme in der Frage der Datensicherheit ist bzw. ob noch Nachbesserungen in der Konfiguration o.ä. möglich sind.

(nicht vergessen: Maildienste!) – auch hier müssen entsprechende Vertragsgrundlagen geschaffen werden (s.u.) . Außerdem sollte geprüft werden, wie gut die Cloudsysteme in der Frage der Datensicherheit ist bzw. ob noch Nachbesserungen in der Konfiguration o.ä. möglich sind. Sicherstellung der Datensicherheit an allen identifizierten Stellen. Das bedeutet nicht nur, dass die eigene Website entsprechend abgesichert sein muss (auch dies ja nichts Neues) , sondern darüber hinaus auch alle anderen genutzten Tools (z.B. auch durch 2-Faktor-Authorisierung). Kleine Erinnerung: Schon allein das IT-Sicherheitsgesetz sieht die Pflicht zur Stärkung der IT-Sicherheit vor, was bedeutet, dass man stets Maßnahmen nach dem „aktuellen Stand der Technik“ zu ergreifen hat.

Dabei müssen auch alle genutzten Geräte gesichert werden, beispielsweise durch verschlüsselte Festplatten, Virenschutz, physischen Zugangsschutz (Diensthandy und Notizbuch im verschlossenen Schrank statt auf dem Sofatisch). Es ist nicht nur bequem, zuhause auf dem Sofa kurz per Tablet die aktuellen Bestellungen durchzusehen – die im Onlinehandel geforderten schnellen Reaktionszeiten fordern dies geradezu. Das dafür genutzte Gerät sollte dann aber nicht dasselbe sein, das auch die Kids für Browserspiele und Youtube nutzen!

Und schließlich: Auch die Schränke mit der „analogen Datenspeicherung“ sollten natürlich verschließbar sein, was im übrigen ja auch schon immer galt.

(K)ein Problem: Datenverarbeitung im Auftrag außerhalb der EU

Ein Großteil von Cloudanbietern speichern und verarbeiten die ihnen anvertrauten Daten auf Servern und in Unternehmensstandorten außerhalb der EU. Und wir erinnern uns: Nach dem Scheitern von „Safe Harbour“ taten sich deutliche Hürden auf, wenn man Dienste nutzen wollte, bei denen sensible Daten erhoben oder verarbeitet wurden und die Standorte der dafür genutzten Dienstleister oder auch nur deren Server außerhalb der EU lagen. Beispiele hierfür sind Google Analytics, aber auch ein reines Hosting von Diensten in Übersee, Cloudserver etc. pp – die Liste kann lang werden.

Auch hier bringt die DSGVO tatsächlich eine Erleichterung, denn mit ihr gibt es nun wieder Rechtssicherheit für die Nutzung solcher Dienstleistungen. Die EU hat sogar einige Staaten sozusagen mit einer Art Siegel ausgestattet, das diesen bestätigt, in Datenschutzbelangen auf dem selben Level zu stehen wie die EU-Staaten selbst. Beispiele hierfür sind die Faröer Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz und Uruguay. Und glücklicherweise auch die USA, soweit sie an das „Privacy Shield Framework“ gebunden sind! Somit steht einer Auftragsverarbeitung durch Cloudanbieter in diesen Ländern nichts mehr im Wege, allerdings sollte man überprüfen, ob die vertragliche Grundlage vorhanden ist, also die geforderte Vereinbarung zur Auftragsverarbeitung inkl. der Verschwiegenheitserklärung und der klaren Weisung über die Verarbeitungszwecke.

Wie sag ich’s meinem Kunden?

Während der Zwang zum Verarbeitungsverzeichnis bislang die meiste Unruhe ausgelöst hat, scheint das Problem der Informationspflichten und der Einholung der Zustimmung zur Datenverarbeitung vielen Betroffenen als weniger schwierig zu erscheinen. Das ist einerseits verständlich, denn dass man seine Nutzer über die Datennutzung ausführlich belehren muss und deren Zustimmung einholen muss, ist nicht wirklich neu.

Dennoch ist die Gelassenheit an dieser Stelle etwas erstaunlich, denn die Informationspflichten, die die DSGVO einem auferlegt, sind umfangreich. Schließlich geht es ja darum, dem Nutzer eine mündige Entscheidung zu ermöglichen. Daher muss er – schriftlich, wobei dies auch in elektronischer Form erfolgen kann – sozusagen „vollumfänglich“ aufgeklärt werden. Die DSGVO spricht hier von Fairness und Transparenz. So erklären die dem eigentlichen Regelwerk vorangestellten Grundsätze:

Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind.

Dieser Anspruch führt dazu, dass der Kanon der Informationen, die dem Nutzer zur Verfügung gestellt werden müssen, sehr umfangreich ist. Händlerbund-Juristin Yvonne Bachmann hält es sogar für praktisch unmöglich, dass Händler es ohne juristischen Beistand schaffen können, diesen umfangreichen Informationespflichten nachzukommen.

So muss u.a. erklärt werden, welches die begründeten Interessen für die Verarbeitung der personenbezogenen Daten sind, welche Daten erhoben werden und wie lange diese gespeichert werden. Welche Rechte (Auskunfts-, Berichtigungs-, Beschränkungs-/Widerspruchs-, Löschungs-, Übertragungsrecht etc.) der Nutzer hat, und falls ein Profiling stattfindet, welche Algorithmen dafür genutzt werden.

Darüber hinaus reicht es in Zukunft nicht mehr aus, lediglich eine Kontaktstelle für Datenschutzbelange zu nennen. Vielmehr muss ein konkreter Ansprechpartner sowie der für die Verarbeitung der personenbezogenen Daten verantwortliche Mensch benannt werden, ebenso eine Aufsichtsstelle für etwaige Beschwerden.

Bei einer Weitergabe von Daten sind zusätzlich die auch die konkreten Empfänger der personenbezogenen Daten zu nennen, zudem die rechtliche Grundlage etc. pp. Den Abschnitt zu den gesamten Informationspflichten der DSGVO finden Sie hier.

Wichtig ist: Alle diese Informationen sollen in einer verständlichen Sprache gehalten werden. Zwar ist hier nicht konkret eine Formulierung in der sogenannten „leichten Sprache“ gefordert, jedoch sollen die Belehrungen nicht (mehr) in solch unverständlich-abstraktem „Juristensprech“ gehalten sein, wie es bisher oft der Fall ist, sondern „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“. Wer wie empfohlen juristischen Beistand bei der Formulierung der Informationen sucht, sollte darum darauf dringen, dass die Ausführungen leicht verständlich und nachvollziehbar formuliert werden. Denn wird unverständlich informiert gilt dies als nicht informiert. Achtung: Wessen Angebot sich an Kinder oder Jugendliche richtet, steht hier noch zusätzlich vor der Aufgabe, die Informationen kindgerecht zu vermitteln.

Einwilligung belegen

Allein die Information der Nutzer stellt also eine wirklich große Aufgabe dar. Doch mit der Information allein ist es nicht getan, entscheidend ist, dass der Nutzer in die Datenerhebung und -verarbeitung auch einwilligt. Wie die Information kann natürlich auch die Einwilligung auf elektronischem Wege erfolgen – soweit besteht also grundsätzlich kein Problem. Aber: Wie stelle ich als Anbieter sicher, dass ich jederzeit nachweisen kann, dass der Nutzer von mir korrekt, umfassend und verständlich aufgeklärt wurde und dann diesen Datenverarbeitungen explizit zugestimmt hat?

Die Grundsätze zur DSGVO zu dem Thema lauten (Hervorhebung durch die Autorin):

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.

Eine Idee zur Einholung der Einwilligung liegt daher in der Technik des Vorschaltfensters oder zumindest des Infobanners (beispielsweise ähnlich der bekannten „Cookie-Warner“) . Darin kann auf die Datenschutzinformation hingewiesen und die Einwilligung über das Setzen eines Häkchens abgefragt werden. Wird die Einwilligung gegeben, so muss diese allerdings auch protokolliert werden, um im Streitfall das Vorliegen der Einwilligung nachweisen zu können. Andreas Rübsam von Condatis empfiehlt, diese Einwilligung (inkl. der Details der Datenerhebung und -verarbeitung) per Mail sowohl an sich selbst (zur Dokumentation der Einwilligung), als auch an den Nutzer zu versenden. Aus Sicht eines einzelnen Shops mag diese Methode dann praktikabel sein, wenn technisch (z.B. durch einen persistierenden Cookie, für dessen Setzung natürlich ebenfalls eine Einwilligung eingeholt werden muss) sichergestellt werden kann, dass dies nur einmalig passieren muss. Aus Sicht eines Internetnutzers dürfte eine solche Vorgehensweise spätestens ab der fünften Website, die so vorgeht, nervig werden.

Es wird daher spannend sein, zu beobachten, welche unterschiedlichen Lösungen sich etablieren werden, um das Dilemma zwischen wirksam protokollierter Einholung einer Einwilligung und minimiertem Nervfaktor zu lösen. (Vorschläge gern in die Kommentare!)

Rechte gewähren: Auskünfte, Datenübertragung, -Löschung & Co.

Ist die Information wirksam (transparent) erfolgt und die Einwilligung eingeholt sowie das Verfahrensverzeichnis erstellt, bleibt die Aufgabe, den Nutzern auch die praktische Ausübung ihrer Rechte zu ermöglichen. Während es dank des hoffentlich umfassenden Verfahrensverzeichnisse relativ einfach sein sollte, geforderte Korrekturen an den erfassten personenbezogenen Daten durchzuführen oder auch Löschungen vorzunehmen (soweit dem keine Aufbewahrungspflichten gegenüberstehen), muss die Frage geklärt werden, in welcher Form die erfassten Daten bei einem Auskunftsersuchen übermittelt werden sollen sowie – und das ist neu! – wie die Daten übermittelt werden sollen, wenn die Übertragung der Informationen zur Weitergabe an einen Dritten verlangt wird.

Der einfachste Weg, Auskunft über die gespeicherten Daten zu geben, dürfte sein, dem Betroffenen einfach einen Auszug der Datenbank zur Verfügung zu stellen. Diesen Weg geht beispielsweise der Heise-Verlag in seinem Muster einer Auskunftserteilung. Allerdings mag vermutlich nicht jeder Händler die Struktur seiner CRM-Anwendung so offenzulegen, wie es ein solcher Ausdruck oder gar ein csv-Export des Nutzer-Datensatzes mit sich bringt. Es ist also nötig, sich über die Methode Gedanken zu machen, wie die erfassten Daten aus den entsprechenden Systemen exportiert und für eine Übersicht zusammengestellt werden sollen.

Noch wichtiger ist dies im Bezug auf das neue Recht zur Übermittlung der Daten zum Zweck der Weitergabe an Dritte. Denn die DSGVO fordert in Artikel 20, „Recht auf Datenübertragbarkeit“:

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln[…]

Die Idee dahinter ist, dass es Personen möglich sein soll, ihre Daten beispielsweise von einer Behörde zur nächsten „mitzunehmen“ oder auch als Kunde beim Wechsel von Anbietern ihre Datenhistorie weiterzugeben. Damit dies funktioniert, wird es standardisierte Austauschformate geben müssen. Die EU ruft konsequenterweise zur Entwicklung von „interoperablen Formaten“ auf, „die die Datenübertragbarkeit ermöglichen“.

Auch hier wird es also spannend bleiben – und zwar nicht nur im Hinblick auf die rein technischen Lösungen, sondern vor allem dahingehend, welche Anwendungsszenarien mit der Zeit entwickelt werden, bei denen von übertragenen Daten profitiert wird. Wie für ein Vorteil wäre es beispielsweise, wenn ein Onlineshop von einem Neukunden dessen Amazon-Kaufhistorie der letzten 12 Monate übertragen bekäme…

Sicherheit vs. GAU, Meldepflicht & Strafen

Kleine Ermutigung zum Weiterlesen: Gleich ist es geschafft. Dafür ist das letzte Thema allerdings auch noch einmal besonders unangenehm. Es geht um die Sicherheit. Rund um das Verfahrensverzeichnis fiel der Blick bereits auf die zentrale Aufgabe, für die absolute Sicherheit der anvertrauten Daten sorgen zu müssen. Dieser Aspekt mag vor lauter Interessensabwägungen, Auskunftspflichten und Einwilligungseinholungs-Problemen ein wenig in den Hintergrund zu treten. Die Verantwortung für die Datensicherheit ist aber von zentraler Bedeutung!

An dieser Stelle daher noch einmal der Hinweis darauf, dass gerade in Zeiten von Homeoffice und Rund-um-die-Uhr-Erreichbarkeit ein besonderes Augenmerk auch auf die Härtung (und auch den physischen Zugriffsschutz) von Smartphones, Tablets, Home-PCs etc. gelegt werden muss, über die auf Systeme zugegriffen werden, die personenbezogene Daten enthalten.

Sicherheit und Folgenabschätzung

Wer sogar Daten verarbeitet, die einem besonderen Schutz unterliegen, weil ihr Missbrauch ein besonders hohes Risiko für die betroffene Person birgt – beispielsweise Gesundheitsdaten, aber auch Persönlichkeitsprofile! – ist aufgerufen, eine Datenschutz-Folgenabschätzung zu erstellen. Das bedeutet, dass analysiert werden muss, welche Folgen die vorgesehenen Verarbeitungsvorgänge für den Schutz der personenbezogener Daten haben: Werden beispielsweise Daten zu Personenprofilen aggregiert, aus denen schließlich sensible Informationen hervorgehen wie politische Überzeugungen, ethnische Herkunft, religiöse Überzeugungen o.ä., dann bergen solche Daten ein erhebliches Risiko für die betroffene Person. Die DSGVO stellt zudem ausdrücklich auf auf neue Technologien ab: Werden neue Technologien eingeführt oder genutzt, so ist auch dabei vorab zu analysieren, welche Folgen diese für den Schutz der betroffenen Daten haben können.

Denkt man beispielsweise einerseits nur einmal daran, welche Datenmengen die digitalen Assistenten ansammeln können, was für Bewegungs- und Gesundheitsprofile „ganz nebenbei“ durch Smartphones oder Lifetracker erstellt werden und erinnert sich andererseits an den gerade aufgedeckten missbräuchlichen Dateneinsatz zur Beeinflussung von Wählern bei der zurückliegenden US-Wahl, dann zeigt dies ja deutlich, welches Gefahrenpotential in solch aggregierten Datenprofilen liegt! Big Data mag aus Marketingsicht sexy sein – der Blick desjenigen, der für die Sicherheit der Daten verantwortlich ist, sollte auf dem besonderen Risiko liegen, weswegen diese Daten eben auch einem Schutzlevel unterliegen.

Notfallplan und Meldepflicht

Weil ein Missbrauch von Daten für die betroffenen Personen womöglich schwere Folgen haben kann – angefangen bei Identitätsklau mit womöglich finanziellen Schäden bis zu Rufschädigung, Ächtung etc. – besteht eine umfassende Meldepflicht. Das bedeutet, dass (anders als bisher) Datenpannen zukünftig in jedem Fall an die zuständige Aufsichtsbehörde gemeldet werden müssen. Es besteht eine einzige Ausnahme, nämlich wenn die Datenpanne „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.

Die Meldung muss zudem schnell erfolgen, nämlich binnen72 Stunden. Bestehen durch die Datenpanne zudem erhebliche Risiken für die Betroffenen, so müssen auch diese über das Datenproblem informiert werden.

Die schnelle Meldung ist auch darum wichtig, weil die DSGVO empfindliche Bußgelder und Sanktionen vorsieht. Immer wieder in den Raum gestellt wird hier die Summe von 10.000.000 Euro oder 2% des Jahresumsatzes – je nachdem, welche Summe höher ausfällt. Tatsächlich sind dies aber nicht etwa fixen Summen, die in jedem Fall eines Verstoßen anfallen, sondern Beträge, die sozusagen als „worst case szenario“ vorgesehen sind. Wie die Berechnung tatsächlich ausfallen dürfte und welche anderen Haftungsfolgen drohen können, beschreibt die IT-Security-Infoseite SearchSecurity.de.

Das Wichtigste dabei: Aus Sorge vor Bußgeldern Datenpannen zu verschweigen, kann empfindlich nach hinten losgehen und ist daher nicht empfehlenswert! Im Gegenteil dürften sich eine gute Zusammenarbeit mit den Aufsichtsbehörden und ein funktionierender Notfallplan strafmildernd auswirken. Ein Grund mehr, die DSGVO als Anlass zu nutzen, die Sicherheitsmaßnahmen im Datenschutz zu überprüfen und wo nötig auch zu verbessern. Viel Erfolg!

Herzlich aus Hürth

Nicola Straub

Bildnachweis: Stefan Keller/Pixabay, CC0