Anwendungsbereich. 1.1 Sachlicher Anwendungsbereich der DSGVO

Transkript

1

2 Anwendungsbereich 1.1 Sachlicher Anwendungsbereich der DSGVO Die Datenschutz-Grundverordnung (in Folge: "DSGVO") gilt für die ganz oder teilweise automatisierte Verarbeitung oder Übermittlung von personenbezogenen Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert werden. Der Anwendungsbereich der DSGVO ist technologieneutral, weshalb nicht nur die automatisierte Datenverarbeitung, sondern auch die manuelle Verarbeitung personenbezogener Daten von der Schutzwirkung der DSGVO umfasst ist. Ausnahmen bestehen va für rein persönliche oder familiäre Tätigkeiten und für Tätigkeiten im Bereich der nationalen Sicherheit. Für natürliche Personen soll diese "Haushaltsausnahme" auch die Verarbeitung von personenbezogenen Daten im Rahmen sozialer Netzwerke umfassen. 1 Diese Ausnahme findet seine Grenze wohl dort, wo Rechte anderer verletzt werden. Als Beispiel sei das in einem sozialen Medium veröffentlichte eigene Bild, auf dem auch die beste Freundin zu sehen ist, erwähnt. Selbstverständlich hat eine solche Veröffentlichung auch den Regeln der DSGVO zu folgen. Um den sachlichen Anwendungsbereich in vollem Umfang zu verstehen, müssen die beiden Definitionen für "Verarbeitung" und "personenbezogene Daten" analysiert werden: Als "personenbezogene Daten" werden demnach "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden 'betroffene Person') beziehen." 2 Die Definition zum Datenbegriff der DSGVO erklärt weiters, dass eine natürliche Person "als identifizierbar [ ] angesehen [wird], die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann." Nach derzeitiger Rechtslage ( 4 Z 1 DSG) umfasst der Begriff der "personenbezogenen Daten" auch "indirekt personenbezogene Daten". Unter Letzteren wird verstanden, dass die Identität des Betroffenen mit keinen rechtlich zulässigen Mitteln aus den Daten rekonstruiert werden kann. Dem Begriff wurde eine negative Abgrenzung zugrunde gelegt (indirekter Personenbezug, wenn die Identität des Betroffenen zulässigerweise nicht bestimmbar ist). Die Definition der DSGVO bezieht sich im Unterschied zur geltenden Rechtslage auf "bestimmbare Personen", wobei dem Zeitgeist und den technischen Errungenschaften entsprechend zwischen zwei Kategorien an identifizierenden Informationen unterschieden wird: Zum einen können "Kennungen" (wie Standortda- 1 2 ErwGr 18. Artikel 4 Z 1 DSGVO. 2

3 ten, IP-Adressen) 3, zum anderen "besondere Merkmale" (wie physische, wirtschaftliche oder soziale Identität) zur Identifizierbarkeit einer Person führen. Letztere sind naturgemäß deskriptiv, lassen aber va bei Vorhandensein mehrerer besonderer Merkmale Rückschlüsse auf die Identität der betroffenen Person zu. Ein wesentliches Novum bringt die DSGVO im Vergleich zum derzeit noch geltenden DSG dahingehend mit sich, dass juristische Personen nicht vom Schutzbereich der DSGVO umfasst sind. Vertrauliches "Know-How" juristischer Personen sowie Geschäftsgeheimnisse sind aber nicht der Allgemeinheit "freigegeben": Künftig wird die Vertraulichkeit von Geschäftsgeheimnissen durch die Richtlinie zum Geheimnisschutz (Richtlinie 2016/943) gewahrt. Diese am im Amtsblatt der Europäischen Union verlautbarte Richtlinie dient dem Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung. Die "Trade-Secrets- Directive" gilt es bis Mitte 2018 in nationales Recht der Mitgliedstaaten umzusetzen. Der Zeitrahmen ist dabei gleich getaktet mit der Vorbereitungszeit auf die DSGVO. Da jedoch der Schutzbereich der "Trade-Secrets-Directive" für juristische Personen gegenüber dem Schutzbereich des DSG nur ein eingeschränkter ist, wird es künftig umso wichtiger sein, gesonderte Vertraulichkeitsvereinbarungen mit Geschäftspartnern zu treffen. Zusätzlich werden für Unternehmensdaten die schon derzeit geltenden einschlägigen Bestimmungen des Strafgesetzbuchs und des Gesetzes gegen den unlauteren Wettbewerb an Bedeutung gewinnen. 1.2 Räumlicher Anwendungsbereich der DSGVO Im Unterschied zum DSG erhebt die DSGVO in territorialer Hinsicht einen sehr weitreichenden Anspruch: Sie soll für alle Datenverarbeitungen personenbezogener Daten von EU-Bürgern gelten. Insofern gilt sie räumlich für Verarbeitungen personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters innerhalb der EU gleich, ob die Verarbeitung der Daten selbst in der Union stattfindet. Der Anwendungsbereich der DSGVO erstreckt sich in drei Fällen zudem auch auf Verarbeiter außerhalb der EU: bei gezieltem Anbieten von Waren oder Dienstleistungen an Betroffene innerhalb der EU; 4 bei Profiling von Betroffenen innerhalb der EU; 5 aufgrund völkerrechtlicher Bestimmungen ErwGr 30. ErwGr 23. ErwGr 24. ErwGr 25. 3

4 Durch dieses sog "Markttorprinzip" soll das europäische Datenschutzrecht künftig auf "in der EU tätige Unternehmen" überbunden werden, unabhängig von dem Vorhandensein einer Niederlassung innerhalb der Union. Ebenso sollen Verarbeitungsvorgänge von außerhalb der EU den Regeln der DSGVO folgen, sofern EU- Bürger betroffen sind. Bei der Beurteilung, ob Waren oder Dienstleistungen in einem Mitgliedsstaat angeboten werden, wird gesamthaft zu beurteilen sein. Der bloße, auch in der EU abrufbare, Internetauftritt reicht dafür nicht. 7 Unerheblich ist allerdings ob es sich um entgeltliche oder unentgeltliche Angebote handelt. 8 In den Erwägungsgründen wird klargestellt, dass das "Beobachten" von EU- Bürgern weit zu verstehen ist. 9 Darunter wird jede derzeit bekannte Form des "Trackings" oder "Profilings" zu verstehen sein. Ob sich die mit dem Markttorprinzip angesprochenen Großkonzerne (etwa Google Inc., Facebook Inc.) tatsächlich dem Regime beugen werden, bleibt abzuwarten und wird wohl erst nach etlichen vorangegangenen Rechtsstreitigkeiten geklärt werden. Für österreichische Unternehmen bedeutet dieser erweiterte Anwendungsbereich bspw, dass ein im EU-Ausland lozierter Outsourcingpartner (man denke an einen Cloud-Dienstleister in Indien) ebenso den Regularien der DSGVO unterliegt wie sein europäischer Auftraggeber. Dies hat zur Folge, dass das österreichische Unternehmen als Verantwortlicher dafür Sorge leisten muss, dass der Ourtsourcingpartner diese Regularien auch erfüllt sowie dass das dem Outsourcing-Verhältnis zugrunde liegende Vertragswerk den DSGVO-Anforderungen entsprechen muss. Insofern besteht eine Verpflichtung, über die in Art 28 DSGVO genannten Pflichten mit dem im Drittland gelegenen Auftragsverarbeiter eine adäquate Vereinbarung zu treffen. 2 Datenschutz-Folgenabschätzung und vorherige Konsultation 2.1 Die Datenschutz-Folgenabschätzung und wann sie durchzuführen ist Ein Grundgedanke, der sich durch die gesamte DSGVO zieht, ist die künftige Verstärkung der Eigenverantwortlichkeit der Verantwortlichen. Eine Spielart dieses Gedankens ist die Datenschutz-Folgenabschätzung, die wahrscheinlich zur Ablösung des Datenverarbeitungsregisters in Österreich führen wird. 10 Die Datenschutz-Folgenabschätzung (im Englischen: Privacy Impact Assessment, oder kurz: "PIA") ist eine Risikoanalyse, die bestimmten Datenverarbeitungen vorauszugehen hat ErwGr 23. Ebd. ErwGr 24. Dies entspricht auch der derzeitigen Auffassung der Datenschutzbehörde ( Abruf am ). 4

5 Kurz zusammengefasst, hat ein Verantwortlicher die Risiken und Folgen einer von ihm geplanten Datenverarbeitung abzuschätzen, wenn die Art der Datenverarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen in sich birgt. Ein solches potentiell hohes Risiko wird insbes bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung angenommen. 11 Das bedeutet, dass bspw mit der Verarbeitung von sensiblen Gesundheitsdaten ein höheres Risiko korreliert, als etwa bei der bloßen Stammdatenverarbeitung (zb von Namen und - Adressen). Hinsichtlich des Umfangs der Datenverarbeitung wird sowohl auf den Umfang der Daten selbst als auch auf die Anzahl der Betroffenen, bzw auch auf die Anzahl der an der Verarbeitung Beteiligten (= Fälle der gemeinsamen Verarbeitung ) abzustellen sein. Bei der Beurteilung der Umstände werden bspw die Art der Datenerhebung oder die potentielle weitere Verarbeitung (wenn zweckähnliche Verarbeitungen angedacht werden) abzuwägen sein. Damit untrennbar verknüpft sind die Beurteilung der Verarbeitungszwecke und die Frage, ob die Daten nur für die Zwecke verarbeitet werden für die sie erhoben werden. Die Grundverordnung enthält nur eine kleine beispielhafte Aufzählung an Fällen, in denen ein hohes Risiko zu erwarten und daher eine Datenschutz- Folgenabschätzung jedenfalls durchzuführen ist: Ein solch hohes Risiko ist insbesondere dann zu erwarten, wenn i. eine systematische und umfassende Bewertung persönlicher Aspekte von natürlichen Personen, die auf einer automatisierten Verarbeitung einschließlich Profiling basiert und als Grundlage für Entscheidungen dient, die eine Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; oder ii. iii. eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten erfolgt; oder öffentlich zugängliche Bereiche systematisch und umfangreich überwacht werden. Die Datenschutz-Folgenabschätzung sollte jedenfalls die geplanten Verarbeitungsvorgänge systematisch beschreiben sowie die Zwecke und die verfolgten berechtigten Interessen der geplanten Datenverarbeitung darlegen. Darüber hinaus muss aus der Datenschutz-Folgenabschätzung die Notwendigkeit sowie die Verhältnismäßigkeit des Verarbeitungszwecks hervorgehen und die Risiken für die Rechte und Freiheiten der Betroffenen bewertet werden. Letztlich muss aus der Datenschutzfolgenabschätzung auch hervorgehen, mit welchen geplanten Abhilfemaßnahmen, dazu zählen ua Garantien und Sicherheitsmaßnahmen zum 11 Artikel 35 DSGVO. 5

6 Schutz der Rechte und Freiheiten der Betroffenen, den Risiken Einhalt gebieten sollen. 2.2 Der "Mindestinhalt" einer Datenschutz-Folgenabschätzung Wie geht man nun am besten an die Datenschutz-Folgenabschätzung heran? Artikel 35 Absatz 7 der DSGVO enthält dafür Regeln: Quasi als Mindestinhalt sind die geplanten Verarbeitungsvorgänge systematisch zu beschreiben, wobei jedenfalls der Verarbeitungszweck mit zu beschreiben ist. Ebenso ist eine Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck der Datenverarbeitung vorzunehmen. Darauf aufbauend, hat die Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen zu erfolgen. Diese Risikoevaluierung ist der eigentliche Kern der Datenschutz-Folgenabschätzung und es verbirgt sich hinter diesem Schritt gewissermaßen ein "Gesamtscreening" der DSGVO um herauszuarbeiten in welche Betroffenenrechte mit der Datenverarbeitung eingegriffen wird (zb besteht die Gefahr einer Datenverwendung die nicht im Einklang mit einer Regelung der DSGVO ist? Wie hoch ist die Realisierungswahrscheinlichkeit eines bestimmten Risikos? etc). Wurden diese Risiken erfolgreich identifiziert, so sind in einem nächsten Schritt die geplanten Abhilfemaßnahmen zur Bewältigung dieser Risiken (inkl Garantien, Sicherheitsvorkehrungen und Verfahren zum Schutz der Daten/Nachweis der Compliance) festzulegen. Als Abhilfemaßnahmen in Betracht kommen ua Pseudonymisierungs- oder Anonymisierungsmaßnahmen; jedoch können möglicherweise auch Zugriffsbeschränkungen oä dem Risiko ausreichend Einhalt gebieten. 2.3 Im Zweifel: Vorabkonsultation Was ist mit dem Ergebnis der Datenschutz-Folgenabschätzung zu tun? Kommt man zu dem Ergebnis, dass die Datenverarbeitung datenschutzrechtlich zulässig ist, kann sie ohne weiteres aufgenommen werden. In Zweifelsfällen wenn die Folgenabschätzung ergibt, dass die neue Datenverarbeitung zu risikobehaftet ist und es dem Verantwortlichen nicht ausreichend gelingt Abhilfemaßnahmen, die dem Risiko adäquat begegnen, selbst zu definieren, so ist ist die Aufsichtsbehörde vorab zu konsultieren. Zweck dieser Kontaktaufnahme ist grds die Eindämmung des identifizierten Risikos. Die Aufsichtsbehörde hat acht Wochen Zeit eine Empfehlung abzugeben und adäquate Abhilfemaßnahmen vorzuschlagen. Optional ist die Frist um weitere sechs Wochen verlängerbar. Kommt die Aufsichtsbehörde allerdings zu dem Ergebnis, dass die intendierte Datenverarbeitung nicht mit der DSGVO in Einklang zu bringen ist, kann sie diese untersagen. 2.4 Umgang in der Praxis Zum einen hat die Aufsichtsbehörde die Möglichkeit, Listen mit Datenverarbeitungen zu erstellen, die eines PIAs jedenfalls bedürfen ("positive Liste") bzw auch eine "negative Liste" mit Fällen, die kein PIA erfordern. An diesen Listen können sich 6

7 die Unternehmen orientieren. Wünschenswert wäre, dass diese Listen sobald als möglich geschaffen werden, um in der Praxis die Vorbereitung auf die DSGVO zu erleichtern. Zum anderen sind die Unternehmen selbst dazu angehalten, zeitnah zu reagieren, um Verzögerungen einer geplanten Datenverarbeitung entgegenzuwirken. Projektpläne sollten ausreichend Zeit für die Durchführung eines PIAs vorsehen. Dazu braucht es neben dem datenschutzrechtlich geschulten Personal ebenso eine interdisziplinäre Zusammenarbeit mit technisch geschultem Personal, die mit der Struktur des Unternehmens und den Datenflüssen vertraut sind. Darüber hinaus empfiehlt es sich bereits jetzt Checklisten und Dokumentationsstandards einzuführen, um die Herausforderung einer Datenschutz-Folgenabschätzung strukturiert, nachvollziehbar und rechtzeitig durchführen zu können. Mitumfasst sein sollte die Erstellung von Formularen, als Vorlage für die Durchführung einer Datenschutz- Folgenabschätzung, ebenso sollten interne Richtlinien zur Durchführung von Privacy Impact Assessments erstellt werden. Diese sollten definieren, wann ein PIA durchzuführen ist, wer verantwortlich ist und ab wann die Aufsichtsbehörde zu konsultieren ist. 3 Verzeichnis von Verarbeitungstätigkeiten 3.1 Die Dokumentationspflicht für jede Datenverarbeitung Die Datenschutz-Folgenabschätzung ist nur eine Facette der durch die DSGVO neu geschaffenen unternehmensinternen Dokumentationspflichten. Eine weitere Facette, die nicht nur die risikobehafteten Datenverarbeitungen betrifft, ist die verpflichtende Führung des Verzeichnisses von Verarbeitungstätigkeiten. Art 30 DSGVO sieht vor, dass sowohl Verantwortliche als auch Auftragsverarbeiter ein solches internes Verzeichnis zu führen haben. Für Auftragsverarbeiter führt dies zu einer faktischen doppelten Verzeichnisführung: Er ist einerseits verpflichtet, seine eigenen Verarbeitungsvorgänge (zb Personaldatenverarbeitung, Kundendatenverarbeitung etc) in einem Verzeichnis zu erfassen. Andererseits ist er auch verpflichtet für Kunden, für die er Datenverarbeitungen als Auftragsverarbeiter vornimmt, ein Verzeichnis über diese "Fremd-Datenverarbeitungen" zu führen. In diesem Verzeichnis muss jede Verarbeitungstätigkeit, die der Zuständigkeit des jeweiligen Verantwortlichen/Auftragsverarbeiter unterliegt, aufgenommen werden. Einziger Zweck des Verfahrensverzeichnisses ist es, die Einhaltung der DSGVO darzulegen und zwar zur etwaigen Vorlage bei der Aufsichtsbehörde "damit diese die betreffenden Verarbeitungsvorgänge anhand dieser Unterlagen kontrollieren kann" ErwGr 82. 7

8 Ausnahmen von der Verzeichnisführungspflicht wurden geschaffen, doch dürfte es sich dabei wohl nur um Ausnahmen theoretischer Natur handeln: Kleinere Unternehmen (unter 250 Mitarbeitern) sind grds nicht verpflichtet ein solches Verzeichnis zu führen; es sei denn (i) die Verarbeitung ist mit einem erheblichen Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden, oder (ii) die Verarbeitung betrifft besonderer Datenkategorien isd Art 9 Abs 1 DSGVO/Daten über strafrechtliche Verurteilungen, oder (iii) die Datenverarbeitungen wird "nicht nur gelegentlich" 13 durchgeführt. Mit der letztgenannten Ausnahme von der Ausnahme sind auch kleinere Unternehmen sehr schnell wieder zur Verzeichnisführung verpflichtet: Trotz der kleineren Struktur werden alle "Grundfunktionen" des Unternehmens, wie etwa die Buchhaltungsdatenverarbeitung, Personalaktenführung, oder die Kundendatenbankenverwaltung, in einem Verzeichnis erfasst werden müssen. 3.2 Der "Mindestinhalt" des Verarbeitungsverzeichnisses Art 30 DSGVO schreibt einen bestimmten Mindestinhalt für die zu einer Datenverarbeitung zu erfassenden Informationen vor: Demnach sind quasi als Ausgangsbasis neben dem Namen und den Kontaktdaten des für die Verarbeitung Verantwortlichen (bzw eines etwaigen Datenschutzbeauftragten), die Verarbeitungszwecke, die Beschreibung der Betroffenenkategorien, die Beschreibung der Datenkategorien, die Empfängerkategorien (tatsächliche, beabsichtigte inkl Empfänger in Drittländern) aufzunehmen. Diese Informationen sollten zu bestehenden Datenverarbeitungen bereits jetzt bekannt sein, denn im Idealfall wurden die Datenanwendungen bereits im Datenverarbeitungsregister ("DVR") gemeldet bzw wurde ihre Kompatibilität mit einer meldebefreiten Standardanwendung 14 intern dokumentiert. Darüber hinausgehend müssen zb Drittländer im Verarbeitungsverzeichnis ausgewiesen werden, an die Daten weitergegeben werden sowie ggf geeignete Garantien für diesen Drittlandstransfer. Wichtig und neu ist, dass ein Löschkonzept in das Verzeichnis aufgenommen werden muss. Das bedeutet, Unternehmen müssen sich künftig auch detailliert mit den unterschiedlichen Aufbewahrungsfristen auseinandersetzen (es gilt, Fragen zu beurteilen wie: Wann erlischt der Verarbeitungszweck? Gibt es besondere gesetzliche Aufbewahrungsverpflichtungen, die ich zu beachten habe? etc). Einen weiteren integralen Bestandteil muss die Beschreibung der Datensicherheitsmaßnahmen bilden, wobei diese sowohl aus technischer als auch aus organisatorischer Sicht darzulegen sind Art 30 Abs 5 DSGVO. ISd Verordnung des Bundeskanzlers über Standard- und Musteranwendungen nach dem Datenschutzgesetz 2000 (Standard- und Muster-Verordnung StMV 2004), BGBl II 312/2004 idgf. 8

9 3.3 Vorbereitungsmaßnahmen Aus Unternehmenssicht empfiehlt sich eine "Dateninventarisierung" durchzuführen, wobei sofern vorhanden und aktuell der derzeitige DVR-Registerstand als Grundlage dienen kann. Bedacht zu nehmen ist ua darauf, dass die DVR- Registrierungen keinen Auftragsverarbeiter (bisher: Dienstleister) ausweisen, weil bisher nur Übermittlungsempfänger (nicht auch Überlassungsempfänger) anzuführen waren. Ziel der Dateninventarisierung sollte es sein, ein möglichst umfassendes und abschließendes Bild der unternehmensinternen Datenverarbeitungen und datenflüsse an Dritte zu bekommen. In einem weiteren Schritt sollte ein Löschkonzept erstellt werden. Skeptikern, die diesen Aufwand als übertrieben empfinden, sei ans Herz gelegt, den Bußgeldkatalog des Art 83 DSGVO zu studieren: Verstöße gegen diese Verpflichtungen sind zwar nur an die "kleine Variante" des möglichen Strafrahmens geknüpft, aber können dennoch mit Bußgeldern bis zu EUR 10 Mio oder 2% des 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden. 4 Privacy by Design & by Default 4.1 Datenschutz durch Technik "Privacy by Design" bedeutet Datenschutz durch Technik. Art 25 DSGVO legt fest, dass die Grundprinzipien der DSGVO, wie etwa jenes der Datenminimierung, bereits im Zeitpunkt der Festlegung der Mittel der Datenverarbeitung berücksichtigt werden müssen und selbstverständlich darüber hinaus auch während der Ausübung. Bei der Bestimmung der Zumutbarkeit dürfen allerdings einige Faktoren berücksichtigt werden (der Stand der Technik; die Implementierungskosten; Art, Umfang, Umstände und Zweck der Datenverarbeitung; die Eintrittswahrscheinlichkeit und Schwere möglicher Risiken). Es soll bereits in der Entwicklung von (neuer) Technologie auf die Anforderungen der DSGVO Rücksicht genommen werden. IdR hat ein Verantwortlicher jedoch nur wenig mit der Entwicklung der Technologie an sich zu tun, sondern er möchte diese zum Zwecke seiner Datenverarbeitung heranziehen. Dennoch trifft einen Verantwortlichen das Konzept des "Privacy by Design" insofern, als er schon zum Zeitpunkt der Wahl der Mittel zur Datenverarbeitung zu einer Datenminimierung und zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet ist. Das bedeutet, dass ein Verantwortlicher ein technisches Mittel zur Verarbeitung personenbezogener Daten so wählen muss, dass dieses geeignet ist, Risiken für Betroffene zu minimieren. Wenn ein Verantwortlicher daher plant bspw ein CRM- System zu implementieren, muss sich der Verantwortliche noch vor dem Kauf der Software etwa mit den Fragen beschäftigen, ob die das gewünschte Produkt dem 9

10 Stand der Technik entspricht oder etwa mit erforderlichen technischen Sicherheitsmaßnahmen kompatibel ist. Das Konzept des "Privacy by Design" ist daher eng mit der Datenschutz- Folgenabschätzung verknüpft, weil der Verantwortliche im Zeitpunkt der Wahl seines Mittels bereits wissen muss, welche datenschutzrechtlichen Risiken bei der geplanten Datenanwendung einzudämmen sind und welche Datensicherheitsmaßnahmen dazu erforderlich sein werden. 4.2 Datenschutzfreundliche Voreinstellungen "Privacy by Default" hingegen bedeutet den Zwang zur datenschutzfreundlichen Standardeinstellung. Das eingesetzte Mittel muss dementsprechend gewährleisten, dass die Datenverarbeitung nur dem definierten Verarbeitungszweck dient. Durch diese datenschutzfreundliche Standardanwendung soll va verhindert werden, dass personenbezogene Daten einer unbestimmten Zahl Dritter ohne Zutun des Betroffenen (zb durch Erteilung des Betroffenen) zur Verfügung steht. "Privacy by Default" wird va bei Online-Diensten Einzug finden und soll vorrangig dem Grundprinzip der Datensparsamkeit Rechnung tragen. Auffallend ist, dass im Unterschied zu "Privacy by Design" keine Verhältnismäßigkeitsprüfung vorgesehen ist. Bei der Umsetzung datenschutzfreundlicher Voreinstellungen dürfen folglich Implementierungskosten, oder die Art der Daten keine Rolle spielen. Verstöße gegen diese Verpflichtungen können wiederum mit Geldbußen von bis zu EUR 10 Mio oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden Datenportabilität 5.1 Anwendungsbereich und Formatvorgaben Betroffene haben gem Art 20 DSGVO das Recht personenbezogene Daten, die sie betreffen zu erhalten oder an einen Dritten zu übertragen und zwar einem strukturierten, gängigen und maschinenlesbaren Format. Darüber hinaus haben Betroffene nach der DSGVO die Möglichkeit den Verantwortlichen anzuweisen die Daten an einen Dritten direkt zu übermitteln. Die Möglichkeit dieser Datenportabilität für Betroffene wird Verantwortliche vor die Herausforderung stellen dies auch gewährleisten zu können. Verantwortliche müssen daher aus technischer Sicht sicherstellen, dass zum einen Daten eines Betroffenen aus einem System "herausgelöst" werden können und zum anderen in einem strukturierten, gängigen und maschinenlesbaren Format, das an einen Dritten übermittelt werden kann. Vor allem werden Verantwortliche, die sich Auftragsverarbeiter bedienen, darauf achten 15 Art 83 Abs 4 DSGVO. 10

11 müssen, dass die Anforderungen an die Datenportabilität vertraglich überbunden wird. 6 Verhaltenskodizes und Zertifizierung 6.1 Verhaltensregeln Sowohl Verhaltensregeln als auch Zertifizierungen verfolgen das Ziel, die Transparenz der Datenverarbeitungen und die Einhaltung mit den Anforderungen der DSGVO zu fördern. Insgesamt soll damit ein höheres Datenschutzniveau erreicht werden und das Vertrauen von Betroffenen in rechtskonforme Datenverarbeitungen gestärkt werden. Verhaltenskodizes (Code of Conducts) sollen als Auslegungshilfen für die DSGVO dienen. Die Mitgliedstaaten sind dazu angehalten, die Ausarbeitung von Verhaltensregeln zu fördern und dies nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und auch der Klein- und Mittelunternehmen ("KMU"). Entwürfe können dabei nicht nur von der Aufsichtsbehörde erstellt werden, sondern auch von Verbänden und sonstigen Vertretern von Verantwortlichen (zu denken etwa an die Fachverbände der Wirtschaftskammern). Art 40 der Grundverordnung enthält einen (bloß beispielhaften) Katalog möglicher Fragen, die in einem Verhaltenskodex geregelt werden können. Die DSGVO kann mithilfe von Verhaltenskodizes präzisiert werden zb hinsichtlich der fairen und transparenten Verarbeitung von Daten, den berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen, hinsichtlich der Erhebung personenbezogener Daten, der Pseudonymisierung personenbezogener Daten oder der Ausübung der Betroffenenrechte. Damit Verhaltensregeln allgemeine Gültigkeit erlangen, ist ein behördliches Überprüfungs- und Veröffentlichungsverfahren des Kodex vorgesehen. Dieses behördliche Überprüfungsverfahren dient auch als Korrektiv für die von Interessensvertretern erstellten Entwürfen. Verhaltensregelungen, die nur den jeweiligen Mitgliedstaat betreffen, sind der national zuständigen Aufsichtsbehörde vorzulegen und von dieser zu genehmigen. Sind hingegen mehrere Mitgliedstaaten von der Tätigkeit gleichermaßen betroffen, wird der Europäische Datenschutzausschuss 16 mit der Überprüfung, Genehmigung und Veröffentlichung beauftragt. Verantwortliche können sich diesen genehmigten und veröffentlichten Kodizes freiwillig unterwerfen. Allerdings sieht Art 40 Abs 4 DSGVO vor, dass die Kodizes einen wirksamen Kontrollmechanismus beinhalten. Dh, mit der Unterwerfung eines Verantwortlichen unter einen bestimmten Kodex muss sich der Verantwortliche in 16 Dieser setzt sich aus den Leitern der Datenschutzbehörden der EU-Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten zusammen. Er ist eine Einrichtung der Europäischen Union und soll eine einheitliche Anwendung der DSGVO in Europa sicherstellen. 11

12 einem verpflichten, sich einer Kontrolle der Einhaltung des Kodex auszusetzen. Diese Kontrollpflicht kann einer unabhängigen Stelle übertragen werden oder wird von der Aufsichtsbehörde durchgeführt. 6.2 Zertifizierungen Von den Verhaltensregeln zu unterscheiden ist die Möglichkeit von Verantwortlichen und Auftragsverarbeitern einzelne Datenanwendungen zertifizieren zu lassen. Eine Zertifizierung gem Art 42 DSGVO mindert jedoch nicht die Verantwortung eines für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeiters und zertifiziert auch nicht ein Unternehmen als solches, sondern immer nur einzelne Verarbeitungsvorgänge. Die Zertifizierung soll die Transparenz einer Datenverarbeitung erhöhen und als Nachweis dafür dienen, dass bei einem konkreten Datenverarbeitungsvorgang den Anforderungen der DSGVO entsprochen wird. Der Aufsichtsbehörde kommt wiederum eine zentrale Rolle zu - sie (bzw im europaweiten Kontext, der Europäische Datenschutzausschuss) genehmigt die Kriterien für eine Zertifizierung. Die Zertifikate selbst werden von der Aufsichtsbehörde oder von einer (noch zu schaffenden) akkreditierten Stelle erteilt. Die Gültigkeit der Zertifikate liegt bei höchstens drei Jahren; danach bedarf es einer Re-Zertifizierung des Verarbeitungsvorgangs. Ähnlich den Verhaltenskodizes dient auch eine zertifizierte Datenverarbeitung lediglich als Indiz der Compliance mit der DSGVO. 6.3 Cui bono? Verhaltensregeln und Zertifizierungen können als Nachweis geeigneter Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer dienen bzw in etwaigen Bußgeldverfahren strafmildernd wirken. Auch bei der Evaluierung der technischen und organisatorischen Maßnahmen des Datenschutzes und der Datensicherheit können Verhaltensregeln und Zertifizierungen Berücksichtigung finden. Möglicherweise werden künftig Verhaltensregeln auch eingehalten bzw Zertifizierungen errungen, um gegenüber Mitbewerbern und Kunden die Einhaltung der DSGVO zu dokumentieren, was wiederum zu Wettbewerbsvorteilen führen kann. 12

13 13