richtige Durchführung des Kaufvertrags oder aber für die Erbringung von Dienstleistungen notwendig sind.
Die geregelten Konzepte des Datenschutzes durch Technikgestaltung („Privacy by Design“) und datenschutzfreundliche Voreinstellungen („Privacy by Default“) sind nicht neu. Bereits in den 1990er-Jahren wurden sie von der Informationsfreiheits- und Datenschutzbeauftragten Ann Cavoukian (Ontario/Kanada) aufgegriffen, um das Risikopotenzial von Datenverarbeitungssystemen und -prozessen mittels proaktiver technischer Gestaltung zu vermindern.
Ein effektiver Datenschutz kann nicht nur durch eine reaktive Ex-post-Betrachtung eines Verarbeitungsvorgangs realisiert werden. Die Einhaltung der Anforderungen der DSGVO ist nur dann möglich, wenn technische Prozesse ex ante, also im Vorhinein, mit dem Datenschutz in Einklang gebracht werden.
Artikel 25 DSGVO ist eine reine Verfahrensvorschrift und keine Voraussetzung für die Rechtmäßigkeit einer Verarbeitung i. S. d. Artt. 5 ff. DSGVO (sog. Erlaubnistatbestand).
Privacy by Design {Privacy by Design} (Art. 25 Abs. 1 DSGVO)
„Privacy by Design“ bedeutet „Datenschutz durch Technikgestaltung“. Der Datenschutz ist am besten einzuhalten, wenn er bereits bei der Einführung eines Verarbeitungsvorgangs technisch integriert ist. Anders formuliert: Der Schutz personenbezogener Daten erfolgt durch das früh- und rechtzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOM).
Diese sollten dafür ausgelegt sein, gesetzlich geforderte Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um
| a) | gesetzeskonform zu sein und |
| b) | die Rechte der betroffenen Person zu schützen. |
Privacy by Default {Privacy by Default} (Art. 25 Abs. 2 DSGVO)
„Privacy by Default“ bedeutet „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Die Werkeinstellungen sind also „datenschutzfreundlich“ auszugestalten. Der Gedanke dahinter ist, dass die Nutzer und deren Privatsphäre entsprechend geschützt sind, sie aber nicht aktiv entsprechende Einstellungen selbst vornehmen müssen.
Der Verantwortliche hat dabei sicherzustellen, dass nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen Verarbeitungszweck erforderlich sind (Zweckbindung und Datenminimierung). Dies gilt ebenfalls für die Rahmenbedingungen der Verarbeitung wie Art, Umfang, Speicherfristen und Zugänglichkeit.
Absatz 2 bezieht sich hauptsächlich auf internetbasierte Dienste wie Online-Shops oder soziale Netzwerke, bei denen durch die standardmäßige Konfiguration von Privatsphäre-Einstellungen sicherzustellen ist, dass Nutzer ihre Daten nur dem Personenkreis und nur in dem Umfang zugänglich machen, die sie vorab festgelegt haben.
Hintergrund für diese Voreinstellung ist, das Horten von Daten in Form eines „Data Warehousing“ zu vermeiden. Eigentlich ergibt sich das bereits aus den beiden Grundsätzen der Zweckbindung und Datenminimierung.
Bei den Anforderungen aus Art. 25 DSGVO handelt es sich um extrem praxisrelevante Regelungen, die allerdings keine Standardantwort erlauben und ermöglichen. Insbesondere „Privacy by Design“ ist sehr früh zu berücksichtigen und entsprechende Auswirkungen auf das gesamte Datenverarbeitungssystem sind zu beachten. Der Verantwortliche hat sich also früh- und rechtzeitig mit den Anforderungen zu befassen.
Der europäische Gesetzgeber hat die bisherige Vorabkontrolle (§ 4d Abs. 5 BDSG a. F.) nicht in die DSGVO übernommen. Sie wurde durch die Datenschutz-Folgenabschätzung (Art. 35 DSGVO;
Die Datenschutz-Folgenabschätzung (DSFA {DSFA (Datenschutz-Folgenabschätzung)}) ist ein Instrument, um das Risiko zu erkennen und zu bewerten, das für die betroffene Person (z. B. Kunde, Patient, Mitarbeiter) durch den Einsatz einer bestimmten Technologie oder eines Systems durch das Unternehmen entsteht.
Ziel einer DSFA ist es, Kriterien des operationalisierten Grundrechtsschutzes zu definieren, die Folgen von Datenverarbeitungspraktiken möglichst umfassend zu erfassen sowie objektiv und nachvollziehbar mit Blick auf die verschiedenen Rollen und die damit verbundenen Interessen so zu bewerten, dass typischen Angriffen durch Organisationen mit adäquaten Gegenmaßnahmen begegnet werden kann.
Jede Verarbeitung und jedes Verfahren personenbezogener Daten ist daher vor Beginn durch den Verantwortlichen dahin gehend zu prüfen, ob die Verarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen birgt. Für die Durchführung ist das Unternehmen verantwortlich, sprich die Stelle, die für die Verarbeitung verantwortlich ist. Der Rat des Datenschutzbeauftragten kann bei der Durchführung eingeholt werden (Art. 35 Abs. 2 DSGVO).
Die Durchführung einer DSFA gehört somit nicht zu den Aufgaben eines Datenschutzbeauftragten (DSB). Der DSB hat nach Erstellung und Zurverfügungstellung durch den Verantwortlichen die Dokumentation {Dokumentationspflichten} der DSFA zu prüfen, seiner Kontroll- und Überwachungsfunktion gem. Art. 39 DSGVO nachzukommen und das Ergebnis zu dokumentieren. Dies ist ggf. verbunden mit Empfehlungen von Abhilfemaßnahmen und Minimierung des Verarbeitungsrisikos für die betroffene Person.
Die DSFA ist vor Beginn einer Verarbeitung durchzuführen und regelmäßig zu überprüfen. Bei mehreren ähnlichen Verarbeitungsvorgängen mit ähnlich hohen Risiken reicht eine gemeinsame Abschätzung.
Erweiterte Dokumentationspflichten entstehen bei einem Datentransfer in ein Drittland. Hier sind die Risikoabschätzung und die ergriffenen Schutzmaßnahmen nach Art. 28 DSGVO zu dokumentieren (Art. 49 DSGVO) und zum Gegenstand des Verarbeitungsverzeichnisses (Art. 30 DSGVO) zu machen.
Weitere umfangreiche Dokumentationspflichten bestehen zwecks Erfüllung der Transparenzregelungen gegenüber den betroffenen Personen (Artt. 12–22, 34 DSGVO). Der Verantwortliche muss also jederzeit in der Lage sein, die Rechtmäßigkeit seiner Verarbeitungen nachzuweisen. Außerdem ist der Verantwortliche für die Einhaltung rechenschafts- und nachweispflichtig (accountability). Der Nachweis ist mittels entsprechender Dokumentationen zu führen.
Eine fehlende Dokumentation {Dokumentationspflichten} kann mit einem Bußgeld belegt werden. Die Nichtdurchführung einer DSFA und die dadurch fehlende Dokumentation einer Risikoabschätzung können mit bis zu 10 Mio. Euro bzw. 2 % des weltweiten Jahresumsatzes, je nachdem, was höher ist, sanktioniert werden. Eine besonders genaue Prüfung und Risikoabschätzung von Verarbeitungen ist somit erforderlich und wichtig.
{Sanktionen}
Ein Grund, warum die DSGVO so viel Aufmerksamkeit erlangt, sind die maßgeblichen Änderungen hinsichtlich der Bußgelder und Sanktionen. So können gem. Art. 83 Abs. 4 DSGVO bei Verstößen gegen
Art. 83 Abs. 4 lit. a–c DSGVO
| a) |
die Pflichten der Verantwortlichen und der Auftragsverarbeiter
|
