Die vier Eckpfeiler des neuen Datenschutzrechts

Die neue, harmonisierte Datenschutz-Grundverordnung der EU wurde am 24. Mai 2016 in Kraft gesetzt und ist ab 24. Mai 2018 ohne weitere Übergangsfrist anzuwenden. Für uns ein Grund, die Datenschutz-Grundverordnung in einer Artikelserie näher zu untersuchen.

Die vier Eckpfeiler des Datenschutzes

Die Eckpfeiler bezüglich dem Datenschutz sind (angelehnt an: Markus Schäffter, 2016, Verfahrensverzeichnis 2.0):

  • Rechtmässigkeit: Zweckbindung und Notwendigkeit
  • Transparenz: Wahrung der Rechte von Betroffenen
  • Verhältnismässigkeit: Risikobasierte Massnahmen
  • Kontrollierbarkeit: Dokumentierte Verfahren

Rechtmässigkeit

Bezüglich der Rechtmässigkeit der Verarbeitung spielen insbesondere drei wichtige Prinzipien eine Rolle.

Erstens gilt ein Verbot mit Erlaubnisvorbehalt. Anders gesagt: jede Verarbeitung personenbezogener Daten ist grundsätzlich erst einmal verboten. Doch genau definierte Ausnahmen (Whitelist) erlauben die Verarbeitung. Dazu zählen für die meisten Unternehmen primär die ersten beiden der nachfolgenden Bedingungen (Art. 6):

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für bestimmte Zwecke gegeben. Zu beachten ist das Wort bestimmte, d.h. eine Einwilligung mit wolkiger, flexibler Generalvollmacht erfüllt dies nicht.
  2. Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, wobei der Betroffene entweder Vertragspartei ist oder die Verarbeitung auf Anfrage der betroffenen Person erfolgt.
  3. Die Verarbeitung dient der Erfüllung rechtlicher Verpflichtungen, denen der Verantwortliche unterliegt. Diese Bedingung wird in erster Linie Behörden und behördennahe Unternehmen die Verarbeitung ermöglichen. Ausserdem ist dies eine wichtige Grundlage für die HR-Abteilungen in Unternehmen.
  4. Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person notwendig.
  5. Öffentliches Interesse und die Ausübung öffentlicher Gewalt durch eine kann ein zulässiger Grund für eine Verarbeitung sein.
  6. Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich, sofern nicht Grundrechte und -freiheiten überwiegen die den Schutz des Betroffenen (insbesondere bei Kindern).

Zweitens: bereits im ersten Teil dieser Artikelserie angeschnitten haben wir das Thema der Zweckbindung. Die Zulässigkeit einer Verarbeitung ist jeweils für einen bestimmten Zweck zu beurteilen. Die Nutzung der gleichen Informationen für andere Zwecke erfordert eine erneute Prüfung dieser Bedingungen. Basierte die erste Verarbeitung beispielsweise auf einer Einwilligung der betroffenen Person, muss daher erneut eine Einwilligung eingeholt werden, wenn weitere Verarbeitungen einem neuen Zweck dienen.

Und zu guter Letzt gilt der Grundsatz der Notwendigkeit. Dieses Prinzip verunmöglicht es beispielsweise Verarbeitungen durchzuführen, die nicht unmittelbar mit dem zugelassenen Zweck erforderlich sind.


Praxishinweise

Die Einwilligung der betroffenen Person wird in der Praxis zumeist in den Allgemeinen Geschäftsbedingungen (AGB) eingeholt. Mit dem Akzept der AGB akzeptiert die betroffene Person daher auch die Bearbeitung der Personendaten (Einwilligung). Die Einholung der Einwilligung durch Akzept der AGB ist auch unter der neuen Grundverordnung zulässig. Aber: Verklausulierte und schlecht verständliche Klauseln in den AGB sind nicht rechtens. Die Einwilligung zur Datenbearbeitung muss klar und in einer einfachen Sprache formuliert sein. Schliesslich muss die Unternehmung jederzeit nachweisen können, dass die betroffene Person ihre Einwilligung zum Verarbeitungsvorgang gegeben hat.

Ist die Einwilligung für die betroffene Person nicht klar ersichtlich, so hat er keine Einwilligung abgegeben. Der Datenbearbeiter riskiert in diesem Fall Bussgelder in der Höhe von bis zu 4 Prozent seines Jahresumsatzes.

Kinder und Jugendliche, die jünger sind als 16 Jahre, können Einwilligung für die Verarbeitung ihrer Daten nicht erteilen. Es bedarf hier der Zustimmung ihrer Eltern respektive der gesetzlichen Vertretung.


Transparenz

Unter dem Titel der Transparenz fassen wir eine Reihe persönlicher Rechte im Zusammenhang mit dem Datenschutz zusammen.

Das Recht auf Information und Auskunft erlaubt es der betroffenen Person zu Wissen, welche persönlichen Daten verarbeitet werden und zu welchem Zweck.

Das Recht auf Widerspruch und Berichtigung ermöglicht es dem Betroffenen, falsche Angaben über Ihn korrigieren zu lassen. Wird er beispielsweise aufgrund eines Betreibungsfalls als nicht kreditwürdig eingestuft, doch es liegt eine Namensverwechslung vor, kann der Betroffene die Korrektur der Daten verlangen.

Weiter verfügen die Betroffenen über das Recht auf Vergessen (werden). Die betroffene Person hat also ein Recht auf Löschung der Daten zu seiner Person.

Schliesslich besteht das für uns Techniker ganz interessante Recht auf Datenübertragbarkeit. Dieses besagt, dass jeder Betroffene das Recht hat, einen Datenauszug über all der über ihn gespeicherten Daten in einem maschinenlesbaren Format zu erhalten. Dieses „Detail“ dürfte potentiell relativ grosse Auswirkungen haben. Beispielsweise ermöglicht es im Prinzip einem Betroffenen, sein persönliches, elektronisches Patientendossier mit allen Untersuchungs- und Behandlungsdaten in maschinenlesbarer Form aufzubauen, indem er von Spitälern und Ärzten die Daten in dieser Form anfordert. Es bietet neben den sinnvollen Anwendungsfällen dafür entsprechend auch wunderbare Möglichkeiten um Unternehmen mit sich selbst zu beschäftigen, bis ein Automatismus dafür umgesetzt ist.


Praxishinweise

Jedes Unternehmen sollte einen Datenschutzverantwortlichen respektive (bei grösseren Unternehmen) ein Datenschutzteam ernennen. Die Vorgaben der neuen Grundverordnung sind komplex und die sich stellenden Aufgaben zeitraubend.

Verlangt die betroffene Person Auskunft, so muss dieser innerhalb eines Monates unter anderem die folgenden Inhalte mitgeteilt werden: Nämlich, 

  1. ob sie betreffende personenbezogene Daten verarbeitet werden,
  2. was die Verarbeitungszwecke sind und
  3. wer die Empfänger oder Kategorien von Empfängern sind.

Dies setzt natürlich voraus, dass bekannt ist, in welchen Systemen Daten mit welcher Bedeutung über eine Person überhaupt geführt werden.

Eine Kopie der Daten, die Gegenstand der Verarbeitung sind, muss kostenlos an die betroffene Person abgegeben werden. Für alle weiteren Kopien, die die betroffene Person beantragt, kann das Unternehmen ein angemessenes Entgelt verlangen (in der Praxis ca. CHF 0.40 – 0.70 pro A4-Seite).

Das Recht auf Löschung (Recht auf Vergessenwerden) ist eingeschränkt. Prüfen Sie, ob die Voraussetzungen für die Löschung (Art. 17 EU-DSGVO) tatsächlich erfüllt sind.


Verhältnismässigkeit

Beginnen wir mit dem Grundprinzip der Datensparsamkeit. Es sind einerseits so wenig Daten zu verarbeiten wie für den Verarbeitungszweck nötig. Diese sind ausserdem nur so ausführlich wie nötig zu speichern und zu verarbeiten. Ist die Erfüllung des Zwecks anstelle von Einzelmesswerten auch mit Durchschnittswerten für eine Periode möglich, sind nur Durchschnittswerte zu speichern und zu verarbeiten. Ist keine eindeutige Zuweisung der Daten zu einer bestimmten Person notwendig, sind die Daten zu anonymisieren oder zu pseudonymisieren.

Privacy by Design resp. Privacy by Default verlangt, dass Einstellungen mit Auswirkungen auf den Datenschutz standardmässig so restriktiv wie möglich gesetzt sind. Führt ein soziales Netzwerk wie z.B. Facebook meinen Geburtstag, darf dieser standardmässig bei den Besuchern auf meinem Profil nicht angezeigt werden. Ich kann jedoch die Anzeige danach explizit erlauben.

Die pragmatischste Komponente der Datenschutz-Grundverordnung, aber auch diejenige, welche am meisten Rechtsunsicherheit generiert ist schliesslich der risikobasierte Schutzbedarf. Die personenbezogenen Daten sind mit verhältnismässigen Massnahmen zu schützen. Ist das gespeicherte wenig sensitiv, ermöglicht dies prinzipiell eine pragmatischere, weniger aufwändige Umsetzung von Schutzmassnahmen als bei Daten grosser Tragweite.

Im Rahmen der Risikoüberlegung ist zu beachten, dass einerseits klassische IT-Sicherheitsrisiken zu beurteilen sind: Welche Angriffspunkte bestehen? Wie werden unerlaubte Datenmanipulationen verhindert? Wie können Zugriffe auf Daten und Verarbeitungen verhindert resp. nachverfolgt und auditiert werden?

Neben dieser klassischen Risikobetrachtung ist es daneben jedoch notwendig, dass auch die einzelne betroffene Person persönlich geschützt wird. Bei der Beurteilung der Risiken darf daher nicht nur der Schaden eines eintretenden Risikos für das Unternehmen bewertet werden. Es muss ebenso die Frage gestellt werden, welchen Schaden für die jeweiligen betroffenen Personen entstehen kann. Wird eine Information unberechtigten zugänglich oder gar öffentlich: Findet die Person danach je wieder eine Arbeitsstelle? Wird eine Versicherung mit ihm je wieder einen Vertrag abschliessen? Besteht die Gefahr, dass Ehepartner ihn aufgrund dieser Information verlassen?

Es stellen sich also Fragen deren Beantwortung in klassischen Risikoanalysen nicht gestellt werden. Doch noch fast von grösserem Interesse ist eine Folgefrage: Wie ist der personenbezogene Schaden gegenüber den Kosten für Schutzmassnahmen entgegenzustellen? Welche Kosten sind verhältnismässig für den Schutz der Privatsphäre von Personen?


Praxishinweise

Die Vorgaben zur Verhältnismässigkeit ist für die Kleinen- und mittleren Unternehmen die Knacknuss der neuen Grundverordnung: Jede Unternehmung muss ein Verzeichnis der Verarbeitungstätigkeiten von Daten führen. Dieses Verzeichnis beinhaltet mindestens:

  1. Den Namen und die Kontaktdaten des Verantwortlichen;
  2. Die Zwecke der Verarbeitung;
  3. Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind.

Sodann muss wiederum jede Verarbeitung von Personendaten auf allfällige Risiken geprüft werden (Risikobewertung). Die Risikobewertung erfolgt einerseits aus der Perspektive der betroffenen Person (Rechte und Freiheiten) aber auf für das Unternehmen selbst (Risiko von Konsequenzen von Verletzungen von Datenschutzvorgaben). Gestützt auf den nunmehr definierten Risiken, müssen geeignete technische und organisatorische Massnahmen festgelegt werden. Als solche kommen beispielsweise in Frage:

  1. Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherstellen;
  3. Definition eines Verfahrens zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen.

Kontrollierbarkeit

Den letzten und tendenziell am einfachsten – wenn auch nicht am kostengünstigsten – umzusetzenden Eckpfeiler des Datenschutzes bilden die Kontrollmöglichkeiten. Dies setzt klare Vereinbarungen voraus, dokumentierte Verfahren. Und ganz besonders nachvollziehbare Abwägungen, gerade bezüglich der zuvor ausführlich diskutierten Risikoanalyse. Entsprechend sollte nicht nur das Endergebnis einer Risikoanalyse aufbewahrt werden, sondern auch Erwägungen die z.B. zu einer bestimmten Schadenseinschätzung geführt haben.

 

Unsere Artikelserie zum Thema


Über die Autoren

Stefan Haller ist IT-Experte mit Spezialisierung auf Risikomanagement, Informationssicherheit und Datenschutz bei linkyard. Er unterstützt Unternehmen und Behörden bei der Risikoanalyse in Projekten, der Konzipierung und Umsetzung von Compliance-Vorgaben in Softwarelösungen sowie bei der Erstellung von IT-Sicherheits- und Berechtigungskonzepten.
Er verfügt über eine Zertifizierung in Risk Management und hat über 10 Jahre als internal Auditor zahlreiche Sicherheitsaudits auf Basis des ISO-Standards 27001 durchgeführt.
Haben Sie Fragen zur Umsetzung in Ihrem Unternehmen? Melden Sie sich bei: stefan.haller@linkyard.ch | +41 78 746 51 16

Benjamin Domenig ist als Wirtschaftsanwalt in Bern tätig. Er ist Experte auf den Rechtsgebieten des Informatik-, Telekommunikations- und Datenschutzrechts und ist sowohl prozessierend als auch beratend tätig. Nebst etablierten Telekommunikationsunternehmen berät er KMU und begleitet Start-Ups. Sollten Sie Fragen zu diesen oder anderen rechtlichen Themen haben, melden Sie sich unverbindlich bei: domenig@dkg-consulting.ch | +41 79 510 24 12