S. 604. Pflichten der Akteure

Die DSGVO hat im österreichische Datenschutzrecht zu einem Regimewechsel geführt, der weitgehende Selbstverantwortung der Datenverarbeiter gebracht hat. Wenngleich sich die Grundsätze im Hinblick auf die Rechtmäßigkeit und Zulässigkeit der Verarbeitung kaum geändert haben, sind einige Pflichten, insb Dokumentations- und Informationspflichten eingeführt worden, über die man relativ leicht den Überblick verlieren kann.

Dieses Kapitel soll einen Überblick zu den Pflichten geben, die jedes Unternehmen betreffen, einschließlich einiger Muster, auf die bei der Erfüllung der Pflichten aufgebaut werden kann. Jedes Unternehmen sollte diese auf die konkreten Verarbeitungstätigkeiten zuschneiden.

4.1. Verzeichnis der Verarbeitungstätigkeiten

Mit der DSGVO wurden weitgehend allgemeine Melde- und Genehmigungspflichten und die damit verbundenen bürokratischen und finanziellen Aufwände zu Gunsten der gesteigerten Selbstverantwortung der datenverarbeitenden Personen und Unternehmen abgeschafft, da die in der alten Rechtsordnung bestehenden Melde- und Genehmigungspflichten nicht durchgehend zu einem besseren Datenschutzniveau geführt haben.

In Österreich wurde daher nach Inkrafttreten der DSGVO das von der Datenschutzbehörde geführte Datenverarbeitungsregister und die damit verbundenen DVR-Nummern abgeschafft. Anstelle des Datenverarbeitungsregisters ist, als maßgeblichster Ausfluss der Rechenschaftspflicht, die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten getreten.

Gem Art 30 DSGVO sind Verantwortliche und Auftragsverarbeiter nunmehr verpflichtet, ein Verzeichnis zu führen, das sämtliche Verarbeitungstätigkeiten S. 61enthält, die in ihre Zuständigkeit fallen. Die Pflicht ist grundsätzlich für jeden anwendbar, auch für Einzelunternehmen und KMUs. Es besteht zwar eine Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter*innen haben, diese ist aber in der Praxis kaum anwendbar. Damit die Ausnahme greift, müssen nämlich zusätzlich die folgenden Voraussetzungen erfüllt sein:

• Die Verarbeitung darf kein Risiko für die Rechte und Freiheiten der Betroffenen bergen.

  Kein Risiko iSd Bestimmung bedeutet „kein erhöhtes Risiko“, wie zB bei der Verarbeitung öffentlich verfügbarer Daten (zB Name, Adresse, Telefonnummer), sonst würde die Ausnahme ins Leere gehen.

• Die Verarbeitung darf nur gelegentlich erfolgen.

  Hier bleibt mangels Definition in der DSGVO ein gewisser Argumentationsspielraum. Jedenfalls nicht von der Ausnahme erfasst sind somit regelmäßige und dauerhafte Verarbeitungen, wie die Lohnverrechnung.

• Es dürfen keine besonderen Kategorien von personenbezogenen Daten (Art 9 Abs 1 DSGVO) oder strafrechtlich relevanten Daten (Art 10 DSGVO) verarbeitet werden.

Bereits bei laufendem E-Mail-Verkehr mit Kunden oder bei Anstellung von Mitarbeiter*innen ist die Ausnahme von der Führung des Verarbeitungsverzeichnisses nicht mehr gegeben, da einerseits sehr wohl ein Risiko besteht und andererseits nicht mehr von einer nur gelegentlichen Verarbeitung gesprochen werden kann.

4.1.1. Was muss das Verfahrensverzeichnis beinhalten?

Das Verfahrensverzeichnis hat sämtliche Verarbeitungstätigkeiten des Verantwortlichen bzw des Auftragsverarbeiters zu beinhalten. Dabei muss aber nicht jeder Schritt einer Verarbeitungskette mit einem einzelnen Eintrag angelegt werden. Verarbeitungsvorgänge können gebündelt dargestellt werden und sogar mehrere Zwecke umfassen.

Zwar enthält die DSGVO keine explizite Aktualisierungspflicht, aus dem Grundsatz der allgemeinen Rechenschaftspflicht (siehe Kapitel 3.1.9.) lässt sich eine solche jedoch ableiten. Das Verfahrensverzeichnis ist als solches also fortlaufend auf aktuellem Stand zu halten und sollte keine veralteten bzw bereits eingestellten Datenverarbeitungen beinhalten.

Das von Verantwortlichen zu führende Verfahrensverzeichnis hat zumindest folgende Punkte zu beinhalten:

• Namen und Kontaktdaten des Verantwortlichen bzw der gemeinsam Verantwortlichen sowie ggf des Vertreters des Verantwortlichen und des Datenschutzbeauftragten

• Zwecke der Verarbeitung

  Wie eingangs erwähnt können bei einzelnen Einträgen auch mehrere Zwecke zusammengefasst werden. Die Beschreibung der Zwecke sollte so gestaltet sein, dass sie für Dritte, insb die Datenschutzbehörde, leicht verständlich sind.

• Beschreibung der Kategorien betroffener Personen und personenbezogener Daten

  Nachdem die DSGVO hier ausdrücklich von Kategorien spricht, können diese Angaben entsprechend abstrakt zusammengefasst dargestellt werden. Es ist keine genaue Auflistung der Betroffenen oder der Daten notwendig. Die personenbezogenen Daten könnten zB in Kontaktdaten, Profildaten, Metadaten zusammengefasst werden.

• Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen

  Auch hinsichtlich der Empfänger ist eine generische Bezeichnung ausreichend, die genauen Empfänger sind nicht zwingend anzuführen.

• Ggf Übermittlungen in ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des Drittlands/der Organisation sowie die Dokumentierung geeigneter Garantien

  Im Verfahrensverzeichnis sollte hier angeführt sein, ob es sich um ein Drittland mit angemessenem Datenschutzniveau aufgrund eines AngemessenheitsbeS. 63schlusses handelt oder welche geeigneten Garantien konkret vorliegen, zB Abschluss von Standardvertragsklauseln.

• Löschfrist der verschiedenen Datenkategorien, wenn möglich

  Dies kann mitunter der schwierigste Teil sein, da unterschiedliche Aufbewahrungspflichten oder Verjährungsfristen bestehen bzw generell aufgrund des Zweckbindungsgrundsatzes Daten unterschiedlich lange gespeichert werden dürfen. Ähnlich wie in der Datenschutzinformation nach Art 12 ff DSGVO sollten, wenn keine genaue Frist nennbar ist, zumindest die Kriterien für die Aufbewahrung genannt werden. Nachdem aber ohnehin ein Löschkonzept (siehe Kapitel 4.5.) schriftlich dokumentiert sein sollte, kann nach Ansicht des Autors und der Autorin im Verfahrensverzeichnis auf dieses verwiesen werden.

• Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art 32 DSGVO), wenn möglich

  Hier ist ebenfalls ausreichend, wenn auf die allgemeine Dokumentation der getroffenen Maßnahmen verwiesen wird, da diese im Grunde für alle Verarbeitungstätigkeiten anwendbar sein sollte. Sollten abweichende, spezifischere Maßnahmen notwendig sein, zB gesonderte Zugriffseinschränkungen, sind diese aber explizit im jeweiligen Eintrag anzuführen.

Das von Auftragsverarbeitern zu führende Verarbeitungsverzeichnis ist etwas weniger umfassend und hat zumindest die folgenden Punkte zu beinhalten:

• Name und Kontaktdaten des Auftragsverarbeiters, der Verantwortlichen sowie ggf Vertreter der Verantwortlichen bzw Auftragsverarbeiters und der Datenschutzbeauftragten

• Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden

  Der Auftragsverarbeiter muss zwar nicht einzelne Zwecke darstellen, es sind jedoch die Kategorien der Verarbeitung anzuführen und dem jeweiligen Verantwortlichen zuzuordnen. Eine pauschale Auflistung von Verarbeitungsvorgängen ist nicht ausreichend.

• Ggf Übermittlungen in ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des Drittlands/der Organisation sowie die Dokumentierung geeigneter Garantien (siehe oben)

• Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art 32 DSGVO), wenn möglich (siehe oben)

Im Folgenden ist ein Muster für einen Eintrag in das Verfahrensverzeichnis abgedruckt, dass die oben angeführten Mindestinhalte sowie empfehlenswerte zusätzliche Informationen zur Datenverarbeitung beinhaltet. Das Muster kann sowohl von Verantwortlichen als auch Auftragsverarbeitern verwendet werden.

4.1.2. In welcher Form muss das Verfahrensverzeichnis geführt werden?

Zur Form des Verfahrensverzeichnisses werden in der DSGVO kaum Vorgaben gemacht, es besteht also weitgehend Gestaltungsfreiraum, sofern der Mindestinhalt enthalten ist.

Das Verfahrensverzeichnis muss aber nach Art 30 Abs 3 DSGVO schriftlich geführt werden. Natürlich heißt „schriftlich“ in diesem Zusammenhang nicht handschriftlich, das Verfahrensverzeichnis muss aber jederzeit einsehbar festgehalten werden. Dabei kann das Verfahrensverzeichnis in analoger Form, zB in einem Ringordner oder Papierakt geführt werden, es ist aber auch ausdrücklich zulässig, das Verfahrensverzeichnis in elektronischer Form zu führen.

S. 66Grundsätzlich kann eine beliebige Sprache für das Verfahrensverzeichnis verwendet werden, sie muss aber dem Zweck des Verzeichnisses entsprechen und daher eine Rechtmäßigkeitskontrolle durch die Datenschutzbehörde ermöglichen. Nachdem die offizielle Amtssprache vor Verwaltungsbehörden in Österreich Deutsch ist, ist naheliegend, das Verfahrensverzeichnis in deutscher Sprache zu führen. Es sollte aber durchaus möglich sein, das Verfahrensverzeichnis in englischer Sprache zu gestalten, da die Datenschutzbehörde bereits Verfahren in englischer Sprache führte. Die Datenschutzbehörde kann jedoch bei einer Prüfung des Verfahrensverzeichnisses eine Übersetzung verlangen.

Auch bei der Beantwortung von Auskunftsbegehren Betroffener und der Erstellung der Datenschutzinformation ist es grundsätzlich praktikabel, die entsprechenden Informationen über die Datenverarbeitung bereits in deutscher Sprache zur Hand zu haben, um unnötigen Arbeitsaufwand zu vermeiden.

4.2. Datenschutzerklärung

Praxistipp

Die Datenschutzerklärung ist die datenschutzrechtliche Visitenkarte des Unternehmens, da es das Dokument ist, mit dem Nutzer*innen am ehesten in Kontakt kommen. Es wird auch von der Datenschutzbehörde gern geprüft. Es zahlt sich also aus, hier möglichst transparent Informationen aufzubereiten.

Oft werden Datenschutzerklärungen als lästige Notwendigkeit gesehen. Einerseits, weil einer korrekten Erstellung notwendigerweise eine genaue und uU zeitaufwändige „Inventur“ der Verarbeitungstätigkeiten vorangeht; andererseits auch, weil vielleicht das Gefühl aufkommt, hier interne Vorgänge preiszugeben. Auch wenn diese Gedanken nachvollziehbar sind, darf man in der Datenschutzerklärung auch eine Chance sehen, mit einem einzigen Dokument die Informationspflichten gegenüber betroffenen Personen zu erfüllen und sich mit besonders übersichtlicher Information von Mitbewerbern abzuheben.

S. 67Werden personenbezogene Daten bei der betroffenen Person selbst erhoben, müssen die Informationen spätestens zum Zeitpunkt der Erhebung der Daten (zB Eingabe von Daten in einem Webshop, Registrierung) zur Verfügung gestellt werden (zB durch einen Link auf der Webpage des Webshops, als Anhang zu einem Dienstvertrag). Werden die Daten nicht bei der betroffenen Person selbst erhoben, hat die Informationserteilung grundsätzlich binnen angemessener Frist nach Erlangung der personenbezogenen Daten zu erfolgen, längstens jedoch binnen eines Monats. In zwei Fällen muss die Information vor dieser Frist erteilt werden: bei Kommunikation mit der betroffenen Person (spätestens zum Zeitpunkt der ersten Mitteilung) und bei Offenlegung an weitere Empfänger (spätestens zum Zeitpunkt der ersten Offenlegung).

Wie bereits in Kapitel 3.1.3. erwähnt, ist die Notwendigkeit einer Datenschutzerklärung eng mit dem Grundsatz der Transparenz verbunden. Während Art 13 und 14 der DSGVO eine Anzahl von Punkten aufzählen, die transparent in eine Datenschutzerklärung aufgenommen werden müssen, behandelt Art 12 DSGVO die allgemeine Frage, wie man Informationen transparent übermittelt.

In einem ersten Schritt muss also die Frage geklärt werden, wie Informationen an betroffene Personen generell kommuniziert werden müssen. Diese Vorgaben gelten für jegliche Kommunikation mit betroffenen Personen, also für Datenschutzerklärungen, Antworten auf Auskunftsersuchen oder andere ausgeübte Rechte sowie Informationen über Data Breaches. In einem zweiten Schritt ist genauer darauf einzugehen, welche Informationen in einer Datenschutzerklärung enthalten sein müssen.

4.2.1. Wie erteile ich transparente Informationen?

Zu komplexe oder ausufernde Erklärungen führen dazu, dass Informationen nicht mehr aufgenommen werden und ihren Zweck somit nicht mehr erfüllen können. Daher legt Art 12 DSGVO einige Grundregeln fest, die für jedwede Kommunikation mit betroffenen Personen einzuhalten sind. Sie gelten also für Datenschutzerklärungen genauso wie für Anfragebeantwortungen oder Informationen im Falle einer Datenschutzverletzung (Data Breach).

Informationen müssen in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form übermittelt werden und in einer klaren und einfachen Sprache erfolgen.

Präzise und transparent ist eine Information, wenn alle Informationen zur Verfügung gestellt werden, die für eine betroffene Person notwendig sind, um die Verarbeitung ihrer Daten in einem Ausmaß zu verstehen, das ihr die Ausübung S. 68ihrer Rechte ermöglicht. Gleichzeitig soll die Information aber auch keine überflüssige Information beinhalten, die zu einem Aufmerksamkeitsverlust führen könnte. Mit anderen Worten: kurz und prägnant; nicht zu viel, aber auch nicht zu wenig.

In der Praxis bedeutet diese offene Formulierung der Definition von Datenschutzerklärungen in einem ersten Schritt, diese immer als separates Dokument zur Verfügung zu stellen. Von der teilweise gebräuchlichen Verwendung eines gemeinsamen Dokumentes für AGB und Datenschutzerklärung ist abzuraten. Im Gegensatz zu den AGB, die Vertragsinhalt werden, dient eine Datenschutzinformation nur zu Informationszwecken, eine Vermischung ist also problematisch. Das ist auch auf den Onlinekontext umlegbar: Eine separate Seite für AGB und eine separate Seite für die Datenschutzerklärung dienen einer transparenten Information.

Es gibt keine bestimmte Methode, um „kurz und prägnant“ in der Praxis immer sicher umzusetzen, da das Ausmaß der notwendigen Informationen auf die einzelne Verarbeitung ankommt. Oft wird in diesem Zusammenhang aber das Konzept der sog Mehrebenen-Datenschutzerklärungen (layered privacy notices) genannt, dass auch vom Europäischen Datenschutzausschuss empfohlen wird. Es gibt der betroffenen Person die Möglichkeit, selbst zu entscheiden, in welcher Tiefe sie sich mit Datenschutzinformationen auseinandersetzen möchte. So soll das „Spannungsfeld zwischen Vollständigkeit und Verständnis“ überbrückt werden. Ob diese Art der Darstellung für ein bestimmtes Unternehmen sinnvoll ist, ist im Einzelfall zu beurteilen (wie komplex ist die Information, über welches Medium erfolgt die Information etc).

Die erste (oberste) Ebene muss der betroffenen Person dabei einen klaren Überblick über das Gesamtbild der Datenverarbeitung geben. Das beinhaltet einerseits ein gewisses Maß an Mindestinformation, andererseits Aufklärung darüber, welche weiteren Informationen verfügbar sind. Die Gestaltung der obersten Ebene sollte die Auffindung der tiefergehenden Informationen zudem möglichst leicht machen (eindeutige Überschriften, klare Verweise). Zur Mindestinformation gehört jedenfalls Information über die Verarbeitungszwecke, die Identität des Verantwortlichen und die Rechte der betroffenen Personen. Gibt es Verarbeitungsvorgänge, die besonders stark in das Recht auf Datenschutz eingreifen (zB Profiling oder automatisierte Entscheidungsfindung) oder die überraschend für die betroffene Person sein können, sollten diese ebenfalls in der ersten Ebene erwähnt werden.

S. 69Dieses Modell bietet sich besonders für den digitalen Bereich an (zB Klick auf „mehr Info“ und es fächert sich ein weiteres Textfenster auf; ein Pop-up wird angezeigt, sobald man mit der Maus über ein Informationssymbol fährt), kann aber auch analog (zB eine kurze Zusammenfassung zu Beginn und eine detailliertere Information danach) oder per Telefon (zB Hinweis auf Informationen der ersten Ebene, danach Zusenden detaillierter Information) verwendet werden. In jedem Fall sollte die Gesamtinformation ebenfalls leicht auffindbar zur Verfügung stehen (zB ein Link „gesamte Datenschutzerklärung“, der einen Download der umfänglichen Erklärung ermöglicht).

Eine weitere, bislang eher wenig genutzte Möglichkeit ist die Verwendung von Bildsymbolen (Icons). Die DSGVO nennt standardisierte Bildsymbole sogar explizit als Zusatzmaßnahme. Zum Zeitpunkt des Schreibens dieses Buches wurden aber noch keine offiziellen standardisierten Bildsymbole von der damit betrauten Europäischen Kommission veröffentlicht, was vermutlich auch die Unbeliebtheit dieser Art der Information erklärt.

Trotz des Fehlens offizieller Icons, bietet die Verwendung von intuitiven Symbolen sicherlich einen Mehrwert für betroffene Personen. Ob sich der damit verbundene Mehraufwand rechnet, wird vom Einzelfall abhängen, bei bestimmten Zielgruppen oder Verarbeitungen liegt aber die Überlegung nahe. Bilden beispielsweise Personengruppen wie Kinder (noch nicht ausreichendes Textverständnis), Pensionist*innen (technische Vorgänge vielleicht neu), aber auch Personen mit Leseschwäche (Texte in einfacher Sprache) oder mit begrenzten Sprachkenntnissen einen großen Teil der betroffenen Personen, kann es Sinn machen, Symbole neben den Text zu stellen. Das gleiche gilt für bestimmte Arten der Datenverarbeitung. Bei neuen Technologien (zB Gesichtserkennung, Fingerabdruckscanner, Stimmerkennung) könnte es zu einem besseren Verständnis beitragen, zusätzlich Icons zu verwenden, vor allem wenn ein räumlicher oder zeitlicher Unterschied zwischen dem Lesen der Information und der Verwendung der Software besteht (zB App wird installiert, das Feature aber erst später verwendet).

Verständlich ist eine Information, wenn typische Angehörige des Zielpublikums diese verstehen. Anbieter*innen von Onlinefortbildungen für Informatiker*innen S. 70werden weniger genau erklären müssen, was Profiling oder pseudonymisierte Daten sind, als eine Anbieter*innen von Pauschalreisen. Für die Verantwortlichen bedeutet das, sich darüber Gedanken zu machen, wer ihr Zielpublikum ist. Bilden Kinder und Jugendliche einen großen Teil des Zielpublikums, wird man mit besonders kurzer und einfacher Sprache informieren, zusätzlich bieten sich Erklärungen per Video oder durch Bilder an.

Leicht zugänglich ist die Information dann, wenn die betroffene Person nicht nach ihr suchen muss. Im Browser ist eine klare Kennzeichnung leicht durch einen Link zur Datenschutzerklärung machbar, auf den man von jeder Seite aus zugreifen kann, ähnlich wie für das Impressum üblich. Das ist die Minimalanforderung einer leichten Zugänglichkeit. Pop-up Texte oder Chat Bots bieten hier weitere Möglichkeiten.

Bei digitalen Endgeräten kann man einen eigenen Datenschutzpunkt in einem Drop-down-Menü oder in den Einstellungen anbieten. Bei Letzterem sollten aber nicht mehr als zwei Klicks notwendig sein, um an die Information zu kommen, ansonsten kann man nicht mehr von einer leichten Zugänglichkeit sprechen. Diese Notwendigkeit muss bei Erstellung von Website und Programmierung von Apps von Anfang an mitbedacht werden, siehe hierzu auch Kapitel 4.6.1. zu Privacy by Design. Für Datenverarbeitung im Arbeitsverhältnis bietet sich zB eine Datenschutzerklärung über das Intranet oder als Anlage des Arbeitsvertrages an. Siehe zum Arbeitskontext näher Kapitel 7.

S. 71Klare und einfache Sprache bedeutet, in kurzen verständlichen Sätzen konkrete Informationen zu übermitteln. Die Struktur der Information trägt ebenfalls dazu bei, diese klarer und einfacher lesbar zu machen. Daher sollten die Abschnitte voneinander getrennt und jeder einzeln gekennzeichnet sein.

Vermieden werden sollten redundante Ausdrücke, die Bezeichnung derselben Sache mit anderen Worten, komplexe Schachtelsätze, Mehrdeutigkeit, abstrakte oder ungenaue Ausdrücke. Vor allem bei Zwecken und Rechtsgrundlagen sollten keine Unklarheiten aufkommen können. Wenn es notwendig ist Jargon zu verwenden, zB wenn komplexe technische Vorgänge oder neue Technologien beschrieben werden, sollte Jargon den betroffenen Personen erklärt und nicht übermäßig verwendet werden.

Gibt es Zielpublikum in verschiedensprachigen Ländern, muss überlegt werden, die Informationen zu übersetzen. Davon kann man absehen, wenn es nur eine geringe Anzahl von Kund*innen aus dem anderssprachigen Land gibt. Wird aber eine Homepage in dieser Sprache betrieben, kann man ein Land auf der Homepage auswählen und/oder werden Zahlungen in einer Fremdwährung angeboten, deutet das auf Zielpublikum in diesem Land hin. Sind Kinder, bei denen man generell nicht von der Beherrschung einer zweiten Sprache ausgehen kann, unter den Nutzer*innen, ist das Kriterium ebenfalls strenger zu sehen.

Neben der Erteilung von Informationen auf dem schriftlichen Weg, können diese auch in anderer Form erteilt werden. Dazu zählt die Übermittlung auf elektronischem Weg genauso wie eine mündliche (auch automatisierte) Erteilung. Letztere allerdings nur, wenn das von der betroffenen Person verlangt wird.

Bei Verwendung neuer Technologien sind traditionelle Methoden der Informationserteilung mitunter nicht die beste Möglichkeit. Eine Tonbandaufnahme (zB bevor man einen Raum betritt, der biometrische Daten auswertet), ein QR-Code (zB auf öffentlichen Plätzen) oder Animationen (zB in Apps für Kinder) könnten Alternativen sein, die Möglichkeiten sind aber unbegrenzt, solange die Transparenz gewahrt bleibt.

Die oben genannten Kommunikationsvarianten mit betroffenen Personen müssen unentgeltlich erfolgen. Das gilt für direkte (zB Erteilung von Auskunft oder Berichtigung von Daten nur gegen Zahlung) wie auch für indirekte Zuwendungen (zB Zurverfügungstellung erst nach erfolgreich abgeschlossener Transaktion). Transparente Information darf also keine Frage der finanziellen Ausstattung sein. Ausnahmen davon gelten nur für „offenkundig unbegründete“ bzw „exzessive Anträge“. Leistungen, die die Verantwortlichen also jedenfalls, d.h. auch ohne Antrag der betroffenen Person, erbringen müssen (zB Datenschutzerklärung oder Informationen zum Widerspruchsrecht), fallen nicht unter diese Ausnahme (siehe Kapitel 9.2.).

4.2.2. Inhalt einer Datenschutzerklärung

Die DSGVO enthält einen Katalog von Informationen, die den betroffenen Personen bereitgestellt werden müssen. Dabei wird unterschieden zwischen Daten, die direkt bei der betroffenen Person erhoben werden, und solchen, die von Dritten erhoben werden. Die zu machenden Angaben für beide Fälle sind fast ident, daher gehen die Autorin und der Autor zuerst auf den Hauptfall der Erhebung direkt bei der betroffenen Person ein, danach auf die Unterschiede bei Erhebung von Dritten.

Auch wenn die DSGVO zwischen den zwingenden Informationen nach Abs 1 und den Informationen nach Abs 2 unterscheidet, die nur dann erteilt werden müssen, wenn sie „notwendig sind, um eine faire und transparente Verarbeitung zu gewährS. 73leisten“, ist unsere Empfehlung jedenfalls alle Informationen zur Verfügung zu stellen. Daher wird nachfolgend auch nicht zwischen Informationen nach Abs 1 und Abs 2 unterschieden.

Verantwortliche, die sich bei der Erstellung der Datenschutzerklärung an den folgenden Katalog halten, sind einem wichtigen Teil ihrer datenschutzrechtlichen Verantwortung nachgekommen.

4.2.2.1. Erhebung personenbezogener Daten bei der betroffenen Person

Die Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art 13 DSGVO), zB durch Eingabe der Daten in einem Webshop oder Ausfüllen eines Mitgliederformulars, beinhaltet:

• den Namen und die Kontaktdaten des Verantwortlichen sowie ggf seines Vertreters

  Diese Daten dienen der mühelosen Identifizierung des und der Kontaktaufnahme mit dem Verantwortlichen bzw den zuständigen Personen. Bei Gesellschaften muss also die Gesellschaft selbst als Verantwortlicher angegeben werden, bei Einzelunternehmen der Unternehmer bzw die Unternehmerin. Zusätzlich müssen bei Verantwortlichen außerhalb der EU auch die Informationen des Vertreters genannt werden. Vorzugsweise sollte mehr als eine Kommunikationsform genannt werden (zB Telefonnummer, E-Mail, Postanschrift).

• die Kontaktdaten des Datenschutzbeauftragten

  Anders als beim der Verantwortlichen, muss nicht zwingend auch der Name der Datenschutzbeauftragten genannt werden. Im Arbeitskontext ist die Person des Datenschutzbeauftragten aber auch iSe vertraulichen Ansprechperson wichtig, der Name der Datenschutzbeauftragten sollte dort also zugänglich sein (zB im Intranet).

  Um zu häufige Änderungen der Datenschutzerklärung bei Veränderungen im Personalstand zu vermeiden, bietet es sich an, eine allgemein lautende Telefonnummer, Adresse (zB mit dem Zusatz „zH Datenschutzbeauftragter“) oder E-Mail-Adresse (zB datenschutzbeauftragter@domain.at) anzugeben. Die Kontaktdaten (inkl Namen) der Datenschutzbeauftragten müssen auch der Datenschutzbehörde gemeldet werden (siehe Kapitel 4.3.).

• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen

  Die Zwecke sollten so angegeben werden, dass die Verarbeitung für die betroffenen Personen transparent ist. Zu allgemeine Angaben („zur Nutzung unserer Dienste“) sind nicht ausreichend. Siehe Kapitel 3.1.4. für mehr Details zu Zwecken der Verarbeitung.

  S. 74Im Falle einer Weiterverarbeitung der Daten für einen anderen Zweck als den ursprünglichen ist zu beachten, dass dies nur rechtmäßig ist, wenn die Weiterverarbeitung in einer mit den ursprünglichen Zwecken zu vereinbarenden Weise geschieht. Elemente, die bei der Abwägung beachtet werden, sind der Zusammenhang zwischen den Zwecken, der Kontext, in dem die Daten erhoben wurden (insb die vernünftigen Erwartungen der betroffenen Person), die Art von personenbezogenen Daten, die voraussichtlichen Folgen der Weiterverarbeitung und die Frage, ob geeignete Garantien (zB Pseudonymisierung) bestehen. Der Verantwortliche hat über den neuen Zweck ebenso wie über die sonstigen Informationen zu informieren, wenn diese ebenfalls neu sind. Da den Verantwortlichen die Rechenschaftspflicht trifft, empfiehlt es sich, diese Informationserteilung zu dokumentieren.

  Beispiel: Weiterverarbeitung

  Eine App bietet seinen Kund*innen an, Rabatte für Geschäfte in der Nähe zu finden. Nach einem halben Jahr beschließt das Unternehmen, die Daten auch für eine Profilerstellung der betroffenen Personen zu verwenden, um ihnen personalisierte Werbung in der App einzuspielen. – Bei diesem Profiling werden Daten zu anderen Zwecken als den ursprünglichen verarbeitet, die auch nicht mit den ursprünglichen vereinbar sind. Für die neue Art der Verarbeitung müssen also ebenfalls alle Grundsätze eingehalten werden.

• Die Rechtsgrundlage für die Verarbeitung

  Die genaue Rechtsgrundlage der Verarbeitung muss angegeben werden und sollte sich auch auf den jeweiligen Zweck beziehen. Wenn aufgrund von verschiedenen Rechtsgrundlagen verarbeitet wird, muss das ebenfalls dargelegt werden (zB „Wir verarbeiten Ihre Adressdaten für die Zusendung der bestellten Ware, um den Vertrag mit Ihnen zu erfüllen [Art 6 Abs 1 lit b DSGVO] und Ihre E-Mail-Daten für Marketingzwecke aufgrund Ihrer Einwilligung [Art 6 Abs 1 lit a].“).

• Die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden

  Findet die Verarbeitung auf der Rechtsgrundlage der berechtigten Interessen statt, so sind diese berechtigten Interessen anzugeben.

• Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

  Werden Daten an andere Personen (einschließlich Auftragsverarbeiter und gemeinsam Verantwortliche) weitergeleitet, müssen die betroffenen Personen darüber informiert werden. Nur so können sie wissen, wie/wo ihre Daten tatsächlich verarbeitet werden. Entweder werden die Empfänger direkt angegeben (zB Steuerberatungskanzlei Müller) oder es werden Kategorien von Empfängern angegeben (Steuerberater*in, Personalverrechner*in, Marketingagentur). Dabei ist der Nennung von konkreten Empfängern der Vorrang zu geben, wenn das keinen unverhältnismäßig hohen Aufwand verursacht. Entscheidet S. 75sich der Verantwortliche für die Nennung von Kategorien von Empfängern, sollten diese aber so genau wie möglich sein (nur „Auftragsverarbeiter“ oder „Geschäftspartner*innen“ reicht als Kategorie nicht).

• die Absicht, personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, und zusätzliche Angaben zur Übermittlung

  Falls der Verantwortliche plant, Daten an ein Drittland oder eine internationale Organisation zu übermitteln, ist dies anzugeben. Zusätzlich sind in dem Fall Informationen hinsichtlich der Rechtsgrundlage der Übermittlung (siehe Kapitel 6.4.2.) anzugeben:

  –

  Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses,

  –

  der Art der DSGVO, auf dem die Verarbeitung basiert (zB Art 45 DSGVO, wenn es einen Angemessenheitsbeschluss gibt oder Art 46 Abs 2 lit c DSGVO, wenn Standarddatenschutzklauseln verwendet werden) und

  –

  wenn die Verarbeitung auf Garantien beruht, einen Verweis auf die geeigneten oder angemessenen Garantien und auf die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind (zB Link).

• die Speicherdauer

  Es muss eine Angabe gemacht werden, wie lange personenbezogene Daten gespeichert werden (zB „Wir speichern Ihre Daten für die Dauer Ihrer Mitgliedschaft.“). Wenn dies nicht möglich ist, müssen zumindest die Kriterien angegeben werden, anhand derer die Dauer festgelegt wird (zB „Wir löschen Ihre Daten ein Jahr nach dem letzten Login in Ihr Profil.“). Wie genau die Angaben über die Speicherdauer sein müssen, ist nicht endgültig geklärt. Je genauer der Verantwortliche die Angaben jedoch gestaltet, umso transparenter ist die Verarbeitung.

  Gibt es verschiedene Speicherfristen für verschiedene Arten von Daten, sollte dies angegeben werden (zB „Wir speichern Ihre E-Mail-Adresse für die Dauer Ihrer Mitgliedschaft.“, „Die Daten zu Ihren Bestellungen bewahren wir zwei Jahre auf [gesetzliche Gewährleistungsfrist].“).

• das Bestehen von Rechten der betroffenen Personen

  Um den betroffenen Personen zu ermöglichen ihre personenbezogenen Daten bestmöglich zu schützen und zu kontrollieren, müssen sie über ihre Rechte (siehe Kapitel 9.1.) aufgeklärt werden. Dazu gehört:

  –

  das Recht auf Auskunft;

  –

  das Recht auf Berichtigung;

  –

  das Recht auf Löschung;

  –

  das Recht auf Einschränkung der Verarbeitung;

  –

  S. 76das Recht auf Datenübertragbarkeit und

  –

  das Beschwerderecht bei einer Aufsichtsbehörde.

  Werden Daten basierend auf der Wahrnehmung einer Aufgabe im öffentlichen Interesse bzw in Ausübung öffentlicher Gewalt oder aufgrund berechtigter Interessen des Verantwortlichen oder eines Dritten verarbeitet, muss auch über das Widerspruchsrecht gegen die Verarbeitung aufgeklärt werden. Diese Information muss klar und getrennt erfolgen.

  Falls die Verarbeitung auf der Einwilligung der betroffenen Person basiert, ist ebenfalls über das Recht, die Einwilligung jederzeit zu widerrufen, zu informieren – nicht berührt wird dadurch jedoch die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung. Die Information sollte auch Angaben dazu enthalten, wie die Einwilligung widerrufen werden kann. Der Widerruf sollte nicht schwieriger sein als die ursprüngliche Erteilung.

  Neben der reinen Aufzählung der Rechte der betroffenen Person sollte auch eine Zusammenfassung des Inhalts des jeweiligen Rechts gegeben werden.

• ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte

  Falls aufgrund eines anderen Vertrags (zB Dienstvertrag) oder aufgrund eines Gesetztes bestimmte Daten zur Verfügung gestellt werden, ist hierüber zu informieren. Ebenso ist anzugeben, falls die Angaben notwendig sind, um einen Vertrag abzuschließen (zB Adresse für die Lieferung eines Kleidungstückes) oder sonst eine Verpflichtung besteht, die Daten anzugeben. Die Konsequenzen einer Nichtzurverfügungstellung der Daten sind ebenfalls anzugeben („Ohne Angabe der Adressdaten können wir Ihre Bestellung nicht ausführen.“).

  In der Praxis gebräuchlich sind Sternchen für personenbezogene Daten, die unbedingt zur Verfügung gestellt werden müssen. Sollte ein gesetzlicher oder vertraglicher Grund vorliegen, warum bestimmte Daten erforderlich sind, sollte das in diesem Zusammenhang ebenso erwähnt werden.

• das Bestehen einer automatisierten Entscheidungsfindung inkl Profiling

  Werden Daten mit Hilfe von automatisierter Entscheidungsfindung gem Art 22 Abs 1 bzw Abs 4 DSGVO verarbeitet, einschließlich Fällen von Profiling, so müssen den betroffenen Personen bestimmte Informationen zur Verfügung gestellt werden, um dieses Risiko zu verstehen. Aussagekräftige Informationen über die involvierte Logik sowie die Tragweite für und die angestrebten Auswirkungen einer derartigen Verarbeitung auf die betroffene Person helfen, die Vorgänge zu verstehen. Folgende Details sollten bei der Informationserteilung beachtet werden:

  –

  S. 77Welche Faktoren spielen eine Rolle und wie sind diese gewichtet;

  –

  Welche Kategorien werden verwendet und warum;

  –

  Eine ausführliche Erklärung oder gar Offenlegung des Algorithmus ist nicht geboten.

  Sollen bei der Verarbeitung auf Profiling beruhende Entscheidungen getroffen werden, muss den betroffenen Personen verdeutlicht werden, dass die Verarbeitung für die Zwecke des Profilings sowie der Entscheidungsfindung anhand des erstellten Profils erfolgt.

  Selbst wenn die Verarbeitung nicht unter die Definition des Art 22 DSGVO fällt, scheint iSd Transparenz trotzdem eine gewisse Information über Logik, Tragweite und Auswirkungen geboten.

  Die folgende Muster-Datenschutzerklärung enthält die Standardinformationen die eine Datenschutzerklärung laut Art 13 DSGVO beinhalten muss sowie einige als optional gekennzeichnete zusätzliche Informationen, die die Transparenz erhöhen.

4.2.2.2. Erhebung von personenbezogenen Daten nicht bei der betroffenen Person

Werden die Informationen nicht bei der betroffenen Person erhoben (Art 14 DSGVO), zB über eine Bonitätsdatenbank, ergeben sich folgende Unterschiede zu den oben genannten Informationspflichten:

Aus der Tatsache, dass die betroffene Person die Daten nicht selbst hergibt, erklärt sich, dass keine Angaben über die rechtliche, vertragliche oder sonstige Notwendigkeit der Datenerteilung und die Nachteile von deren Unterlassung gemacht werden müssen.

Zusätzlich müssen folgende Informationen erteilt werden:

• die betroffenen Kategorien personenbezogener Daten

  Da die betroffene Person die Daten nicht selbst hergegeben hat, muss sie darüber aufgeklärt werden, um welche Daten es bei der Verarbeitung geht (zB Kontaktdaten, Kontodaten).

• die Quelle der personenbezogenen Daten und ggf, ob diese Quelle öffentlich zugänglich ist

  Die genaue Datenquelle sollte, wenn möglich, angegeben werden. Ist es nicht möglich die Quelle der jeweiligen Daten genau anzugeben, sollten die Betroffenen jedenfalls informiert werden, ob es eine öffentliche oder private Quelle ist sowie die Art der Organisation/der Industrie/des Sektors.

4.2.2.3. Ausnahmen von der Informationspflicht

In bestimmten Fällen muss der Verantwortliche die Informationen gar nicht zur Verfügung stellen bzw nur so weit, als sie von der Ausnahme nicht umfasst sind. Während die erste Ausnahme für die Informationspflicht nach Art 13 und Art 14 DSGVO gilt, sind die restlichen Ausnahmen nur für Art 14 relevant.

• S. 82Verfügt die betroffene Person bereits über die Informationen, müssen solche nur in dem Ausmaß erteilt werden, als noch keine Kenntnis vorhanden ist bzw als die Informationen nicht mehr aktuell sind.

• Erweist sich die Erteilung der Informationen als unmöglich (zB kann ein Kontaktdetail der betroffenen Person nicht eruiert werden) oder erfordert einen unverhältnismäßigen Aufwand, entfällt die Informationspflicht. Es müssen aber geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen werden. Dazu gehört jedenfalls die Bereitstellung der Informationen für die Öffentlichkeit (zB auf einer Website). Die Verordnung nennt als Beispiele für Unmöglichkeit bzw Unverhältnismäßigkeit im öffentlichen Interesse liegenden Archivzwecke, wissenschaftliche oder historische Forschungszwecke, statistische Zwecke, sowie Fälle, in denen die Erteilung der Information voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt.

• Gibt es Rechtsvorschriften, die die Erlangung bzw Offenlegung der Information ausdrücklich regeln, ist dies ausreichend.

• Unterliegen die personenbezogenen Daten einem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, müssen diese vertraulich behandelt werden, weswegen die Informationspflicht wegfällt.

Der relevanteste Ausnahmegrund für Start-ups und KMUs ist sicherlich, dass die betroffene Person bereits über die Information verfügt. Unmöglichkeit der Informationserteilung bzw Unverhältnismäßigkeit des dafür notwendigen Aufwandes wird für Unternehmen aufgrund der vielen technischen Möglichkeiten wohl selten argumentierbar sein. Bestehende Rechtsvorschriften oder Berufsgeheimnisse können dagegen in Ausnahmefällen zutreffen (zB Banken).

4.2.3. Änderung der Datenschutzerklärung

Im Laufe der Zeit verändern sich vielleicht bestimmte Aspekte der Verarbeitung, uU gibt es neue Entscheidungen oder Regelungen, die zu einer anderen bzw zusätzlichen Informationspflicht führen können. Um dem Transparenzgebot bei solchen Änderungen der Datenschutzinformation zu entsprechen, könnte als Maßnahme ein öffentlicher Hinweis auf diese Änderungen (zB bei Öffnen einer Website) erfolgen. Bei maßgeblichen oder schwerwiegenden Änderungen sollten die S. 83betroffenen Personen allerdings direkt aufmerksam gemacht werden (zB beim Einloggen auf der Homepage oder beim Öffnen einer App).

4.3. Bestellung eines Datenschutzbeauftragten

4.3.1. Wann muss ein Datenschutzbeauftragter bestellt werden?

Für Verantwortliche oder Auftragsverarbeiter kann es notwendig sein, einen Datenschutzbeauftragten zu bestellen. Dieser ist grundsätzlich als beratende und kontrollierende Stelle tätig. Seine Hauptaufgabe ist es, die Einhaltung der datenschutzrechtlichen Vorschriften zu überwachen.

Die DSGVO legt keine allgemeine Verpflichtung zur Benennung eines Datenschutzbeauftragten fest, sondern nennt abschließend drei Fälle, in denen eine entsprechende Pflicht besteht. Verantwortliche und Auftragsverarbeiter müssen demnach einen Datenschutzbeauftragten bestellen, wenn

• die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,

• die Kerntätigkeit des Verantwortlichen/Auftragsverarbeiters aus Datenverarbeitungen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder

• die Kerntätigkeit des Verantwortlichen/Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten (siehe Kapitel 3.2.2.) besteht.

Laut ErwGr 97 DSGVO bezieht sich die Kerntätigkeit des Verantwortlichen/Auftragsverarbeiter immer auf die Datenverarbeitung als Haupttätigkeit, nicht aber als Nebentätigkeit. Gemeint sind mit Haupttätigkeit die wichtigsten Arbeitsabläufe, die zur Erreichung der Ziele des Unternehmens erforderlich sind bzw wenn die S. 84Verarbeitung von Daten ein untrennbarer Bestandteil der Tätigkeit des Unternehmens ist.

So stellt zB die Verarbeitung von Gesundheitsdaten einer Fitnesstracker-App die Kerntätigkeit dar, die umfangreiche Verarbeitung von Mitarbeiterdaten im Zuge der Lohnabrechnung hat im Allgemeinen eine notwendige Unterstützungsfunktion und wird somit als Nebenfunktion angesehen.

Der Begriff „umfangreich“ wird in der DSGVO nicht näher definiert. Die Negativbeispiele in ErwGr 91 bieten leider ebenfalls wenig Auslegungshilfe, da hier allein auf die Anzahl der Verantwortlichen abgezielt wird, was aber in der Regel kein ausreichendes Merkmal darstellt. Ob eine Verarbeitung umfangreich ist oder nicht richtet sich viel mehr nach der Zahl der betroffenen Personen, dem Datenvolumen, der Dauer und der geografischen Ausdehnung der Verarbeitungstätigkeit.

In Ergänzung zu den Vorschriften der DSGVO sind die einzelnen Mitgliedstaaten ermächtigt, zusätzliche Tatbestände für eine Bestellungspflicht zu schaffen. Der österreichische Gesetzgeber hat diese Öffnungsklausel allerdings nicht genutzt, weshalb das DSG, anders als zB das deutsche Bundesdatenschutzgesetz, keine weiteren Fälle vorsieht, die eine Bestellung zwingend notwendig machen. In Österreich wird es – abhängig von der Geschäftstätigkeit des Verantwortlichen/Auftragsverarbeiters – nur in sehr eingeschränkten Fällen zwingend notwendig sein, einen Datenschutzbeauftragten zu bestellen.

4.3.2. Wer kann als Datenschutzbeauftragter bestellt werden?

Generell kann als Datenschutzbeauftragter ein Dienstnehmer des Verantwortlichen bzw Auftragsverarbeiters bestellt werden, der über die notwendigen Qualifikationen verfügt. Es kann aber auch eine externe Person oder ein externes Unternehmen herangezogen werden.

Beide Varianten haben gewisse Vorteile, die vom Unternehmen abgewogen werden sollten. Zum einen wird der interne Datenschutzbeauftragte die Arbeitsabläufe besser kennen, zum anderen hat aber der Externe in der Regel eine objektivere Sichtweise. Im Falle eines Unternehmens muss jedenfalls eine primär zuständige Ansprechperson vereinbart werden.

Für Unternehmensgruppen ist es auch möglich, einen gemeinsamen Datenschutzbeauftragten zu bestellen, der für mehrere Unternehmen zuständig ist.

4.3.3. Welche Stellung hat der Datenschutzbeauftragte?

Der Datenschutzbeauftragte iSd DSGVO hat eine Berater- und Überwachungsfunktion inne, ist jedoch nicht für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. Inhaltlich hat der Datenschutzbeauftragte den Verantwortlichen/Auftragsverarbeiter bzw dessen Dienstnehmer hinsichtlich datenschutzrechtlicher Pflichten zu unterrichten und beraten, sowie die Einhaltung der datenschutzrechtlichen Vorschriften zu überwachen. Darunter fallen vor allem die Zuweisung von Zuständigkeiten als auch die Sensibilisierung und Schulung von Mitarbeiter*innen. Darüber hinaus hat der Datenschutzbeauftragte iZm DSFA zu beraten und mit den Aufsichtsbehörden zusammenzuarbeiten.

Seine Pflichten und Aufgaben hat der Datenschutzbeauftragte in vollständiger Unabhängigkeit auszuüben. Das bedeutet, er muss weisungsfrei arbeiten und S. 86darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Dem Datenschutzbeauftragten kommt somit eine Art Kündigungs- und Versetzungsschutz zugute.

Der Datenschutzbeauftragte darf grundsätzlich auch andere Tätigkeiten im Unternehmen übernehmen, es darf dabei aber kein Interessenkonflikt im Hinblick auf seine sonstigen Aufgaben und Pflichten bestehen. Er darf also zB nicht ein Mitarbeiter aus der IT-Abteilung oder Teil der Geschäftsführung sein.

4.4. DSFA

Praxistipp

• Nach dem Muster in Abb 6 prüfen, ob eine DSFA notwendig ist.

• Diesen Überlegungsprozess dokumentieren bzw wenn nötig eine DSFA machen (siehe Muster).

S. 87Abb 6: Notwendigkeit einer DSFA

Für Datenverarbeitungen, bei denen ein besonders schwerwiegender Eingriff in die Rechte der betroffenen Personen zu befürchten ist, sieht die DSGVO eine zusätzliche Schutzebene vor. In diesen Fällen haben die Unternehmer*innen selbst eine umfassende Analyse der Verarbeitung zu erstellen – die sog DSFA oder S. 88Privacy Impact Assessment – und danach Ursache, Art, Besonderheit und Schwere des Risikos zu beurteilen. Sollte diese Prognoseentscheidung ergeben, dass durch die Verarbeitung, trotz eventueller Abhilfemaßnahmen, ein hohes Risiko für die Rechte betroffener Personen besteht, gibt es noch die Möglichkeit, die Datenschutzbehörde zu konsultieren.

Wird trotz der Notwendigkeit einer DSFA diese nicht durchgeführt, kann die Behörde empfindliche Strafen erteilen. Die DSFA ist also ein Instrument zur Sicherstellung, aber auch zum Nachweis der Einhaltung gesetzlicher Anforderungen. Die Dokumentation aller Schritte ist somit hier besonders wichtig. Für bestimmte Verarbeitungsvorgänge hat die Datenschutzbehörde bereits festgelegt, dass diese jedenfalls nicht (Whitelist) oder unbedingt (Blacklist) einer DSFA zu unterziehen sind.

Der Verantwortliche hat dafür zu sorgen, dass die DSFA durchgeführt wird, auch wenn er die eigentliche Durchführung nicht höchstpersönlich ausführen muss. Wurde ein Datenschutzbeauftragter bestimmt, ist auch dessen Rat einzuholen. Etwaige Auftragsverarbeiter haben mit dem Verantwortlichen zu kooperieren und alle notwendigen Unterlagen zur Verfügung zu stellen. Ggf kann auch der Standpunkt der betroffenen Personen eingeholt und diskutiert werden.

Die DSFA sollte nicht nur als lästige Verpflichtung gesehen, sondern darf auch als Chance verstanden werden, zu zeigen, dass die Datenverarbeitung im eigenen Geschäftsmodell der DSGVO entspricht, dass Risiken identifiziert und entsprechende Maßnahmen gesetzt wurden. Beschäftig sich ein Unternehmen frühzeitig mit der Datenverarbeitung der geplanten Geschäftstätigkeit und stellt – zB im Zuge der Erstellung eines Datenverarbeitungsverzeichnisses – fest, dass Art, Umfang, Umstände oder Zwecke der Verarbeitung eventuell hohe Risiken für betroffene Personen mit sich bringen könnten, soll eine DSFA einem Verantwortlichen dabei helfen, die spezifische Eintrittswahrscheinlichkeit und Schwere dieses hohen Risikos zu evaluieren und entsprechende Handlungen zu setzen.

S. 89Im Anschluss an eine Erstellung der DSFA und der Evaluierung des Risikos bestehen zwei Möglichkeiten: Entweder der Verantwortliche konnte ausreichend Maßnahmen setzen, um ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen abzuwenden oder ein hohes Risiko bleibt bestehen. In erstem Fall muss die DSFA zu Beweiszwecken aufbewahrt werden. Sie könnte auch (teilweise/zusammengefasst) veröffentlicht werden, zB als vertrauensbildende Maßnahme. In zweitem Fall kann die Datenschutzbehörde im Rahmen einer Konsultation eingeschaltet werden (Art 36 DSGVO).

4.4.1. Wann ist eine DSFA notwendig

Eine DSFA ist immer dann vom Verantwortlichen durchzuführen, wenn durch die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Dieses Risiko ergibt sich aus der Art (zB Bild-, Videodateien), dem Umfang (zB Zahl der Daten oder der betroffenen Personen), der Umstände (zB Art der Erhebung) und der Zwecke (zB auch Weiterverarbeitung) der Verarbeitung. Es kann in physischen, materiellen oder immateriellen Schäden bestehen und sich in jeglicher Art eines wirtschaftlichen oder gesellschaftlichen Nachteils niederschlagen, beispielsweise Diskriminierung, Identitätsdiebstahl oder Rufschädigung. Die oben genannten Rechte und Freiheiten natürlicher Personen meinen nicht ausschließlich das Recht auf Datenschutz, sondern können sich auch auf andere Grundrechte erstrecken. Verantwortliche müssen also zuerst eine Risikoabschätzung machen, an deren Ende dann eine DSFA stehen kann. In Zweifelsfällen empfiehlt sich, eine DSFA durchzuführen.

Die Risikoabschätzung kann aber auch dazu führen, dass kein hohes Risiko vorhanden und somit keine DSFA notwendig ist. Dies entbindet Verantwortliche selbstverständlich trotzdem nicht von ihrer allgemeinen Pflicht zur Einhaltung der Grundsätze (Datenminimierung, Speicherbegrenzung, Rechtmäßigkeit etc). Da die Regelung keine Zeitbeschränkung vorsieht, muss der Verantwortliche kontinuierlich seine Verarbeitungstätigen prüfen, um ggf eine DSFA anzustellen und/oder geeignete Maßnahmen zu setzen. Eine neuerliche Prüfung kann speziell notwendig werden, wenn sich die Risiken, Verarbeitungszwecke oder der organisatorische bzw gesellschaftliche Rahmen geändert haben.

S. 90Die Prüfung sollte in drei Schritten erfolgen:

• Fällt die Verarbeitung unter die Whitelist? Dann ist keine DSFA durchzuführen.

• Fällt die Verarbeitung unter die Blacklist oder unter eine der anderen Verarbeitungen die zwingend eine DSFA vorsehen?

• Stellt die Verarbeitung sonst ein hohes Risiko dar?

Whitelist

Am Beginn der Überlegungen zur DSFA sollten Unternehmen einen Blick in die Verordnung über die Ausnahmen von der DSFA (DSFA-AV) werfen. Findet sich die Verarbeitung in einer der beiden Listen wieder, ist der Verantwortliche von der Pflicht zur Durchführung einer DSFA ausgenommen.

Die DSFA-AV, die Whitelist, listet in ihrem Anhang Verarbeitungsvorgänge auf, für die keine DSFA erstellt werden muss. Ebenso ausgeschlossen sind Datenanwendungen, die bereits unter der alten Rechtslage genehmigt und registriert wurden sowie genehmigungsfrei waren. Der Anhang beinhaltet in 22 Unterkategorien viele relevante Anwendungen, darunter beispielsweise die Personalverwaltung, die Verarbeitung personenbezogener Daten im Rahmen einer Geschäftsbeziehung, die Führung von Mitgliederverzeichnissen, Zutrittskontrollsysteme (exklusive biometrischer Daten und ohne automationsunterstützten Abgleich), die Verarbeitung von eigenen oder zugekauften Kunden- und Interessentendaten zur Durchführung von Newsletter-Versand oder die Datenverarbeitung zur Abhaltung von Veranstaltungen im öffentlichen und privaten Bereich (Einladung und Registrierung der Teilnehmenden, Organisation von Reisen, Versorgung der Teilnehmenden).

Zwingend notwendige DSFA

Die Verordnung über Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist (DSFA-V) beinhaltet die Blacklist, also eine Aufzählung von Verarbeitungsarten, die jedenfalls einer DSFA bedürfen. Ausgenommen sind Formen der Verarbeitung, die bereits durch die DSFA-VA genehmigt sind. Um unter die Blacklist zu fallen, reicht manchmal ein Element (§ 2 Abs 2 DSFA-V), manchmal müssen zwei der Voraussetzungen erfüllt sein (§ 2 Abs 3 DSFA-V). Zu den Elementen gehören Verarbeitungsvorgänge, die bestimmte Ausgestaltungen von automatisierten Verarbeitungen oder Entscheidungsfindungen beinhalten, BilddatenverarbeitunS. 91gen, die Verwendung von neuen Technologien, KI, Abgleichen von Datensätzen, die Verwendung von biometrischen Daten, Verarbeitungen im höchstpersönlichen Bereich, die umfangreiche Verarbeitung besonderer Kategorien von Daten oder die Erfassung von Standortdaten. Da die Liste recht weitreichend ist, sollte man im Zweifel eine DSFA durchführen, ansonsten dokumentieren warum die DSFA-V für die jeweilige Verarbeitung nicht zutrifft.

Die DSGVO nennt ebenfalls drei Verarbeitungen, bei denen jedenfalls eine DSFA durchgeführt werden sollte:

Im Gegensatz zu Art 22 DSGVO, der von einer Entscheidung spricht, die ausschließlich auf automatisierter Verarbeitung beruht, ist der Anwendungsbereich hier also breiter. Es sind nämlich auch Bewertungen umfasst, die auf automatisierten Verarbeitungen gründen. Somit können Datenverarbeitungsmodelle, die zwar nicht unter die automatisierte Verarbeitung nach Art 22 fallen, trotzdem DSFA-pflichtig sein.

Relativ notwendige DSFA

Fällt eine Form der Verarbeitung nicht in eine der explizit aufgezählten Fälle, kann sie trotzdem ein „hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ bedeuten. Bestimmte Risikofaktoren erleichtern hier eine Prüfung, sind aber keine Garantie. Gleich wie Szenarien denkbar sind, in denen eine DSFA auch ohne Zutreffen von Risikofaktoren geboten ist, impliziert das Zutreffen eines Risikofaktors nicht automatisch eine DSFA. Bei Zutreffen zweier Faktoren liegt die Durchführung einer DSFA allerdings bereits nahe. Grundsätzlich gilt, dass je mehr der folgenden Kriterien erfüllt sind, umso eher eine DSFA notwendig ist.

• S. 92Bewerten oder Einstufen anhand von personenbezogenen Daten, einschließlich der Erstellung von Profilen und Prognosen.

  Fällt die Form der Verarbeitung also nicht unter die systematische und umfassende Bewertung gem Art 35 Abs 3 lit a DSGVO (siehe oben), muss die Profilerstellung trotzdem in eine Risikoabwägung einfließen. Hier fällt zB das Erstellen von Marketingprofilen basierend auf Websitenutzung hinein.

• Automatisierte Entscheidungsfindung anhand von personenbezogenen Daten mit Rechtswirkung oder ähnlich bedeutsamer Wirkung.

• Systematische Überwachung, mit der personenbezogene Daten verarbeitet werden, ist ein Risikofaktor, selbst wenn diese nicht umfangreich gem Art 35 Abs 3 lit c DSGVO (siehe oben) ist. Problematisch ist hier ua, wenn die Überwachung ohne Wissen der betroffenen Personen stattfindet.

• Die Verarbeitung von vertraulichen oder höchstpersönlichen Daten.

  Das meint besondere Kategorien von Daten sowie Daten zu strafrechtlichen Verurteilungen, aber auch andere vertrauliche Daten, wenn deren Verarbeitung zu einer Grundrechtseinschränkung führen kann.

• Abgleichen bzw Zusammenführen von Datensätzen, wenn die betroffene Person damit vernünftigerweise nicht rechnen kann.

• Datenverarbeitung in großem Umfang, was durch die Zahl der Betroffenen (auch als Anteil der betroffenen Gruppe), die Datenmenge, die Dauer oder das geografische Ausmaß erfüllt werden kann.

• Die Verarbeitung von Daten von schutzbedürftigen Personen, bei denen angenommen werden kann, dass zwischen ihnen und dem Verantwortlichen ein Machtungleichgewicht besteht. Das sind Kinder, Arbeitnehmer*innen und andere Gruppen mit besonderem Schutzbedarf (zB Pensionist*innen, Patient*innen).

• Anwendung oder innovative Nutzung neuer technologischer oder organisatorischer Lösungen.

  Werden neue Technologien verwendet, ist ein hohes Risiko wahrscheinlich. Was genau darunter fällt, wird nicht näher definiert, ist aber immer abhängig vom aktuellen Stand der Technik zu sehen.

• Betroffene Personen können an der Ausübung eines Rechts, der Nutzung einer Dienstleistung bzw Durchführung eines Vertrags gehindert werden, zB wenn über Kreditvergaben entschieden wird.

Gelangt eine Unternehmerin zu dem Schluss, dass trotz Vorliegen einer oder sogar mehrerer Faktoren kein hohes Risiko zu erwarten ist, sollte sie die eingeflossenen Abwägungen und die gezogene Schlussfolgerung dokumentieren.

4.4.2. Wie mache ich eine DSFA?

4.4.2.1. Gegenstand der DSFA

Zuerst muss geklärt werden, was genau Gegenstand der Risikoabwägung bzw DSFA sein soll. Mit anderen Worten, soll das Risiko hinsichtlich eines bestimmten Verarbeitungsvorgangs, mehrerer Verarbeitungsvorgänge oder überhaupt eines ganzen Geschäftsmodells eingeschätzt werden?

Die DSGVO spricht von „einer Form der Verarbeitung“, räumt aber die Möglichkeit ein, „mehrere ähnliche Verarbeitungsvorgänge mit ähnlich hohen Risiken“ in einer einzigen DSFA zu dokumentieren. Bei mehreren Verantwortlichen muss deren jeweiliger Aufgabenbereich genau definiert werden.

4.4.2.2. Form

Eine genaue Form schreibt die DSGVO nicht vor, lediglich, dass eine objektive Bewertung vorgenommen werden soll, um zu beurteilen, ob ein hohes Risiko vorliegt. Um später nachweisen zu können, dass – basierend auf einer DSFA – angemessene Maßnahmen zum Schutz der betroffenen Personen ergriffen wurden, sollte die DSFA jedenfalls schriftlich (elektronisch) erfolgen.

4.4.2.3. Inhalt

Bei der genauen Ausgestaltung der DSFA hat der Verantwortliche auch hinsichtlich des Inhalts einigen Spielraum. Die Verordnung gibt lediglich einen Mindestinhalt vor:

• Eine systematische Beschreibung der Verarbeitung, einschließlich

  –

  der geplanten Verarbeitungsvorgänge;

  –

  der Zwecke der Verarbeitung und

  –

  der berechtigten Interessen des Verantwortlichen oder Dritten, falls auf dieser Grundlage verarbeitet wird;

• S. 95eine Bewertung

  –

  der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck und

  –

  der Risiken für die Rechte und Freiheiten der betroffenen Personen und

• eine Auflistung der geplanten Abhilfemaßnahmen zur Bewältigung der Risiken.

Bei der Bewertung der Risiken ist die Einhaltung genehmigter Verhaltensregeln gem Art 40 DSGVO durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter zu berücksichtigen. Verantwortliche müssen sich Ursache, Art, Besonderheit und Schwere der Risiken aus Sicht der Betroffenen überlegen sowie die möglichen Auswirkungen auf deren Rechte.

Die Bewertung der Notwendigkeit und Verhältnismäßigkeit ist mit einer näheren Beschreibung der Rechtmäßigkeit verbunden. Bei der Einschätzung, ob ein Risiko besteht bzw wie hoch es ist, sind sowohl die Eintrittswahrscheinlichkeit als auch die Konsequenzen für die betroffenen Personen abzuwägen und in Relation zu setzen. Die Bewertung kann man sich mit einer Risikomatrix erleichtern. Bei Multiplikation der Eintrittswahrscheinlichkeit mit den Folgen beispielsweise (jeweils eine Skala von 1–3) könnte sich ergeben: 1 und 2 geringes Risiko, 3 und 4 mittleres Risiko (also sowohl wenn beide mittleres Risiko aufweisen als auch, wenn zumindest eine Achse hohes Risiko zeigt) und ein Wert ab 6 für hohes Risiko.

Unter Abhilfemaßnahmen fallen beispielsweise Garantien, Sicherheitsvorkehrungen oder Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird. Ein Fokus liegt hier auf den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener. Besteht eine automatische Entscheidungsfindung, sollte der Verantwortliche den Umfang der menschlichen Beteiligung an der Entscheidungsfindung ermitteln und aufzeichnen sowie die Phase, in der sie erfolgt.

Wurde ein Datenschutzbeauftragter für das Unternehmen bestellt, ist dieser zu konsultieren.

S. 96Diese Elemente tabellarisch aufzubereiten ist der Erfahrung der Autorin und des Autors nach am übersichtlichsten, doch bestehen – wie schon oben erwähnt – keine genauen Formvorgaben. Das folgende Muster kann als Basis verwendet werden. Da die Verarbeitungsvorgänge aber von Unternehmen zu Unternehmen unterschiedlich sind, sind das Herzstück die individuell eingetragenen Daten.

4.4.3. Konsultation mit der Datenschutzbehörde

Geht aus einer DSFA hervor, dass die Verarbeitung ein hohes Risiko zur Folge hätte und konnte der Verantwortliche keine ausreichenden Maßnahmen zur Eindämmung des Risikos treffen, muss der Verantwortliche vor der Verarbeitung die Datenschutzbehörde konsultieren. Diese hat dann ab Erhalt eines Ersuchens acht Wochen Zeit, um schriftliche Empfehlungen abzugeben oder sonstige ihr zugestandene Befugnisse auszuüben. Die Frist ist bei komplexen Fragestellungen um weitere sechs Wochen verlängerbar.

4.5. Speicher-/Löschkonzept

Weiter oben wurden die Prinzipien des Datenschutzrechts besprochen, ua Zweckbindung, Datenminimierung und Speicherbegrenzung. Verantwortliche dürfen also personenbezogene Daten nur so lange speichern, als dies für die Zwecke notwendig ist. Danach müssen Daten gelöscht werden, wenn dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Um sicherzugehen, dass Daten nur für diesen Zeitraum aufbewahrt werden, sollte ein auf das jeweilige Unternehmen angepasstes Speicherkonzept bzw Löschkonzept ausgearbeitet werden. Auch wenn so ein Konzept keine konkrete Vorgabe der DSGVO ist (wie zB ein VerarS. 99beitungsregister zu haben oder Informationspflichten nachzukommen), ist dessen Notwendigkeit durch die anderen Pflichten impliziert und findet auch in den Erwägungsgründen Platz. Von dem Speicherkonzept ausgehend können dann die Löschfristen für Verarbeitungsverzeichnis, DSFA (wenn notwendig), Datenschutzerklärung oder Anfragebeantwortungen entnommen werden. Detailgrad und Ausführlichkeit des Löschkonzeptes hängen von den für jedes Unternehmen unterschiedlichen Verarbeitungsvorgängen ab. Eine Tischlerei mit zwei Mitarbeitern, die weder Newsletter verschickt noch einen Webshop hat, kann die Regeln zu Speicherung und Löschung kurz halten und vielleicht noch in ihr Verarbeitungsverzeichnis integrieren, während der Betreiber einer Banken-App hier wohl einen größeren dokumentarischen und organisatorischen Aufwand betreiben muss.

Auch wenn es für ein Speicher-/Löschkonzept keine allgemein gültige Form oder ein allgemein gültiges Konzept gibt, sollten jedenfalls ein technischer/organisatorischer Aspekt (wer ist zuständig, funktioniert die Löschung automatisch) sowie ein zeitlicher Aspekt (bestimmte Löschfristen bzw Überprüfungsfristen) bedacht werden. Im Folgenden sollen die Schritte erklärt werden, an deren Ende ein datenschutzkonformes Speicher-/Löschkonzept steht.

Ermittlung der zu verarbeitenden Daten

Der erste Schritt ist, sich anhand des Unternehmenskonzeptes und der bekannten Prozesse zu überlegen, welche Daten überhaupt verarbeitet werden (sollen). Diese Bestandsaufnahme kann Daten von Kunden, Mitarbeiter*innen oder Dritten (zB Lieferant*innen) betreffen. Wurde bereits ein Verarbeitungsverzeichnis erstellt, können die Daten von dort übernommen werden.

Kategorisierung

Verarbeitet man viele verschiedene Arten von Daten, dann macht es Sinn, diese zu Datenarten zusammenzufassen, um nicht für jedes einzelne Datum Löschregeln festlegen zu müssen. Da Daten gelöscht werden müssen, wenn sie für ihren Zweck nicht mehr notwendig sind, macht es Sinn, hier nach Verarbeitungszwecken zu kategorisieren. Dabei kann es durchaus sein, dass Daten in mehreren Datenarten vorkommen.

S. 100Löschfrist definieren

Für manche Datenarten hat einem der Gesetzgeber die Arbeit abgenommen und Aufbewahrungsfristen (dh Daten müssen bis Ablauf aufbewahrt und danach gelöscht werden) bzw Verjährungsfristen (dh bis zum Ablauf besteht uU ein berechtigtes Interesse, die dafür notwendigen Daten aufzubewahren, danach sind sie zu löschen) definiert. Siehe eine nicht abschließende Aufzählung der wichtigsten Fristen dazu unten in der Box!

Gibt es eine solche vorgegebene Frist nicht, hat man sich an der Erfüllung des Zwecks zu orientieren (zB Löschung eines Accounts), was auch zu einer sofortigen Löschung führen kann (zB Weblogs). Für jede Datenart sollte das Unternehmen eine Löschfrist sowie den Fristbeginn für diese Frist bestimmen.

Es ist wahrscheinlich, dass man zu diesem Zeitpunkt im Prozess die Zuordnung der Daten zu den Datenarten etwas überarbeiten bzw spezifizieren muss, zB weil es für die Kategorie Mitarbeiter*innendaten verschiedene Aufbewahrungsfristen gibt. Auch in Fällen, in denen spezielle Daten über die Löschfrist hinaus benötigt werden (zB weil ein Rechtsstreit anhängig oder sehr wahrscheinlich ist), sollten diese entweder speziell gekennzeichnet oder einer eigenen Datenart (zB anhängige Rechtsstreitigkeiten) zugeordnet werden.

Organisatorische Themen

Die Unternehmerin muss nebenbei festlegen, wie die Aufgaben (zB Löschungen durchführen, Löschanfragen bearbeiten, regelmäßige Überprüfung der Speicherfristen) im Unternehmen verteilt werden, was die genauen Abläufe für jede Aufgabe sind und welche technischen Systeme verwendet werden sollen. Auch die Handhabung von Löschungen aufgrund von berechtigten Löschanfragen betroffener Personen – wenn dem keine gesetzlichen Aufbewahrungspflichten oder ein Rechtsstreit entgegenstehen – sollte bedacht werden. Werden Auftragsverarbeiter verwendet, ist darauf zu achten, dass die Löschfristen auch von diesen umgesetzt werden.

Selbstverständlich gilt das Gesagte auch für analoge Aufbewahrungen wie Karteikartensysteme und externe Speichermedien wie USB-Sticks, solange diese sachlich in den Geltungsbereich der DSGVO fallen (mehr zur Löschung auch in Kapitel 9.1.3.).

Dokumentation

Um im Anlassfall beweisen zu können, dass Daten gelöscht werden, sollten Aufzeichnungen darüber geführt werden (Rechenschaftspflicht des Verantwortlichen). Was genau der Inhalt der (routinemäßigen) Löschung war, muss selbstverständlich nicht dokumentiert werden, aus den Dokumenten sollte aber hervorgehen, dass anhand des Löschkonzeptes gelöscht wurde. Details, die inkludiert sein könnten, sind zB Datum, fürs Löschen zuständige Mitarbeiter*innen bzw zuständiges Programm, Beschreibung der gelöschten Datenarten oder Anzahl der gelöschten Daten.

Unternehmen, die sich die oben ausgeführten Gedanken machen und dokumentieren, haben bereits viele Erkenntnisse erlangt, die die Erfüllung der anderen Must-haves erleichtern. Je nach Komplexität der Vorgänge ist es empfehlenswert, sich hier professionelle organisatorische und/oder technische Hilfe zu suchen.

S. 1024.6. Datensicherheit

Art 24 DSGVO schreibt die allgemeine Verantwortung des Verantwortlichen für die Datenschutzkonformität fest. Das bedeutet, dass der Verantwortliche geeignete Maßnahmen umsetzen muss, um sicherzustellen, dass die Verarbeitung der personenbezogenen Daten den Vorgaben der DSGVO entspricht.

Diese Maßnahmen lassen sich grundsätzlich in die drei folgenden Kategorien unterteilen, wobei es hier auch zu Überschneidungen kommen kann bzw einzelne Maßnahmen in mehrere Kategorien fallen können:

• Datenschutz durch Technikgestaltung (Privacy by Design)

• Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default)

• TOM

4.6.1. Was ist Privacy by Design?

Privacy by Design bzw Datenschutz durch Technikgestaltung bedeutet laut Art 25 Abs 1 DSGVO, dass der Verantwortliche

Diese Maßnahmen sind jeweils unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen EintrittswahrscheinlichS. 103keit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen zu gestalten.

In der Praxis bedeutet das, dass die zur Verarbeitung eingesetzte Technik, sowohl Soft- als auch Hardware, derart gestaltet sein muss, dass die Anforderungen der DSGVO, insb die Grundsätze gem Art 5 DSGVO (siehe Kapitel 3.1.), eingehalten werden können. Die Planung und Implementierung der Maßnahmen finden also schon vorgelagert bei der Entwicklung statt.

4.6.2. Was ist Privacy by Default?

Privacy by Default bzw Datenschutz durch datenschutzfreundliche Voreinstellungen bedeutet laut Art 25 Abs 2 DSGVO, dass der Verantwortliche Maßnahmen trifft,

Die Bestimmung zielt darauf ab, dass der Verantwortliche bereits als Grundmodus technische Spezifikationen einführt, die für ein Datenschutzniveau sorgen, dass den Grundsätzen der Datenminimierung, Speicherbegrenzung und Zweckbindung entspricht. Die Maßnahmen müssen daher hinsichtlich der Menge der erhobenen Daten, dem Umfang der Verarbeitung, der Speicherfrist sowie der Zugänglichkeit zu den Daten getroffen werden. Dabei ist sicherzustellen, dass die verarbeiteten Daten nicht einer unbegrenzten Zahl von Personen offengelegt werden.

Im Gegensatz zu Privacy by Design geht es hier nicht unbedingt um die technische Gestaltung von Soft- oder Hardware, sondern vielmehr um die von Grund an getroffenen Einstellungen, insb auf Websites oder in Apps. Dabei ist immer die datenschutzfreundlichste Einstellung als Grundeinstellung zu wählen. Im Einklang mit den Vorgaben der DSGVO werden dadurch Verarbeitungen auf das absolut notwendigste reduziert. Den Betroffenen soll dadurch die Möglichkeit gegeben werden, selbst Einfluss auf Art und Umfang der Verarbeitung ihrer personenbezogenen Daten zu nehmen. Weniger technikaffine Betroffene werden somit besonders geschützt, da sie in der Regel sonst die Datenschutzeinstellungen nicht entsprechend selbst anpassen könnten und der Willkür des Verantwortlichen ausgeliefert wären.

4.6.3. Welche TOM sind zu treffen?

Die DSGVO verpflichtet den Verantwortlichen/Auftragsverarbeiter dazu, geeignete TOM zu treffen. Diese TOM müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlichen Personen ein angemessenes Schutzniveau gewährleisten können.

Die DSGVO enthält leider keine Auflistung konkreter TOM, die getroffen werden müssen. Art 32 Abs 1 DSGVO sieht nur einen eher allgemeinen, kurz gehaltenen Maßnahmenkatalog vor, der jedenfalls nicht abschließend zu verstehen ist.

Laut DSGVO sollten zumindest diese Maßnahmen getroffen werden:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten;

• Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste iZm der Verarbeitung auf Dauer sicherzustellen;

• Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

• Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Es ist dabei dem Verantwortlichen bzw Auftragsverarbeiter selbstverantwortlich überlassen, welche Maßnahmen er trifft. Datensicherheit kann daher auf mehreren Wegen erreicht werden, Betroffene haben kein Recht auf bestimmte Sicherheitsmaßnahmen. Die Sicherheitsmaßnahmen sind an die jeweilige Verarbeitung anzupassen, weshalb es grundsätzlich auch keine Blaupause für ausreichende Maßnahmen gibt.

Die für die Praxis wichtigsten Maßnahmen lassen sich wie folgt zusammenfassen:

• Zutritt- und Zugangskontrollen

  Der physische Zutritt zu Datenverarbeitungsanlagen, zB Serverraum, von Unberechtigten muss verhindert werden – ua durch elektronische Zutrittssysteme.

  Auch der digitale Zugriff von Unberechtigten muss unterbunden werden, zB durch Verschlüsselung oder Zwei-Faktor-Authentifizierungen.

• Zugriffs- und Eingabekonzept

  Ungewünschte Einsicht bzw Änderung der verarbeiteten Daten durch Unbefugte sind zu verhindern. Es sollte daher ein strenges Berechtigungskonzept (auf Basis des Need-to-know-Prinzips) eingeführt werden. Darüber hinaus sollten jegliche Zugriffe durch das System protokolliert werden, um Änderungen und Löschungen nachvollziehbar zu machen.

• Weitergabekontrolle

  Um zu verhindern, dass Daten an Dritte ungewünscht offengelegt werden, oder diese lesbar abgefangen werden können, müssen entsprechende Maßnahmen bei der Weitergabe getroffen werden. In der Praxis üblich sind hier Verschlüsselung der Daten, zB durch Passwortschutz.

• Sicherung und Wiederherstellung der Verfügbarkeit

  Essenziell für die Datensicherheit ist der Schutz vor ungewünschtem Verlust der Daten, zB bei Serverausfall oder einem sog Cryptolocker-Angriff. Durch Firewalls und regelmäßige Back-ups kann hier Abhilfe geschaffen werden, da eine rasche Wiederherstellung der Daten möglich ist.

4.6.4. Müssen Maßnahmen laufend evaluiert werden?

Wie die meisten anderen datenschutzrechtlichen Pflichten ist es auch bei den Sicherheitsmaßnahmen nicht ausreichend, wenn diese nach erstmaliger Einführung statisch beibehalten werden. Zum ersten müssen die getroffenen Maßnahmen S. 106dem Stand der Technik gerecht werden, weshalb bereits hier eine laufende Aktualisierung notwendig sein kann. Daneben sieht auch bereits wie oben erwähnt die DSGVO ausdrücklich vor, dass Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Maßnahmen eingeführt werden müssen.

Genaue Vorgaben dazu, wie diese Überprüfungen auszusehen haben oder wie oft diese durchzuführen sind, werden durch die DSGVO nicht gemacht. In der Informatik gibt es einige mögliche Testverfahren, wie zB Penetrationstests, Fuzzy Matching oder Reverse Engineering, die eingesetzt werden können, um die Wirksamkeit zu evaluieren. Diese Prüfungen sollten in regelmäßigen Abständen durchgeführt werden und als Grundlage für eventuell notwendige Anpassungen herangezogen werden.

In der Praxis etabliert hat sich die Einführung eines sog PDCA-Zyklus, der sich ua auch in dem Standard der ISO 27001 findet. PDCA steht dabei für Plan-Do-Check-Act. Dieser Zyklus läuft im Groben wie folgt ab:

Zu Beginn steht die Planungsphase, in der es gilt, Ziele und Anforderungen zu definieren. Zumeist wird dies gepaart mit einer Ist-Stand-Analyse. Gefolgt wird diese Planungsphase von der Umsetzungsphase. Nun gilt es die zuvor identifizierten Maßnahmen umzusetzen bzw einzuführen. Zur Umsetzung gehört auch eine entsprechende Sensibilisierung der Mitarbeiter durch Schulungen und Informationen. Sobald die Implementierung abgeschlossen ist, kommt die Phase der Überprüfung. Dabei werden die eingeführten Maßnahmen laufend kontrolliert, zB durch Penetrationstests. Aus den Ergebnissen der dritten Phase kann sich ein entsprechender Änderungsbedarf ergeben. Die Optimierung der Maßnahmen anhand der Überprüfungsergebnisse erfolgt in der vierten Phase, bevor der Zyklus wieder von vorne beginnt.

Durch diesen Kreislauf ist eine laufende Überprüfung und Anpassung der Sicherheitsmaßnahmen gewährleistet. Die Dauer der einzelnen Phasen kann dabei je nach Organisation und Sicherheitsmaßnahmen unterschiedlich ausfallen. Als Mindeststandard sollte die Überprüfungen aber einmal jährlich durchgeführt werden.

S. 107Abb 7: PDCA-Zyklus

4.7. Meldung von Datenschutzverletzungen (Data Breach Notification)

Trotz aller Sicherheitsmaßnahmen kann es zu Datenschutzverletzungen kommen, wie zB der Verlust von Daten durch Hackerangriffe, eine unbeabsichtigte Offenlegung oder ein Ausfall der technischen Einrichtungen. Nachdem solche Vorfälle weitreichende Folgen für Betroffene haben können, wie zB Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl, finanzieller Verlust etc, sieht die DSGVO eine umfassende Informationspflicht, besser bekannt als Data Breach Notification, an die Datenschutzbehörde sowie die Betroffenen vor.

4.7.1. Was ist ein Data Breach?

Eine Datenschutzverletzung bzw ein Data Breach ist nach Art 4 Z 12 DSGVO

S. 108In Anlehnung an die Informationssicherheit ergeben sich drei Grundsätze, in die Datenschutzverletzungen unterteilt werden können, nämlich:

• Verletzung der Vertraulichkeit: unbefugte oder unbeabsichtigte Preisgabe von oder Einsichtnahme in personenbezogene Daten

• Verletzung der Integrität: unbefugte oder unbeabsichtigte Änderung personenbezogener Daten

• Verletzung der Verfügbarkeit: unbefugter oder unbeabsichtigter Verlust des Zugangs zu personenbezogenen Daten oder die unbeabsichtigte oder unrechtmäßige Vernichtung personenbezogener Daten

Dabei kann eine Datenschutzverletzung zugleich mehrere der oben genannten Grundsätze betreffen und muss nicht ausschließlich einem zugeordnet werden können.

4.7.2. Wann und wie melde ich an die Datenschutzbehörde?

Art 33 DSGVO schreibt vor, dass Datenschutzverletzungen generell von den Verantwortlichen an die für sie zuständige Datenschutzbehörde gemeldet werden müssen. Wenn Personen in mehr als einem Mitgliedstaat betroffen sind, dann hat S. 109die Meldung an die federführende Aufsichtsbehörde zu ergehen. Eine Meldung kann lediglich dann unterbleiben, wenn sich daraus voraussichtlich kein Risiko eines Eintritts von nachteiligen Auswirkungen ergibt.

Die Beurteilung, ob dieses Risiko gegeben ist oder nicht, muss grundsätzlich der Verantwortliche selbständig treffen. Die DSGVO selbst bietet dabei keine Anleitung, wie die Beurteilung zu erfolgen hat und in welchen Fällen kein Risiko vorliegt. Generell kann man sagen, dass die Schwere des möglichen Schadens und die Eintrittswahrscheinlichkeit eines Schadens die maßgeblichen Faktoren sind. Bei Bestimmung dieser Faktoren sind Menge und Art der betroffenen Daten sowie Ziele und Fähigkeiten Dritter, die (potenziell) Zugang zu den Daten erhalten haben, zu berücksichtigen.

Der Europäische Datenschutzausschuss hat als Entscheidungshilfe eine Richtlinie mit Beispielen für Data Breach Notifications beschlossen, die in der Praxis gängige Vorfälle wie Ransomware-Angriffe, Daten-Diebstahl, Verlust von Geräten/Dokumenten oder fehlerhaft versendete E-Mails behandelt und aufklärt, unter welchen Umständen eine Meldung notwendig ist oder nicht. Im Folgenden ist eine Auswahl der darin enthaltenen Beispiele abgedruckt.

Die Meldung hat unverzüglich ab Kenntnis, jedoch spätestens binnen 72 Stunden zu erfolgen. Kenntnis bedeutet grundsätzlich, dass der Verantwortliche positive S. 110Kenntnis hat, also die konkrete Verletzung erkannt hat. Die Artirkel-29-Datenschutzgruppe vertrat bislang die Ansicht, dass hinreichende Gewissheit über das Auftreten einer Datenschutzverletzung bereits ausreichen solle, um die Meldefrist auszulösen.

Nachdem die Frist in der DSGVO in Stunden angegeben wird, wird sie grundsätzlich nicht durch Feiertage oder Wochenenden gehemmt bzw kann auch an solchen Tagen auslaufen, sie muss jedoch mindestens zwei Arbeitstage umfassen. In der Praxis ist es daher unerlässlich, einen klar definierten Prozess einzuführen, der eine entsprechend rasche Erfassung und Bearbeitung einer potenziellen Verletzung gewährleisten kann. Ein Überschreiten der Meldefrist ist nur mit einer Begründung möglich.

Gem Art 33 DSGVO hat die Data Breach Notification an die Datenschutzbehörde zumindest folgendes zu beinhalten:

• Beschreibung der Art der Verletzung;

• Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

• Beschreibung der wahrscheinlichen Folgen der Verletzung;

• Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.

Um die Meldefrist zu wahren, müssen nicht sämtliche Informationen sofort gemeldet werden. Es ist ausreichend, eine schrittweise Meldung zu machen, sollte es bei der Aufklärung Verzögerungen geben. Jedoch darf aus der schrittweisen Meldung keine unangemessene weitere Verzögerung resultieren.

S. 1124.7.3. Wann und wie melde ich an Betroffene?

Hat eine Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu Folge, ist zusätzlich zur Meldung an die Datenschutzbehörde auch eine Meldung an die betroffenen Personen notwendig. Zur Einschätzung des Risikos gibt es hier ebenso wenig genaue Vorgaben. Es gilt insofern das in Kapitel 4.7.2. gesagte, die Schwelle für die Meldepflicht ist jedoch eine höhere.

Die Meldung an die Betroffenen hat unverzüglich, dh so schnell wie möglich, zu erfolgen. Das bedeutet aber keine sofortige Benachrichtigung. Wenn eine längere Benachrichtigungsfrist gerechtfertigt ist, zB um geeignete Abhilfemaßnahmen zu treffen, kann mit der Meldung zugewartet werden. Verantwortliche sind dazu angehalten, die Meldung an die Betroffenen in enger Absprache mit der Datenschutzbehörde zu erstellen, insb hinsichtlich Inhaltes und Kontaktaufnahme. Das ist dafür wichtig, dass die Betroffenen selbständig Schutzmaßnahmen treffen können, wie zB die Änderung eines Passworts.

Inhaltlich ist die Meldung an die Betroffenen weniger umfassend als die Meldung an die Datenschutzbehörde. Art 33 DSGVO sieht folgenden Mindestinhalt vor, wobei es dem Verantwortlichen freisteht, darüberhinausgehende Informationen mitzuteilen:

• eine Beschreibung der Art der Datenschutzverletzung;

• Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;

• eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung;

• eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung, ggf einschließlich der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Dabei ist die Meldung, wie auch sonstige Kommunikation mit den Betroffenen, in klarer und einfacher Sprache zu verfassen (siehe auch Kapitel 4.2.1.). Damit soll sichergestellt werden, dass die Betroffenen die Tragweite des Vorfalls verstehen und entsprechende Schutzmaßnahmen treffen können. Darüber hinaus sollte die Meldung grundsätzlich direkt an die Betroffenen, zB via E-Mail oder Push-Nachricht erfolgen. Sie sollte aber keinesfalls mit anderen Meldungen, wie Updates, Newslettern etc gemeinsam erfolgen, sondern eine eigenständige Benachrichtigung darstellen.

Eine direkte Kontaktaufnahme kann dann unterbleiben, wenn dies mit einem unverhältnismäßig hohen Aufwand verbunden wäre, zB wenn eine direkte KontaktS. 113aufnahme technisch nicht möglich ist oder keine Kontaktdaten (E-Mail-Adresse, Postanschrift) vorhanden sind. In diesem Fall hat die Benachrichtigung durch öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen.

Die Meldung kann zudem in folgenden Fällen unterbleiben:

• Der Verantwortliche hat vor der Datenschutzverletzung geeignete TOM zum Schutz personenbezogener Daten umgesetzt, insb solche Maßnahmen, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden.

  zB durch Verschlüsselung oder Tokenisierung

• Der Verantwortliche hat unmittelbar nach einer Datenschutzverletzung durch Maßnahmen dafür gesorgt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht.

  zB wenn eine Verwendung der Daten durch den Täter durch ergriffene Maßnahmen verhindert werden kann

Das Vorliegen dieser Ausnahmen ist im Zuge der Rechenschaftspflicht der Datenschutzbehörde gegenüber nachzuweisen. In der Praxis sollte daher die Einschätzung, ob eine Meldung zu erfolgen hat, und die Begründung, warum diese allenfalls unterblieben ist, unbedingt dokumentiert werden.

4.7.4. Was muss dokumentiert werden?

Verantwortliche müssen Datenschutzverletzungen ungeachtet ihrer Auswirkungen dokumentieren. In der Dokumentation müssen alle iZm der Datenschutzverletzung S. 114stehenden Fakten, die Auswirkungen der Verletzung sowie die ergriffenen Abhilfemaßnahmen enthalten sein. Ebenfalls sollte, wenn auch nicht explizit vorgeschrieben, eine Risikoeinschätzung sowie ggf eine Begründung, weshalb kein Risiko besteht und somit keine Meldung erfolgt ist, dokumentiert werden.

4.8. Datenschutz-Audit

Unter Datenschutz-Audit versteht man im Wesentlichen die Überprüfung der Unternehmensstruktur und ‑prozesse auf Compliance mit den datenschutzrechtlichen Vorschriften. Eine solche Überprüfung ist in der DSGVO allgemein nicht vorgeschrieben. Hinsichtlich einiger konkreten Verpflichtungen besteht aber die Notwendigkeit einer laufenden Überprüfung, zB bei der Beauftragung von Auftragsverarbeitern oder den getroffenen Sicherheitsmaßnahmen.

Darüber hinaus ergibt sich aus dem Prinzip der Rechenschaftspflicht (siehe Kapitel 3.1.9.) die Notwendigkeit, die Einhaltung der datenschutzrechtlichen Vorschriften dokumentiert nachweisen zu können. Vor allem bei einer Prüfung durch die Datenschutzbehörde sollte eine möglichst gute und vor allem schriftliche Dokumentation vorlegbar sein. Für die Praxis ist es daher unumgänglich, regelmäßige eigenständige Überprüfungen durchzuführen, um etwaige Fehler bzw Lücken oder andere Probleme aufzudecken und ausbessern zu können.

Die hinsichtlich TOM notwendigen laufenden Überprüfungen (siehe Kapitel 4.6.4.) sollten unabhängig von einem allgemeinen Datenschutz-Audit durchgeführt werden. Andersrum sollte im Zuge des Audits aber generell auch eine Überprüfung der TOM vorgenommen werden, jedoch in einem weniger detaillierten Ausmaß.

S. 115Diese Datenschutz-Audits können sowohl selbst vom Verantwortlichen als auch von einem externen Berater durchgeführt werden. Die Entscheidung sollte danach getroffen werden, ob im Unternehmen entsprechende Expertise vorhanden ist.

4.8.1. Wie oft sollte ein Audit durchgeführt werden?

Auch hierzu gibt es keine genauen Vorgaben in der DSGVO. Die Häufigkeit von Datenschutz-Audits wird sich in der Regel nach den Datenverarbeitungen und der Unternehmensgröße richten. Als Grundregel ist ein jährliches Audit zu empfehlen. Dadurch sollte in den meisten Fällen ausreichend sichergestellt werden, dass die datenschutzrechtlichen Pflichten eingehalten werden und alle Dokumentationen, wie Datenschutzinformationen und Verfahrensverzeichnis, auf dem jeweils aktuellen Stand sind.

4.8.2. Was sollte ein Audit beinhalten?

Das Audit sollte eine gesamtheitliche Prüfung der datenschutzrelevanten Themen beinhalten. Insb sollte die Effektivität der von der DSGVO vorgeschriebenen Mechanismen, also DSFA, Verfahrensverzeichnis, Data Breach Prozesse, Datenschutzinformationen und Sicherheitsmaßnahmen überprüft werden. Weiters ist zu empfehlen, dass auch das allgemeine Datenschutzmanagement und unternehmensinterne Prozesse, wie zB Vorabkontrollen und Mitarbeitersensibilisierung, im Audit geprüft werden.

Inhaltlich sind Audits zumeist in Prüffragen gestaltet, deren Beantwortung bereits klar erkennen lässt, ob grobe Mängel bestehen. In der Beantwortung sollte darauf geachtet werden, dass etwaige Prozesse und Abläufe auch tatsächlich in dokumentierter Form vorliegen. Denn auch im Falle einer behördlichen Prüfung müssen entsprechende Nachweise geliefert werden.

Im Folgenden ist ein rudimentäres Muster für einen Fragebogen abgedruckt, der als Grundlage für ein regelmäßiges Datenschutz-Audit verwendet werden kann und die wesentlichsten datenschutzrechtlichen Pflichten abdeckt. Je nach Unternehmen sollten weitere Fragen zu den einzelnen Bereichen/Verarbeitungen ergänzt werden.