Die Europäische Union hat im April 2016 mit der Datenschutz-Grundverordnung (DSGVO) einen Grundstein für ein neues Datenschutzrecht gelegt. Mit dieser werden die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit standardisiert und vereinheitlicht.

Die Reform bezweckt u.a. grundsätzlich auch die Rechte der Internet-Nutzer zu stärken, die in Zukunft mehr Kontrolle darüber haben sollen, wozu die Internet-Unternehmen (Google, Facebook, Apple, WhatsApp etc.) ihre persönlichen Daten verwenden.

Die alte EU Datenschutzrichtlinie 95/46/EG von 1995, die damit ersetzt wird, galt in vielen Punkten als nicht auf der Höhe der Zeit und aus praktischer Sicht als schwer anwendbar. Zudem wurden wichtige technische Entwicklungen gar nicht bzw. nicht ausreichend berücksichtigt. Die neue Datenschutz-Grundverordnung soll den durch die im jeweils nationalen Recht verschiedenartigen Umsetzungen entstandenen Flicken-Teppich europaweit konsolidieren. Denn im Unterschied zur alten Richtlinie, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, gilt die Datenschutz-Grundverordnung unmittelbar in allen EU-Mitgliedstaaten ab dem 25. Mai 2018.

Reglungsfreiräume der Schweiz

Zugleich räumt die DSGVO den Mitgliedstaaten dennoch substanzielle Regelungsfreiräume ein. Diese aufzufüllen, ist für die nationalen Gesetzgeber angesichts der zur Verfügung stehenden Zeit aber durchaus eine Mammutaufgabe. Denn es bleibt nur noch ein Jahr, bis die Datenschutz-Grundverordnung anwendbar sein wird und damit die jeweils ausdifferenzierten nationalen Datenschutzgesetze angepasst sein müssen.

Die Schweiz hat in dieser Hinsicht einen guten Stand, da die DSGVO und das schweizerische Datenschutzgesetzes gemäss Aussagen von Juristen ‘vergleichbar’ ist. Dennoch muss die DSGVO in der zurzeit in Vorbereitung befindlichen Revision des Schweizerischen Datenschutzgesetzes adressiert werden. Nur wenn das Schweizerische Datenschutzrecht im Wesentlichen mit demjenigen der EU übereinstimmt, wird die EU das schweizerische Recht als adäquat anerkennen. Fände dies nicht statt, würde das den zentral bedeutenden Datenaustausch von Unternehmen in der Schweiz mit Unternehmen in der EU massiv beeinträchtigen und unnötig erschweren.

Politische Tragweite

Nach der Aufhebung des Safe-Harbor Abkommens im Oktober 2015, weist nun auch die neue Datenschutz-Grundverordnung eine klare Richtung für die Neuordnung des Datenschutzes in der EU. Auch wenn es nicht offensichtlich so deklariert wurde, wird die DSGVO den EU-Datenschutz auf die USA expandieren, denn auch Daten-Giganten wie Facebook, Google, Apple etc. sollen künftig deutlich stärker zur Verantwortung gezogen werden können.

Und es ist so gesehen eine erfreuliche Entwicklung, dass auch die zu recht kritisierte Praxis der amerikanischen Nachrichtendienste (z.B. NSA) endlich Gegenwind bekommt. Denn die übermittelten Daten sind bisher nie ausreichend vor dem Zugriff von US-Behörden und Geheimdiensten geschützt gewesen. Parallel zum Swiss-US Privacy Shield trägt nun auch die DSGVO dazu bei, dass für die schweizerischen Exporte von Personendaten in die USA die gleichen Standards wie für diejenigen aus der EU gelten. Dies ist für die Rechtssicherheit im Wirtschaftsverkehr und insbesondere auch für den freien Datenaustausch zwischen der Schweiz und der EU – speziell im kommerziellen Bereich – extrem bedeutungsvoll.

Ob die Situation der pauschalen Überwachung durch US-Behörden damit tatsächlich auch verbessert werden kann, ist fraglich und bleibt abzuwarten. Diese ist zu massiv und nicht zielgerichtet, da sie in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten inklusive des Inhalts der Kommunikationen, ohne jede Differenzierung, Einschränkung oder Ausnahme, einschliesst.

Man könnte es dennoch mit einem optimistischen Zitat aus dem Referat des Philosophen Peter Sloterdijk zum Thema: Digitaler Kolonialismus – Europas Mühen mit dem Internet ausdrücken:

Die Datensouveränität Europas wurde wiederhergestellt.

Und weiter:

Wäre Europa imstande, mit einer Stimme zu sprechen, es stünde seit einer Weile an erster Stelle unter den ökonomischen Grossmächten. Längst hätte es, wäre es einig, eigene Suchmaschinen und Social Media entwickelt, die nicht der massiven Bürgerausspähung durch paranoische Sicherheitsdienste unterliegen. Unsere gern so bezeichneten “amerikanischen Freunde” hingegen scheinen weiterhin jede Entwicklung zu fördern, die aus der Schwäche Europas einen zusätzlichen Grund für ihre Stärke macht.

So gesehen könnte man die Ziele des DSGVO dahingehend interpretieren, dass sie eben auch dazu beitragen soll diese neu gewonnene Datensouverenität zu festigen.

Doch vor zu viel Euphorie sei auch gewarnt: Denn auch das zur Stunde schwer angeschlagene Europa wird im Rahmen der Terrorismusbekämpfung sein berechtigtes Sicherheitsinteresse aufgrund des übergeordneten Staatsziels der Gewährleistung von Sicherheit zunehmend höher einstufen, als entsprechende Freiheitsrechte wie z.B. eben auch das informationelle Selbstbestimmungsrecht der Bürger. Daran wird auch die DSGVO nichts ändern. (Obwohl der Europäische Gerichtshofs die Norm zur Vorratsdatenspeicherung zur Terrorabwehr schon 2014 für ungültig erklärt hat und somit formell die Grundrechte stärker gewichtet als die Terrorbekämpfung.)

Gesellschaftliche Treiber oder die Informationsgesellschaft und der Datenschutz

Dem Datenschutz muss hinsichtlich der Entwicklungen hin zu einer ausgeprägten Informationsgesellschaft eine fundamentale Rolle zugesprochen werden.

Mit dem elementaren Grundrecht auf informationelle Selbstbestimmung schützt der Datenschutz die Betroffenen vor der unrechtmässigen und unsachgemässen Verwendung ihrer personenbezogenen, persönlichen Daten und nimmt auch vermehrt Unternehmen in die verbindliche Pflicht. Zudem stellen die stetig strenger werdenden gesetzlichen Anpassungen und die steigenden Erwartungen der Kunden die Unternehmen dabei vor wachsende Herausforderungen.

Die Nichteinhaltung bzw. Nichtbeachtung des Datenschutzes ist heute ein gewaltiger Risikofaktor, der nebst Sanktionen wie Image- bzw. Reputationsschäden, auch persönliche Haftungen von Mitgliedern des Managements zur Folge haben kann. Andererseits ist der Nachweis der eigenen Datenschutzkonformität für Unternehmen auch ein hervorragendes Distinktionsmittel und gleichzeitig ein Wettbewerbsvorteil.

Die Unternehmen befinden sich heute damit in ihrer Rolle als Datenverarbeiter verstärkt im Fokus der Öffentlichkeit. Diverse aktuelle Datenschutzskandale haben dazu geführt, dass Kunden global zunehmend kritischer reagieren und langsam realisieren, dass Datenschutzkonformität ein wichtiges Qualitätsmerkmal ist, welches sie akkurat nachgewiesen sehen wollen. Diese Entwicklungen verlangen von den Verantwortlichen in den Unternehmen ein neues Bewusstsein und darauf basierend neue Ideen und die Entwicklung angemessener Strategien im Umgang mit den neuen Herausforderungen des Datenschutzes.

Technologische Treiber

Die Informationstechnologien sind heute omnipräsent ubiquitäre IT und durchdringen pervasive IT alle Lebensberieche. Damit findet auch die Erhebung, Verarbeitung und Verwendung personenbezogener Daten inzwischen quasi überall statt. Darüber hinaus führen Technische Innovationen vor allem auch in den Bereichen Internet-of-Things (Evernet), Cloud-Computing und Mobile-Computing mit Big Data zu exponentiellem Wachstum der Datenvolumina. Die starke Kontextsensitivität trägt dazu bei, dass z.B. IoT-Komponenten sich durch Sensoren und spezielle Kommunikation Informationen über die Nutzer und ihre Gewohnheiten, Umgebung, Position und viele anderer sensitive Daten (z.B. Gesundheitsinformationen wie Herzfrequenz, Gewicht, Blutdruck etc.) verschaffen und ihr Verhalten danach ausrichten. Diese Trends führen zunehmend dazu, dass reale Bedrohungen für das informationelle Selbstbestimmungsrecht gar nicht oder zu spät bzw. mit beträchtlicher zeitlicher Verzögerung erkannt werden (Data Breaches).

Auf der anderen Seite ist aber zugleich auch eine neue Sorglosigkeit und unbekümmerte Leichtigkeit im Umgang mit eigenen und fremden personenbezogenen Daten zu Beobachten (Social Media). Z.B. bieten sorgfältig erstellte Einträge in den Plattformen für Social Networking simple Angriffsflächen für Social Engineering, oder auch das systematische Ausforschen und Aggregieren sozialer Beziehungen und persönlicher Daten, um damit beispielsweise Identitätsdiebstahl oder Vorspiegelung falscher Identitäten, durch Ausnutzung detailierter preisgegebener Informationen zu betreiben.

Bedingt durch diese Tendenzen und den rapiden technischen Fortschritt ist der Bezug von relevanten Personendaten einfacher denn je geworden: Mit Hilfe moderner Analysetools und Big-Data-Aggregationen ist der gläserne Konsument, Patient, Kunde, Mitarbeiter, Bürger leider bereits längst zur Realität geworden.

Als Zielsetzung des Datenschutzes rückt nun der Schutz des Einzelnen vor dem unbefugten und unsachgemässen Umgang seiner persönlichen Daten an dieser Stelle mit der neuen EU-DSGVO wieder verstärkt in den Brennpunkt. Viele haben mittlerweile erkannt, dass das Recht der Betroffenen auf informationelle Selbstbestimmung ein elementares demokratisches Grundrecht bildet, das die Gesellschaft und die Bürger verstärkt einfordern müssen, damit es nicht verloren geht.

Neuerungen in der EU Datenschutz-Grundverordnung

Im Folgenden werden einige wichtige Aspekte beleuchtet, die für Unternehmen aber auch für das informationelle Selbstbestimmungsrecht des Einzelnen besonders wichtig sind. Der komplette Gesetzestext kann unter privacy-regulation.eu inhaltlich strukturiert eingesehen werden.

• Datenschutzbeauftragter: Unternehmen, welche als Kerngeschäft regelmässig bzw. systematische Beobachtungen von Betroffenen in grossem Stil durchführen, oder die in grossem Umfang sensitive bzw. Personen-Daten erheben, speichern und verarbeiten, sind verpflichtet, einen Datenschutzbeauftragten zu ernennen.
• Aufzeichnungspflicht: Unternehmen müssen nachvollziehbare Aufzeichnungen über ihre Datenverarbeitungsaktivitäten führen.
• Meldepflicht bzw. schnellere Meldung: Datenschutzverstösse, z.B bei Verlust oder Offenlegung personenbezogener Daten an Dritte und Unbefugte oder auch bei gezielten Datendiebstählen oder Hacking-Incidents, sind innert 72 Stunden an die zuständige Datenschutzbehörde zu melden; ausser die Datenschutzverletzung führt voraussichtlich zu keinem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen.
• Privacy by Design bzw. Privacy by Default: Produkte und Services sind technisch so auszugestalten, dass diese standardmässig nur diejenigen personenbezogenen Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind; also nach dem Grundsatz der Verhältnismässigkeit. Diese sehr abstrakt gehaltenen Prinzipien, werden wohl schwierig einzufordern sein. Entsprechend werden sie gern als Buzzwords abgetan. Dennoch scheint es wichtig, diese Ansätze für eine verbesserte Privacy schon an der Basis zu adressieren, so dass sie sich sukzessive im rechtlichen Rahmen etablieren können.
• Datenschutzfolgenabschätzung: Prozesse, welche die Verarbeitung von Personendaten beinhalten und die dadurch für die Rechte und Freiheiten der Betroffenen ein Risiko darstellen könnten, müssen im Vorfeld unternehmensinternen Überprüft werden, besondere beim Einsatz neuer Technologien und Trends (vgl. dazu z.B. auch Elektronische Patientendossier). Im Grunde geht es darum, für den Datenschutz einen Risikobasierten Ansatz analog dem für die Informationssicherheit zu etablieren.
• Recht auf Vergessenwerden bzw. Recht auf Löschung: Die Durchsetzung des Rechts der Nutzer, Informationen wieder löschen zu lassen, wird erheblich erleichtert. D.h. Wenn Nutzer wollen, dass ihre Daten nicht weiter verarbeitet werden, haben sie nun einfachere Mittel zur Hand – vorausgesetzt, es spricht aus juristischer Sicht auch wirklich alles dafür.
• Portabilität: Die Nutzer müssen die Möglichkeit haben, Daten von einem Anbieter zum nächsten mitzunehmen. Der Zugang zu persönlichen Daten, die z.B. auch bei Dritten gespeichert sind, soll einfacher möglich sein. Die Datenportabilität muss so gewährleistet werden, dass kategorisch sichergestellt ist, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
• Jugendschutz: Eine rechtswirksame Anmeldung bei Internetnetdiensten mit Social Media Charakter, wie Facebook, Instagram, Twitter etc. soll Jugendlichen erst ab 16 Jahren erlaubt sein, bzw. unter 16 nur mit Zustimmung der Eltern. Den EU-Staaten
  steht es jedoch frei, tiefere Alterswerte zu definieren. Dabei gilt aber stets ein absolutes Mindestalter von 13 Jahren.
• One-Stop Shop bzw. Stärkung der nationalen Aufsichtsbehörden: Betroffene sollen sich künftig in ihrer Sprache an die Datenschutzbehörde in ihrem Heimatstaat wenden können, auch wenn es um Datenschutzprobleme in einem anderen Mitgliedsstaat geht. Das bewirkt auch, dass Nationale Datenschutzbehörden in ihren Kompetenzen gestärkt werden müssen, so dass sie tatsächlich in der Lage sind, die neuen EU-Regeln umsetzen können. So dürfen sie z.B. einzelnen Unternehmen verbieten, Daten zu verarbeiten, oder sie können bestimmte Datenflüsse stoppen und Sanktionen gegen Unternehmen verhängen.
• Weniger Behörden-Overhead und Bürokratieabbau: Denn Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen – und zwar dort, wo sie ihren Hauptsitz haben.
• Strafmass: Bussen gegen Unternehmen, die gegen die neuen Datenschutzregeln verstossen, können bis zu max. vier Prozent des jeweiligen weltweiten Jahresumsatzes betragen bzw. maximal 20 Mio. ausmachen – je nachdem, welcher Betrag höher ist. Andererseits drohen kleineren Unternehmen keine solchen Sanktionen, wenn es sich um erstmalige, versehentliche bzw. kleinere Verstösse handelt.
• Opt-in statt Opt-out: Werden persönliche Daten verarbeitet, müssen Nutzer neu aktiv zustimmen und nicht wie bis anhin aktiv widersprechen. Das heisst, dass Unternehmen, die im europäischen Binnenmarkt tätig sein wollen, die Zustimmung zur Datennutzung ausdrücklich einholen müssen.
• Recht auf Transparenz: Nutzer haben ein Recht auf Transparenz – sie können jederzeit in Erfahrung bringen, welche Daten über sie zu welchem Zweck gesammelt werden und wie diese verarbeitet werden.
• Erweiterter grenzübergreifender Geltungsbereich: Die neue EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. Nutzer dürfen jeden Fall von Datenmissbrauch an ihre nationale federführende Aufsichtsbehörde melden – auch dann, wenn die betreffenden Daten im Ausland verarbeitet wurden (siehe auch One-Stop-Shop).

Damit wird unter dem Motto der EU-Reform Besserer Schutz der Privatsphäre online und neue Geschäftsmöglichkeiten einerseits die Kommunikationen mit Datengiganten wie Facebook, Google, Apple, WhatsApp etc. vor fremden Augen geschützt – Und andererseits wirtschaftsfreundliche Regeln für den digitalen Binnenmarkt ausgebaut.

Fazit

Die Neuerungen im Datenschutz werden die Unternehmen auch in Zukunft intensiv beschäftigen und vor grosse Herausforderungen stellen. Als erstes muss nun im Zusammenhang mit der DSGVO eine zwingende Anpassung bestehender obligatorischen Dokumentationen und Verfahren bis zum Mai 2018 in Angriff genommen werden.

Dabei muss klar sein, dass die Verordnung bei weitem nicht nur die Rechtsabteilungen betrifft. Auch das Top-Management muss direkt miteinbezogen werden. Insbesondere ist die Unternehmensführung in der Pflicht, den nötigen Stellenwert des Datenschutzes und den benötigen Druck dafür aufzubauen, sowie Unterstützung anzubieten, um interne Regeln anzupassen, Fallbeispiele und konkrete Szenarien auszuarbeiten und die nötige technische Hilfsmittel und Ressourcen bereitzustellen. Dabei ist ein risikobasierter Ansatz essentiell.

Daher sollten sich Unternehmen ganz grundsätzlich und frühzeitig mit Fragen des Datenschutzes auseinander setzen:

• Welche Bedeutung hat der Datenschutz heute und in Zukunft aus unternehmerischer Perspektive?
• Auf welchen Grundsätzen basiert der Datenschutz und welche Ziele verfolgt er?
• Welche konkreten rechtlichen Regelungen sind für das spezifische Unternehmensumfeld bzgl. des Datenschutzes zu beachten?
• Welchen Einfluss haben die Datenschutz-Regelungen auf die operationelle Praxis und wie stimmt man die rechtlichen und betrieblichen Anforderungen aufeinander ab?
• Welche zusätzlichen Datenschutzanforderungen müssen im Unternehmen
  neu adressiert werden?

Je nach Geschäftstätigkeit sind zudem weitere internationale Normen zu berücksichtigen, die im schlimmstenfalls im Konflikt untereinander oder mit nationalen Regeln sowie der DSGVO stehen könnten. Als bekanntes Beispiel ist hier z.B. der Sarbanes-Oxley-Act (SOX) aus den USA zu erwähnen, der basierend auf der bereits kritisierten angelsächsischen Kultur dem Privatsphärenschutz im Vergleich zur jeweiligen kontinentaleuropäischen Praxis deutlich weniger Gewicht zukommen lässt.

Datenschutzvorfälle müssen als bedeutender Risikofaktor innerhalb des Risikomangements erkannt werden. Dabei beschränkt sich dieser nicht nur auf die direkten Folgen eines Verstosses gegen die oben genannten Normen und Gesetze. Der Umgang mit den erwähnten Risiken verlangt ein adäquates Risikomanagement von den Unternehmen. Der Datenschutz ist heutzutage ein gewichtiger Qualitätsfaktor, den jedes Unternehmen ernst nehmen muss.

• Die Wichtigkeit des Datenschutzes in der Informationsgesellschaft wird weiter zunehmen.
• Das Grundrecht des Einzelnen auf informationelle Selbstbestimmung muss auch von den Unternehmen kategorisch sichergestellt werden.
• Stetig strenger werdende Datenschutzgesetze sowie besondere Reglungen aus spezifischen Geschäftsbereichen stellen zusätzliche, hohe Anforderungen an die Unternehmen.
• Datenschutzvorfälle sind als gravierender Risikofaktor einzustufen, dem durch ein geeignetes Risikomanagement begegnet werden sollte. Ad-hoc-Ansätze sind keine Option.
• Die Aufwände für die Umsetzung und Sicherstellung eines adäquaten Datenschutzniveaus müssen realistisch eingeschätzt werden.

Bei der Aktualisierung der bestehenden internen Weisungen, Reglemente und Policies zur Datenschutz-Compliance geht es also nicht um eine einmalige Aktion hinsichtlich der DSGVO Umstellung per Mai 2018, sondern vielmehr darum, den Datenschutz in Zukunft kontinuierlich und permanent in die Geschäftsprozesse zu implementieren und dort zu gewährleisten. Dies kann nur gelingen, wenn das Management von Datenschutzrisiken unternehmensweit durch alle Unternehmensebenen und Stellen hindurch institutionalisiert wird.

Über den Autor

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

• http://europa.eu/rapid/press-release_IP-17-16_de.htm
• http://www.homburger.ch/de/aktuell/publikationen/dataprotection
• http://www.nzz.ch/meinung/kommentare/die-abhaengigkeit-des-friedfertigen-vom-schlagfertigen-ld.2328
• http://www.privacy-regulation.eu/de/
• https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/01406/index.html?lang=de
• https://www.nzz.ch/schranken-fuer-datenspeicherung-auf-vorrat-1.18280354