Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.
Angesichts verschärfter Nachweispflichten und Haftungsrisiken (durch Bußgeld, Schadensersatz, Abmahnungen) in der DSGVO erhalten Datenschutzprüfungen eine wesentlichere Bedeutung gegenüber den bisherigen Regelungen des BDSG. Datenschutzaudits und Zertifizierungen sollen die Einhaltung des Datenschutzes fördern.
Datenschutz als Complianceanforderung
Frei nach dem Motto „Vertrauen ist gut – Kontrolle ist besser“ verstärkt die DSGVO die Notwendigkeit von Datenschutzkontrollen. So werden die in Art. 5 DSGVO aufgelisteten Datenschutz-Grundsätze (Rechtmäßigkeit, Transparenz, Zweckgebundenheit, Datensparsamkeit, Integrität usw.) von einer Rechenschaftspflicht begleitet. Art. 5 Abs. 2 DSGVO legt hierfür fest, dass der für die Verarbeitung Verantwortliche die Einhaltung der Datenschutz-Grundsätze nachweisen können muss. Einmal mehr wird die nachweisbare Einhaltung des Datenschutzes damit zu einem Compliance-Thema.
An vielen anderen Stellen der DSGVO finden sich zudem Begrifflichkeiten wie „gewährleisten“, „vergewissern“ oder „sicherstellen“. Sie legen nahe, dass die damit verbundenen Datenschutz-Anforderungen einer erhöhten Kontroll- und Nachweispflicht unterliegen. Dies betrifft etwa die Informationspflichten des Art. 13 DSGVO, die Datensicherheitsmaßnahmen („TOM´s“) nach Art. 32 DSGVO oder die Wirksamkeit von Einwilligungen nach Art. 7 sowie Art. 8 DSGVO im Hinblick auf Einwilligungen von Kindern. Gelingen diese Nachweise nicht, setzt sich das Unternehmen einem erhöhten Bußgeldrisiko aus. Interne oder extern durch Sachverständige durchgeführte Datenschutzaudits können dieses Risiko minimieren. Grundlage für Datenschutzaudits können festgelegte Verhaltensregelungen („Kriterien“) und Zertifizierungsverfahren sein.
Verhaltensregelungen und Zertifizierungen
Die DSGVO hat Verhaltensregelungen und Zertifizierungen einen eigenen Abschnitt (5) gewidmet.
Verhaltensregelungen
Die in Art. 40 DSGVO geforderten Verhaltensregelungen sind Auslegungshilfen bei der Anwendung der DSGVO. Sie sollen die Datenschutzregelungen, etwa im Hinblick auf eine faire Datenverarbeitung, das berechtigte Interesse, die Pseudonymisierung oder die Datenübermittlung an Drittländer präzisieren. Dabei sind die in Abs. 2 aufgeführten zahlreichen Beispiele nicht abschließend.
Die praktische Bedeutung dieser Regelung muss sich noch zeigen. So sollen Verhaltensregelungen durch Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, ausgearbeitet werden. Sie können demnach Regelungen zur Anwendung der DSGVO anhand ihrer Unternehmensinteressen definieren, während z.B. die Berufsverbände der Datenschutzbeauftragten mit ihrem Fachwissen außen vor bleiben.
Als Korrektiv müssen die Verhaltensregelungen den national zuständigen Aufsichtsbehörden vorgelegt und von diesen genehmigt und veröffentlicht werden. Sind von der Tätigkeit hingegen mehrere Mitgliedstaaten betroffen, ist der Europäische Datenschutzausschuss (EDSA) hinzuzuziehen. Angesichts der Intention, einheitlichen Datenschutz in der EU zu schaffen, ist allerdings fraglich, welche Verhaltensregelungen sich in der Praxis nur auf nationale Tätigkeiten beschränken. Kann eine Handlungsempfehlung zur Pseudonymisierung in Frankreich eine andere sein als in Deutschland? Und was gilt, wenn ein auf Informationswirtschaft und Telekommunikation spezialisierter Verband eine andere Empfehlung ausspricht als eine Vereinigung der Telemediziner? Auch der mit dem Genehmigungs- und Veröffentlichungsverfahren gemäß Art. 40 DSGVO verbundene Verwaltungsaufwand darf nicht unterschätzt werden.
Genehmigte Verhaltensregelungen sind im Rahmen der Datenschutz-Folgeabschätzung (Stichwort: Vorabkontrolle) zu berücksichtigen, Art. 35 Abs. 8 DSGVO. Probleme werden dabei wohl die zahlreichen Fundstellen bereiten. Schon jetzt sind beispielsweise in Deutschland bei Auslegungsfragen zum Datenschutz Aussagen der Landesaufsichtsbehörden, des Bundes, Orientierungshilfen des Düsseldorfer Kreises, der nationalen Datenschutzkonferenz oder der Artikel-29-Datenschutzgruppe zu berücksichtigen. Künftig wird man auf der Suche nach Orientierung zur DSGVO auch die Veröffentlichungen des EDSA und der Kommission einbeziehen müssen.
Art. 41 DSGVO sieht ferner eine Überwachung für Verhaltensregelungen vor, die entweder durch die Aufsichtsbehörden oder durch eine von den zuständigen Behörden akkreditierten Stelle vorgenommen werden kann. Letztere muss u.a. unabhängig sein, über Fachkunde bezüglich des Gegenstands der Verhaltensregeln verfügen und geeignete Überprüfungsverfahren festgelegt haben.
Zertifizierungen
Gemäß Art. 42 Abs. 1 DSGVO sollen datenschutz-spezifische Zertifizierungsverfahren und Datenschutzsiegel auf Unionsebene gefördert werden. Damit wird das in einigen Rechtsordnungen bestehende Konzept von Datenschutzsiegeln aufgegriffen. Diese sind etwa für Deutschland in § 9a BDSG sowie in einigen Landesdatenschutzgesetzen (u.a. Schleswig-Holstein, Mecklenburg-Vorpommern, ehemals auch Bremen) aufgenommen worden. Etabliert und anerkannt ist bislang nur das behördliche Datenschutzsiegel für IT-Produkte gemäß § 4 Abs. 2 Landesdatenschutzgesetz Schleswig-Holstein. In Frankreich hat sich seit 2014 der „Standard on Data Protection Governance“ für ein Datenschutzsiegel, vergeben durch die Aufsichtsbehörde CNIL, etabliert. Seit 2015 arbeitet auch die britische Aufsichtsbehörde ICO an einem behördlichen Siegel. Daneben gibt es zahlreiche proprietäre Datenschutz-Zertifikate für Auftragsdatenverarbeitung, für IT-Produkte oder Webapplikationen (siehe z.B. für Deutschland die Auflistung der Stiftung Datenschutz unter https://stiftungdatenschutz.org/category/themen/datenschutzguetesiegel/ ).
Mit dem in Art. 42 DSGVO angesprochenen Zertifikat, Prüfzeichen oder Datenschutzsiegel soll die Erfüllung datenschutzrechtlicher Pflichten gemäß der DSGVO nachgewiesen werden (siehe Art. 24 Abs. 3 DSGVO und Erwägungsgrund Nr. 81 der DSGVO). Der mit Art. 42 DSGVO angesprochene Gegenstand der Zertifizierung ist zunächst weit gefasst und meint „Verarbeitungsvorgänge“ der für die Verarbeitung verantwortlichen Stelle oder der Auftragsverarbeitung. Da es auf die konkrete Verarbeitung der Daten ankommt, dürften Datenschutzsiegel für IT-Produkte eines Herstellers nicht damit gemeint sein. Vielmehr kommen unternehmens- oder behördeninterne Verarbeitungsprozesse der verantwortlichen Stelle bzw. der Auftragsverarbeitung in Betracht, so dass das spezifische Datenschutzmanagement einbezogen werden kann.
Mit Art. 42 DSGVO werden etablierte Prüfungs- und Zertifizierungsprozesse weitestgehend aufgenommen, indem die Zertifizierung freiwillig ist, über ein transparentes Verfahren zugänglich sein muss und für maximal drei Jahre gilt. Auch die Mehrstufigkeit – also die Trennung der unabhängigen Zertifizierung von der Akkreditierung durch eine übergeordnete Stelle bleibt erhalten: Gemäß Art. 43 DSGVO sollen die Mitgliedstaaten regeln, ob das Akkreditierungsverfahren für die Anerkennung von Zertifizierungsstellen durch die zuständige Aufsichtsbehörde erfolgt oder durch die nationale Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 in jedem Mitgliedstaat eingerichtet wurde. Nationale Akkreditierungsstelle in Deutschland ist die Deutsche Akkreditierungsstelle „Dakks“, die z.B. Zertifizierungsstellen für Zertifikate gemäß ISO/IEC 2007:2013 anerkennt.
Zertifizierungsstellen können dann – je nach Ausgestaltung des nationalen Gesetzgebers – die zuständigen Aufsichtsbehörden oder andere Stellen sein. Damit wird klargestellt, dass das Datenschutz-Zertifikat nicht zwingend behördlich vergeben werden muss.
Anerkannte Zertifizierungsstellen werden durch den EDSA in einem Register veröffentlicht. Ferner kann die Kommission delegierte Rechtsakte erlassen, um technische Standards für Zertifizierungsverfahren zu regeln. Diesbezüglich wird sich noch zeigen müssen, wie das Zusammenspiel zwischen nationaler Aufsichtsbehörde, nationaler Akkreditierungsstelle, der Kommission und dem EDSA in der Praxis funktioniert.
Fazit
Infolge der erhöhten Kontroll- und Rechenschaftspflichten zum Datenschutz erlangen Auslegungshilfen zum Datenschutzrecht sowie Auditierungen und Zertifizierungen eine wesentliche Bedeutung. Die Einhaltung von genehmigten Verhaltensregeln oder Zertifizierungsverfahren können herangezogen werden, um die Erfüllung datenschutzrechtlicher Pflichten seitens der verantwortlichen Stelle oder eines Auftragsverarbeiters nachzuweisen.
Die Gesetzgeber und die Kommission sind nun aufgerufen, die Unabhängigkeit und Fachkunde von Prüfstellen im Rahmen von Akkreditierungsverfahren zu regeln und das Vertrauen der Bürger in Datenschutzsiegel und Zertifizierungen zu stärken.
Weitere Beiträge zur DSGVO in unserem Blog.