DSGVO in fünf Schritten

Die DSGVO wird ab dem 25.05.18 angewandt. Höchste Zeit alle zentralen Aspekte in einem kurzen Artikel zusammenzufassen. Es folgen die (ersten) fünf Schritte zur DSGVO Umsetzung:

Verarbeitungsverzeichnis erstellen

Jede Verarbeitungstätigkeit personenbezogener Daten muss in einem Verzeichnis dokumentiert werden. Dabei sollte man direkt sämtliche Dokumentationspflichten aller Artikel der DSGVO erfüllen: Dokumentation der Informationspflichten, Zweck der Verarbeitung und Rechtsgrundlage, Liste der Auftragsverarbeiter, Verarbeitung in Drittländern, Folgenabschätzung, Dokumentation der TOM. Dabei müssen alle Informationen stets aktuell gehalten werden.

Verträge über Auftragsverarbeitung schließen

Nimmt man einen E-Mail Provider, Hostinganbieter oder IT-Support mit vollem Datenzugriff in Anspruch so liegt eine Auftragsverarbeitung vor. Dazu ist zwingend ein Vertrag zwischen Verantwortlichem und Auftragsverarbeiter zu schließen der Details zur Datensicherheit, Löschfristen und zu technischen und organisatorischen Maßnahmen des Verarbeiters beinhaltet. Besondere Vorsicht ist geboten wenn der Auftragsverarbeiter im EU-Ausland ansässig ist.

Datenschutzbeauftragten bestellen

Sind regelmäßig mehr als 10 Personen (dies können auch externe oder Teilzeitkräfte sein) mit der Verarbeitung personenbezogener Daten betraut, ist auf jeden Fall ein Datenschutzbeauftragter zu bestellen. Falls es weniger Personen sind, aber besondere Kategorien von Daten als Kerntätigkeit verarbeitet werden oder aber eine systematische Überwachung der Person stattfindet, so ist auch ein Datenschutzbeauftragter zu bestellen. Dieser muss kein eigener Mitarbeiter sein, sondern kann auch extern bestellt werden.

Prozesse aktualisieren

Der Prozess der Datenerhebung und eine ggf. vorhandene Einwilligungserklärung müssen an die DSGVO angepasst werden, um allen dortigen Informationspflichten zu genügen. Online ist eine Anpassung der Datenschutzerklärung notwendig.

Ferner sollte ein Löschprozess etabliert werden, in dem personenbezogenen Daten, nachdem ihre Aufbewahrungsfrist abgelaufen ist, sicher gelöscht werden.

Im Falle einer Datenschutzpanne  besteht eine gesetzliche Meldefrist an die zuständige Datenschutzbehörde binnen 72 Stunden. Auch diese Verpflichtung muss in einem Prozess abgebildet werden.

IT-Sicherheit gewährleisten

Sämtliche Software, die personenbezogenen Daten speichert oder verarbeitet, sollte mit Updates aktuell gehalten werden. Jeder Zugang sollte mit starken Passwörter abgesichert werden. Berechtigungsmanagement sollte den Zugriff von Nutzeraccounts auf jene Daten einschränken, die für ihre Tätigkeit unbedingt notwendig sind. Regelmäßige Backups müssen angefertigt und sicher gespeichert werden. Organisatorisch muss IT-Sicherheit durch Zugangskonzepte, unternehmensweite Sicherheitsrichtlinien und Mitarbeiterweiterbildungen gewährleistet werden.

 

Ganz schön viel zu tun. Ich helfe gerne weiter.

Leadmagnet DSGVO sicher machen

Eine bisher gängige Praxis, um die E-Mail-Adressen potenzieller Kunden zu erhalten und diesen z.B. einen Newsletter zuzusenden, ist die Verwendung eines Leadmagnet. Darunter versteht man ein kostenloses Dokument, z.B. ein Textdokument, das potenziell wertvolle Infos für die angesprochene Zielgruppe beinhaltet. Der bisherige (potenziell unethische) Trick besteht darin, dass das Dokument nur nach Angabe der E-Mail-Adresse, sowie Einwilligung in die Zusendung eines Newsletters, heruntergeladen werden darf. Die Einwilligung in den Newsletterversand und das Herunterladen des Dokuments werden also miteinander gekoppelt.

Neues nach DSGVO

In der DSGVO findet sich dieser Absatz

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“ Art. 7 Abs. 4 DSGVO

Meiner Ansicht nach ist damit ein Kopplung des Zugangs zum pdf-Dokument mit der Einwilligung in den Newsletterversand nicht gestattet, da weder die Erhebung der E-Mail-Adresse noch die Zusendung regelmäßiger Werbung notwendig ist, um das pdf-Dokument bereitzustellen. Das bisherige Konzept des Leadmagnet steht damit vor dem Aus.

Der ethisch korrekte Leadmagnet

Ich würde das Bereitstellen des pdf-Dokuments und die Einwilligung entkoppeln. D.h. von der Landingpage aus ist das pdf-Dokument so oder so erreichbar. Der Nutzer hat die Wahl seine E-Mail-Adresse anzugeben und mit einer Checkbox, die initial ungecheckt ist (Opt-in), in den Newsletterversand einzuwilligen, oder dies nicht zu tun und trotzdem an das Dokument gelangen.

Ist die conversion rate bei dieser Methode gut? Das muss man im Einzelfall sehen. Ethisch korrektes Handeln scheint zumindest nicht die schlechteste Methode zu sein, um neue Kunden zu gewinnen.

Falsche Betriebssystemeinstellungen führen zur Datenschutzverletzung

Damit ein elektronisches Gerät grundlegende Funktionalitäten bieten kann, muss in der Regel ein Betriebssystem installiert sein. Im Desktopbereich wird das meistens eine Version von Windows, Linux oder Mac OS sein, während im Mobile-Bereich Android oder iOS Anwendung finden. Oft bieten diese Applikationen bereits einige Komfortfunktionen, die dazu führen, dass personenbezogene Daten an Dritte übertragen werden.

Die Problematik

Wenn Sie personenbezogene Daten auf einem lokalen Gerät verarbeiten (das bloße Speichern zählt dabei schon zur Verarbeitung), müssen Sie darauf achten, dass die Berechtigungen des Betriebssystems und die Berechtigung anderer Applikationen auf dem Betriebssystem so limitiert sind, dass personenbezogene Daten nur an solche Dritte übermittelt werden, die sie dafür vorgesehen haben. In der Regel werden legitime Dritte hier die Rolle des Auftragsverarbeiters haben, mit denen sie die Wahrung des Datenschutzstandards der DSGVO in einem Vertrag explizit und detailliert geregelt haben. Solche Dritte müssen den betroffenen Personen nach Art. 13 DSGVO bei Erhebung der personenbezogenen Daten bereits mitgeteilt werden.

Kontakte

Ich möchte die Problematik am Beispiel des Adressbuchs beleuchten, da die darin enthaltenen Namen, E-Mailadressen, Telefonnummern und Anschriften zweifelsfrei personenbezogene Daten darstellen.

WhatsApp

In der Standardkonfiguration sendet WhatsApp alle Telefonnummern in Ihren Kontakten an einen eigenen Server. Dies ist nach der DSGVO jedoch nur zulässig, wenn sämtliche Kontakte dem zugestimmt haben und Sie diese Zustimmung, sowie Ihre Informationspflichten nachweisen können. Dies führt also dazu, dass WhatsApp in Europa derzeit in der Regel illegal benutzt wird.

In einer modernen Androidversion kann man den Zugriff von WhatsApp auf die Kontakte untersagen, sodass dieses prinzipiell DSGVO-konform einsetzbar wäre. Jedoch können sich dadurch zwei Nutzer die beide den Zugriff verbieten nicht mehr auf WhatsApp finden…

Android und iOS

Nutzen Sie die Funktion Kontakte zwischen Geräten zu synchronisieren oder ein Cloud-backup anzulegen, so liegt meiner Ansicht nach eine Auftragsverarbeitung durch Google (Android) oder Apple (iOS) vor. Um diese legal zu gestalten sollte man einen entsprechenden AV Vertrag mit dem Unternehmen schließen und dabei auch die Problematik des Privacy Shield, bzw. der EU-Standardsvertragsklauseln im Hinterkopf behalten.

Unklarheit

Besonders interessant wird es, wenn ein Betriebssystem Daten an den Hersteller überträgt deren Inhalt unbekannt ist. Daraus ergibt sich das derzeitige Problem, ob Windows 10 überhaupt so konfiguriert werden kann, dass es konform zur DSGVO betrieben werden kann. Aktuell werden in jeder Konfiguration weiterhin verschlüsselte Datenpakete an Microsoft gesendet, deren Inhalt ungeklärt ist.

Insgesamt ein spannendes Thema, bei dem man sich darauf gefasst machen muss kurzfristig auf Änderungen und Entscheidungen zu reagieren und seine IT-Landschaft entsprechend umzugestalten.

Personenbezogene Daten

Die DSGVO regelt die Datenschutzpflichten im Umgang mit personenbezogenen Daten. Doch was genau versteht man darunter?

Personenbezogene Daten

Personenbezogene Daten sind definiert als Daten, die eine natürliche Person auf identifizierbare Art und Weise beschreiben. Das heißt Daten, die lediglich ein Unternehmen beschreiben oder aber Daten die anonymisiert erhoben werden, fallen nicht in den Anwendungsbereich des Datenschutzes.

Beispiele für personenbezogene Daten sind:

  • Name
  • Anschrift
  • Geburtsdatum
  • E-Mailadresse mit Namensbestandteile
  • dynamische IP Adresse
  • Bild(ausschnitte) einer Person

Dabei kommt es nicht darauf an, dass der Datensatz die Person direkt identifiziert, es genügt, dass diese identifizierbar ist wenn weitere Daten hinzugezogen werden. Beispielsweise kann die Identität einer Person anhand Ihrer IP-Adresse vom Provider ermittelt werden.

Besondere Kategorien

Im Bereich der personenbezogenen Daten gibt es die Untergruppe der besonderen Kategorien personenbezogene Daten, welche besonders sensibel und daher auch besonders schutzwürdig sind. Dazu zählen: Gesundheitsdaten, Daten zur Weltanschauung oder Religionszugehörigkeit, die politische Ausrichtung sowie die sexuellen Präferenzen.

Grenzbereiche

Ob eine Anonymisierung ausreichend ist, muss man mit gesundem Menschenverstand im Einzelfall entscheiden. Beispielsweise die Nennung von Vornamen und Wohnort wird in einer größeren Stadt kein personenbezogenes Datum darstellen. Ist der Wohnort jedoch eine kleine Gemeinde mit wenigen hundert Einwohnern, so ist es denkbar eine Person anhand ihres Vornamens eindeutig zu identifizieren, sodass in diesem Fall personenbezogenen Daten vorliegen.

Die sechs Grundprinzipien für die Verarbeitung personenbezogener Daten

In Art. 5 Abs 1. DSGVO werden sechs Grundprinzipien genannt, an denen die Verarbeitung personenbezogener Daten ausgerichtet werden muss. Im Folgenden schildere ich wie man diese technisch umsetzen könnte.

1. Rechtmäßigkeit

Um die Rechtmäßigkeit der Verarbeitung nachzuweisen sollte einer der sechs Erlaubnisvorbehalte in Art. 6 Abs. 1 a – f DSGVO zutreffen, während für Beschäftigte §26 BDSG-neu relevant ist. Man sollte elektronisch dokumentieren welche Rechtsgrundlage zutreffend ist und wann und wie die betroffene Person gemäß Art. 13 DSGVO über diese informiert wurde.

2. Zweckbindung

Die Verarbeitung personenbezogener Daten ist an festgelegte, eindeutige und legitime Zwecke gebunden. Diese Zwecke würde ich gemeinsam mit den erhobenen Daten speichern, sodass im weiteren Verlauf der Datenverarbeitung geprüft werden kann, ob ein späterer interner Prozess von den initialen Zwecken abweicht.  Es bietet sich dabei an Zwecke zu kategorisieren, um aus diesen automatisch Berechtigungen abzuleiten. Wurde z.B. eine E-Mail Adresse zum Rechnungsempfang angeben, aber keine Einwilligung zum Newsletterversand erteilt, so sollten auch nur ausgewählte Mitarbeiter im Rechnungswesen Zugang zu diesem Datensatz haben.

3. Datenminimierung

Die Verarbeitung personenbezogener Daten ist auf solche zu beschränken, die  notwendig für die Zweckerreichung sind. Hat man wie in (2.) beschrieben die Zwecke kategorisiert, kann für jede Kategorie eines Whitelist mit zu erheben Daten erstellt werden. Auf dieser Grundlage ließe sich automatisch eine Warnung generieren, wenn Daten erhoben werden, die für die Zweckerreichung nicht notwendig sind.

4. Richtigkeit

Technisch kann bereits bei der Erhebung auf die Richtigkeit der Daten hingewirkt werden, indem personenbezogene Daten redundant abgefragt oder aus einer Liste gewählt werden z.B. den Straßenname aus Liste wählen, die E-Mail Adresse zweimalig eintippen. Die unverzügliche Berichtigung unrichtiger Daten hat die gleiche Komplexität wie die Adressänderung eines Kunden und sollte leicht im Datenbanksystem umzusetzen sein.

5. Speicherbegrenzung

Gegenüber der betroffenen Person müssen verbindliche Löschfristen kommuniziert und diese dann auch eingehalten werden. Gesetzliche Fristen sollten dabei im Vorhinein recherchiert und dann technisch abgebildet werden, sodass eine Löschung nach Fristablauf automatisch geschieht. Bei langen gesetzlichen Aufbewahrungsfristen kann eine Sperrung vor der endgültigen Löschung sinnvoll sein, sodass die Kundendaten nicht mehr im Tagesgeschäft zugänglich sind.

6. Integrität und Vertraulichkeit

Personenbezogene Daten müssen Schutz vor unbefugter Verarbeitung, Verlust, Zerstörung und Schädigung genießen. Um dies zu garantieren ist eine Vielzahl technischer und organisatorischer Maßnahmen notwendig. Exemplarisch möchte ich hier die Themenbereiche Rechtemanagement, starke Passwortwahl, moderne Verschlüsselungsverfahren, verschlüsselte Kommunikation, Backupstrategien, Pseudonymisierung und Updatepolicy nennen. Unter der Kategorie TOM finden Sie Detailartikel zu diesen Themen.

Rechenschaftspflicht

Nochmal explizit möchte ich den Begriff der Rechenschaftspflicht gemäß Art 5. Abs. 2 DSGVO nennen. Dieser könnte in der Praxis eine Beweisumkehr darstellen. Nicht der potenzielle Datenschutzverstoß muss nachgewiesen werden, sondern die Einhaltung oben genannter Grundprinzipien muss im Detail dokumentiert werden, um die rechtmäßige Verarbeitung gegenüber der Aufsichtsbehörde nachweisen zu können. Die detaillierte und laufend zu aktualisierende Dokumentation kann dabei elektronisch stattfinden.

Auftragsverarbeitung nach DSGVO

Der aus dem BDSG bekannte Begriff Auftragsdatenverarbeitung wird mit Einführung der DSGVO in Auftragsverarbeitung umbenannt. Was genau verbirgt sich dahinter?

Definition

Eine Auftragsverarbeitung liegt immer dann vor, wenn ein Unternehmen im Auftrag eines anderen Daten weisungsabhängig verarbeitet. Man spricht dabei von den Rollen Verantwortlicher und Auftragsverarbeiter. Üblicherweise liegt eine Auftragsverarbeitung vor wenn eine der folgenden Tätigkeiten durch ein externes Unternehmen erbracht wird:

  • Website-Hosting
  • Clouddienste
  • Backupdienste
  • Fernwartung
  • Dokumentendruck
  • Aktenvernichtung
  • Callcenter
  • Buchhaltung

Vertragliche Regelung

Liegt eine Auftragsverarbeitung vor, so sind Verantwortlicher und Auftragsverarbeiter verpflichtet einen Vertrag miteinander zu schließen, der folgende Punkte regelt:

  • Beschreibung der Umsetzung des Schutzniveaus durch technische und organisatorische Maßnahmen
  • Dauer, Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personenbezogene
  • Kontrollrechte des Verantwortlichen

Sowohl Verantwortlicher als auch Auftragsverarbeiter müssen ein Verzeichnis der Verarbeitungstätigkeiten führen. Will der Auftragsverarbeiter weitere Subunternehmen als Auftragsverarbeiter hinzuziehen ist dies durch den Verantwortlichen genehmigungspflichtig.

Beispiel: Web-Hosting

In der Regel bietet der Hostinganbieter einen Mustervertrag über Auftragsverarbeitung an, welcher schnell und problemlos geschlossen werden kann. In jedem Fall sollte geprüft werden, ob dieser aus rechtlicher Sicht der DSGVO genügt und die darin beschriebenen TOM ein angemessenes Schutzniveau garantieren können.

Besonderheit: Drittländer

Sitzt der Auftragsverarbeiter außerhalb der EU muss zusätzlich zu obigen Ausführungen ein angemessenes Datenschutzniveau garantiert werden, dies ist z.B. über folgende Instrumente möglich:

Das Datenschutzniveau in einem gesamten Drittland wird von der Europäischen Komission als ausreichend bewertet. Das ist derzeit der Fall bei z.B. Kanada und der Schweiz. Die ganze Liste ist hier einsehbar.

Das Datenschutzniveau ausgewählter Unternehmen in einem unsicheren Drittland gilt durch Selbstverpflichtung als sicher. Diese Regelung gibt es z.b. beim EU-US Privacy Shield . Ich vermute, dass nach dem EU Austritt auch die UK zunächst als unsicheres Drittland gelten wird. Zu beachten ist, dass der EuGH in der Vergangenheit bereits das Safe Harbor Abkommen für ungültig erklärte und Unklarheit darüber besteht, ob das Privacy Shield einer Überprüfung durch den EuGH standhält.

Es gibt viele weitere Möglichkeiten das Datenschutzniveau eines einzelnen Unternehmens in unsicheren Drittländern zu garantieren, ich gehe hier nur auf Standardvertragsklauseln ein:

Im Rahmen von individuellen Verträgen kann auf Standardvertragsklauseln der europäischen Kommission zurückgegriffen werden, für den Fall einer Auftragsverarbeitung ist dabei besonders 2010/87/EU relevant.

Beim individuellen Vertragsschluss müssen Klauseln unverändert aus dem Muster übernommen werden. Weiterhin gelten alle obigen Ausführungen zu Auftragsverarbeitung. Unklar ist, ob eine EuGH Entscheidung zum Privacy-Shield auch Konsequenzen für die Gültigkeit der Standardvertagsklauseln hat.

Organisatorische Konsequenz

Bei der Übermittlung in Länder, die kein angemessenes Datenschutzniveau bieten, ist Vorsicht geboten. Derzeitige Rechtsgrundlagen könnten in der Zukunft durch EuGH-Entscheidungen entfallen. Es ist daher ratsam einen Alternativplan in der Hinterhand haben, um einen schnellen Umzug auf Server innerhalb der EU möglich zu machen oder bei der Wahl eines Anbieters direkt auf einen Standort innerhalb der EU zu setzen.

Technische Aspekte

Verträge beinhalten eine genaue Beschreibungen von TOM, deren Schutzniveau zu bewerten ist. Bei der individuellen Vertragsausgestaltung über Auftragsverarbeitung oder der Prüfung eines Mustervertrages sollte man daher neben Juristen auch technische Berater hinzuziehen.

Aktualität des Verarbeitungstätigkeitenverzeichnis

Die DSGVO führt dazu, dass fast jeder Unternehmer ab 25.05.18 verpflichtet ist ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Wer ist zur Erstellung verpflichtet?

Gemäß Art. 30 Abs. 5 DSGVO muss nicht jedes Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten anlegen. Die Pflicht entfällt, wenn weniger als 250 Mitarbeiter beschäftigt werden und

  • kein Risiko für die Rechte und Freiheiten der betroffenen Personen entsteht
  • die Verarbeitung nur gelegentlich erfolgt
  • keine besonderen Kategorien personenbezogener Daten werden verarbeitet

Da jedes in Deutschland ansässige Unternehmen im Rahmen der monatlichen Lohnbuchhaltung personenbezogene Daten verarbeitet und dazu insbesondere die Informationen zur Kirchenangehörigkeit fallen (Religionszugehörigkeit als besondere Kategorie), muss jedes deutsche Unternehmen ab dem ersten Angestellten ein solches Verzeichnis der Verarbeitungstätigkeiten führen. Nicht von dieser Pflicht betroffen scheinen somit lediglich Einzelunternehmer zu sein.

Oft wird übersehen, dass diese Verpflichtung Glück im Unglück darstellen könnte: Gemäß Art. 5 Abs. 2 DSGVO unterliegt jedes Unternehmen einer Rechenschaftspflicht. Es bietet sich daher ohnehin an jeden einzelnen Prozess minuziös zu dokumentieren, um im Zweifel die Rechtmäßigkeit der Datenverarbeitung nachweisen zu können.

Im Folgenden schildere ich welche organisatorischen und technischen Maßnahmen man ergreifen kann, um das Verzeichnis der Verarbeitungstätigkeiten zu erstellen und es mit geringem personellen Aufwand aktuell zu halten.

Inhalt

Im Verzeichnis der Verarbeitungstätigkeiten müssen zunächst der Verantwortliche, d.h. das Unternehmen und sein rechtlicher Vertreter, und der Datenschutzbeauftragte (falls vorhanden) benannt werden.

Weiterhin ist für jede Tätigkeit festzuhalten

  • Bezeichnung der Verarbeitungstätigkeit
  • Zweck der Verarbeitung
  • Verantwortliche Abteilung
  • Ansprechpartner
  • Liste der Kategorien personenbezogener Daten (exakt)
  • Liste der Kategorien betroffener Personen (grob)
  • Liste der Kategorien von Empfängern  (exakt)
  • Informationen zur Drittlandsübermittlung
  • Löschfristen*
  • Allgemeine Angaben zu technischen und organisatorischen Maßnahmen (TOM)*

Bei den mit Stern versehenen Angaben verweist der Gesetzestext darauf, dass diese nur „wenn möglich“ aufgelistet werden müssen. Ich würde das auf jeden Fall tun und das Verzeichnis um weitere Angaben ergänzen, damit andere Pflichten der DSGVO in einem Rutsch erledigt werden.

Erweiterung

Um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu genügen, wäre es ratsam weitere Aspekte zu erfassen. Die folgende Liste erhebt keinen Anspruch auf Vollständigkeit:

  • Rechtsgrundlage der Verarbeitung (idR. einer der Buchstaben a-f in Art. 6 Abs. 1)
  • Verweis auf die Originaldokumentation der Einwilligung (falls zutreffend)
  • Dokumentation der Informationspflichten (Art. 12 – Art. 14)
  • Exakte Dokumentation der technischen und organisatorischen Maßnahmen (TOM):
    • Sicherheit der Verarbeitung (Art. 32)
    • Speicherbegrenzung (Art. 5 Abs. 1 e)
    • Technikgestaltung und Voreinstellungen (Art. 25)
  • Dokumentation des Meldeverfahrens im Falle eines Datenschutzvorfalls
  • Dokumentation des Rechtes aus Auskunft (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Sperrung) (Art. 15 – Art. 21)
  • Risikobewertung, ggf. Datenschutzfolgenabschätzung (Art. 35)
  • Dokumentation der Mitarbeiterschulungen zum Datenschutz
  • Auflisten der Auftragsverarbeiter mit Verweis auf die geschlossenen Verträge (Art. 28)

Technische Umsetzung

Zur technischen Umsetzung bietet sich eine kollaborative Software, wie z.B. ein Wiki an. Auf dieses könnte aus dem Intranet des Unternehmens zugegriffen werden, wobei es sich anbietet für jeden Prozess eine eigene Seite, ggf. mit weiteren Unterseiten, im Wiki zu erstellen. Diese Seite kann dann von allen Mitarbeitern einer Abteilung eingesehen und von ausgewählten Mitarbeitern editiert werden, um Veränderungen an den Abläufen zeitnah zu dokumentieren.

Die Bewertung kann man als hierarchischen Prozess gestalten: Jeder Abteilungsleiter bestätigt die inhaltlich korrekte Gestaltung aller Seiten seiner Mitarbeiter. Der Datenschutzbeauftragte betrachtet alle Seiten unter Aspekten des Datenschutzes und setzt die Abteilungsleiter und die Geschäftsführung über Änderungsbedarf in Kenntnis.

Es ist empfehlenswert regelmäßige Snapshots des Wikis zu erstellen, indem alle Inhalte  als übersichtliches PDF exportiert werden, welches der zuständigen Datenschutzbehörde bei einer Überprüfung ausgeliefert werden kann.

Fallstrick Datenübertragbarkeit

Die DSGVO gilt ab dem 25.05.2018 anstelle bisheriger Regelungen des Bundesdatenschutzgesetzes und führt zu erhöhten Datenschutzrechten für natürliche Personen. Analog dazu stellt Sie Anforderungen an Unternehmen, um diese Rechte technisch und organisatorisch umzusetzen.

Zielsetzung

In diesem Beitrag diskutiere ich die Umsetzung des Rechts auf „Datenübertragbarkeit“, welches erstmals durch die DSGVO eingeführt wird. Es ist in der Verordnung definiert als:

„Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, […]“ (Art 20 I DSGVO)

Der Grundidee dieses Rechts besteht darin den schnellen Umzug eines Verbrauchers von einem Anbieter zu einem anderen Anbieter, inklusive all seiner personenbezogenen Daten, zu ermöglichen. Weiter heißt es in der Verordnung:

„[…] die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist […]“ (Art 20 II DSGVO)

Zusammenfassend ist das Ziel dieses Artikels  also einer Person eine erneute Eingabe aller persönlicher Daten bei einem Anbieterwechsel zu ersparen. Dazu ist erstens die Möglichkeit der Übermittlung strukturierter Daten an die Person und zweitens die Übermittlung dieser an den neuen Anbieter vorgesehen.

Technische Maßnahmen

Es ist zu erwarten, dass sich bis zum 25.05.2018 nicht alle Anbieter einer bestimmten Dienstleistung oder eines bestimmten Produktes auf ein standardisiertes Format zum strukturierten Datenaustausch einigen werden, sodass die Übermittlung von Verantwortlichem zu Verantwortlichem zunächst nicht technisch machbar ist.

Es verbleibt die Verpflichtung des Unternehmens gemäß Absatz 1 einer anfragenden Person ihre Daten in strukturierter Form auszuhändigen.

Dies könnte zum Beispiel auf der Grundlage von XML geschehen. Als maschinen- und menschenlesbares Format bietet es den Vorteil, dass die Daten von der anfragenden Person auf Korrektheit geprüft und ggf. editiert werden können ohne dafür spezielle Software zu verwenden.

Ein stark vereinfachtes Beispiel für einige wenige personenbezogene Daten von Max Mustermann könnte so aussehen:

<datensatz>
  <vorname>Max</vorname>
  <nachname>Mustermann</nachname>
  <familienstand>ledig</familienstand>
  <email>max.mustermann@example.com</email>
  <kennzeichen>F JK 123</kennzeichen>
</datensatz>

Je nach verwendeter Datenbank ist es möglich gespeicherte Daten direkt im XML Format zu speichern, sowie neue Daten im XML Format einzulesen.

Fallstricke

Erhält ein Unternehmen eine Anfrage zur Datenübertragbarkeit, muss ein strukturierter Datensatz generiert und an die Person übertragen werden.

Dabei sind die zwei Fallstricke Authentisierung der Person und Verschlüsselung der Übertragung zu beachten.

Authentisierung

Herr Müller sollte nur die strukturierten Daten von Herrn Müller, nicht jedoch jene von Frau Schneider anfordern können. Es ist daher notwendig, dass sich Herr Müller zunächst als Herr Müller ausweist, bevor er Daten erfragen kann. Üblicherweise erfolgt eine Authentisierung bei Onlinegeschäften über einen Nutzernamen und ein Passwort mit denen sich ein Nutzer zunächst in seinen eigenen Account einloggen muss.

Verschlüsselung

Die Übertragung der strukturierten, personenbezogenen Daten sollte auf jeden Fall verschlüsselt über das Internet erfolgen, da z.B. in Artikel 5 DSGVO explizit die Vertraulichkeit gefordert wird. Technisch kann die Verschlüsselung am besten über einen direkten Download von einer Webseite mit Transportverschlüsselung, d.h. SSL/TLS, geleistet werden. Ein E-Mail Versand ist hingegen keine Option, da Mails unverschlüsselt übertragen werden – dies betrifft auch den Anhang der E-Mails.

Zusammenfassung

Ich persönlich würde Datenübertragbarkeit sicherstellen, indem ich jedem Nutzer die Möglichkeit gebe sich in einen individuellen Account bei einer mit SSL/TLS gesicherten Webseite einzuloggen und den Download strukturierter XML-Daten direkt über einen Button zu initiieren. Auf einen Versand per E-Mail würde ich auf keinen Fall zurückgreifen.