Die europäische Datenschutz-Grundverordnung. Verbesserungsvorschläge für Softwareanbieter im Bereich der Softwareentwicklung

Inhaltsverzeichnis

Gender Erklärung

Abstract

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung
1.1 Persönliche Motivation

2 Die europäische Datenschutz-Grundverordnung
2.1 Zweck der EU DSGVO
2.2 Geltungsbereich
2.3 Verantwortlichkeiten und Pflichten

3 DSGVO im Unternehmen
3.1 Exkurs: Die IT-Infrastructure Library (ITIL)
3.2 Besonderheiten für Softwarehersteller

4 Softwareentwicklung
4.1 Klassische Entwicklungsprozesse
4.2 Agile Entwicklungsprozesse
4.3 Andere Entwicklungsprozesse

5 Vorgehensweise
5.1 Fallstudien
5.2 Experteninterview
5.3 Literaturrecherche

6 Erweiterungen für Entwicklungsprozesse
6.1 Requirements Engineering
6.2 Implementierung
6.3 Test
6.4 Betrieb
6.5 Prozessanpassung

7 Fazit / Ausblick
7.1 Fazit
7.2 Ausblick

8 Glossar

9 Literaturverzeichnis

Gender Erklärung

Aus Gründen der leichteren Lesbarkeit wird die gewohnte männliche Sprachform bei personenbezogenen Substantiven und Pronomen verwendet. Dies impliziert jedoch keine Benachteiligung des weiblichen Geschlechts, sondern soll im Sinne der sprachlichen Vereinfachung als geschlechtsneutral zu verstehen sein.

Abstract

Das Thema Datenschutz ist aktuell mehr denn je im Fokus der Öffentlichkeit. Die europäische Union hat durch die neue Datenschutz-Grundverordnung weitreichende Änderungen für betroffene Personen und Unternehmen verabschiedet, welche ab 25.05.2018 verpflichtend sind. Gleichzeitig ist in den Medien immer wieder von dramatischen Datenschutzskandalen zu lesen, von denen selbst einige der größten Firmen weltweit betroffen sind. Daher ist es insbesondere für Unternehmen sinnvoll, sich ganzheitlich mit dem Thema Datenschutz zu beschäftigen. Insbesondere Firmen in der Softwareentwicklungsbranche sind von den neuen Vorgaben betroffen. Die angebotenen Produkte und Dienstleistung müssen zukünftig den gehobenen Standards der DSGVO folge leisten. Das Ziel dieser Arbeit ist es den Softwareherstellern konkrete Verbesserungsmöglichkeiten für die internen Softwareentwicklungsprozesse aufzuzeigen, um den gestiegenen Anforderungen der DSGVO umfassend gerecht werden zu können. Dafür werden zunächst relevante Kapitel der DSGVO vorgestellt und erläutert. Anschließend werden die Vorteile bei der Verwendung von Best-Practices Sammlungen wie ITIL dargestellt. Durch Auswertung bisher vorhandener Literatur werden danach konkrete Maßnahmen, Vorlagen und Prozesse erarbeitet, die im Anschluss in die bereits vorhandenen Entwicklungsabläufe übernommen werden können. Dabei erfolgt eine Betrachtung aller üblichen Phasen eines Softwareentwicklungsprozesses. Die gewählten Ansätze besitzen dabei einen generellen Charakter, um möglichst jede Art bzw. Ideologie von Entwicklungsprozessen zu adressieren.

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Die DSGVO auf einen Blick

Abbildung 2: Übersicht der Stärken und Schwächen

Abbildung 3: Kostenunterschiede in den verschiedenen Projektphasen

Abbildung 4: Agile Prinzipien

Abbildung 5: Haupttätigkeiten des Requirements Engineering

Abbildung 6: Musterbeschreibung eines Testfalls

Abbildung 7: Incident Management

Abbildung 8: Exemplarischer Incident Managementprozess für Datenschutz

Tabellenverzeichnis

Tabelle 1: Grundprinzipien bei der Verarbeitung von personenbezogenen Daten

Tabelle 2: Pflichtangaben Verarbeitungsverzeichnis

Tabelle 3: Servicebereiche von ITIL

Tabelle 4: Datenkategorien innerhalb eines Löschkonzepts

Tabelle 5: Hilfestellungen während der Implementierungsphase

1 Einleitung

In einem veröffentlichten Statement zur Anhörung im jüngsten Datenschutzskandal um Facebook bekennt sich Mark Zuckerberg mit den Worten „It was my mistake, and I'm sorry. I started Facebook, I run it, and I'm responsible for what happens here" (Zuckerberg 2018, S. 1) zur Verantwortung für die umfangreichen Datenschutzverstöße im Rahmen der Affäre um die Weitergabe von personenbezogenen Daten an die Analysefirma Cambridge Analytica. Nach Schätzungen von Facebook sind durch den Datenabgriff von Cambridge Analytica und deren Partnern ca. 87 Millionen Nutzer betroffen. Durch ähnliche Vorgänge könnten jedoch Daten von fast allen der insgesamt zwei Milliarden Facebook-User abgegriffen worden sein (Beckedahl 2018). Das mediale Echo, sowie die Reaktionen von vielen Benutzern sozialer Medien zeigen, dass die bisherigen Regelungen zum Datenschutz nicht ausreichend sind. Dabei sind sich die verarbeitenden Firmen wie Facebook, Twitter und Co. ihrer steigenden Verantwortung nicht immer bewusst. Gerade durch die wachsende Bedeutung von sozialen Medien und den darin preisgegebenen Informationen über die einzelnen Benutzer, werden die gesammelten Datenmengen interessant für Analysefirmen. Die daraus gewonnen Erkenntnisse können für viele Zwecke eingesetzt werden. Dies reicht von der Entwicklung von Marketingstrategien bis hin zur politischen Einflussnahme auf Wahlergebnisse (Holland 2018). Die Europäische Union möchte mit einer neuen Verordnung zum Thema Datenschutz sowohl ihre Bürger schützen, als auch die Unternehmen, die deren Daten verarbeiten, stärker kontrollieren und sanktionieren. Durch die neue Datenschutz-Grundverordnung kommen dadurch bedeutende Änderungen auf die davon betroffenen Unternehmen zu. Obwohl die Inhalte der DSGVO seit April 2016 bekannt sind, macht sich bei vielen Unternehmen jetzt erst Aktionismus breit, da bisher keinerlei Vorbereitungen getroffen wurden (Haar 2018, S. 34). Für Softwarehersteller sind dabei ganz besondere Herausforderungen zu bewältigen. Teilweise sind diese für manche Unternehmen scheinbar nicht zu überwinden, sodass einige kleinere Spielehersteller ihre Online-Spiele lieber abschalten, als die durch die DSGVO geforderten Änderungen umzusetzen (Herbig 2018). Der Aufwand für die notwendigen Anpassungen würde dabei ein wirtschaftlich sinnvolles Maß übersteigen.

Im Rahmen dieser Arbeit, werden diese speziellen Herausforderungen ermittelt und dargestellt. Anschließend wird darauf eingegangen, welche Anpassungen im Rahmen eines Softwareerstellungsprozesses notwendig und sinnvoll sind, um den gesteigerten Anforderungen der DSGVO und deren länderspezifischen Spezialisierungsgesetzen gerecht zu werden. Es dreht sich also um die konkrete Frage, welche Maßnahmen ergriffen werden können, um einen solchen Entwicklungsprozess zu gewährleisten. Dafür wird zunächst auf die DSGVO eingegangen. Es werden der Geltungsbereich sowie die, zur Beantwortung der Frage nach einem datenschutzkonformen Softwareentstehungsprozess, wichtigsten Eckpunkte erläutert. Anschließend wird deren Bedeutung für Unternehmen mit Fokus auf die Softwareentwicklungsbranche anhand vorhandener Literatur geklärt. Nachfolgend werden anhand konkreter Beispiele einige Methoden und Vorgehensweisen dargestellt, welche eine Antwort auf die obige Fragestellung liefern sollen. Als Grundlage hierfür dienen vorhandene Ratgeber und Best-Practices im Bereich der Prozessbeschreibung. Es sei jedoch darauf hingewiesen, dass diese Arbeit keine generelle Abhandlung über die DSGVO mit detaillierten Betrachtungen all ihrer Facetten ist. Dies würde zum einen den Rahmen dieser Arbeit sprengen, zum anderen gibt es zu diesem Thema bereits zahlreiche Fachliteratur. Außerdem ist es, unter anderem aus den gerade genannten Gründen, nicht das Ziel dieser Arbeit eine Anleitung oder Handlungsanweisung zur Vorbereitung oder Einführung der DSGVO in alle Bereiche eins Unternehmens zu liefern. Vielmehr geht es um den Teilbereich der Softwareerstellung bei einem Softwareanbieter. Jedoch ist auch hier anzufügen, dass der Umfang der Arbeit nicht ausreichen wird, um ein komplett ausgearbeitetes Prozessmodell mit allen Aspekten durch alle Phasen des Entwicklungsprozesses bereit zu stellen. Es ist viel mehr das Ziel, dass am Ende allgemeine Vorschläge und generelle Denkanstöße existieren, die sich durch Experten verfeinern und in die unternehmensindividuellen Prozesse übernehmen lassen.

1.1 Persönliche Motivation

Die Auswahl dieses Themas, sowie die Eingrenzung auf den Bereich der Softwareentwicklung resultieren nicht nur aus der grundsätzlichen Tatsache, dass die DSGVO seit Mai 2018 die Verarbeitung personenbezogener Daten für alle Menschen im europäischen Wirtschaftsraum regelt. Als Anwendungsentwickler in einem Softwareunternehmen sind neben den privaten Folgen auch die Änderungen der Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungskontextes sowie die konkreten Auswirkungen auf den täglichen Arbeitsabläufen höchst interessant. Durch die Folgen und Sanktionen, die zukünftig bei Datenschutzverstößen entstehen können, ist die DSGVO ein Aufruf an das Verantwortungsbewusstsein von jedem Mitarbeiter, der am Prozess der Softwareerstellung beteiligt ist. Die Entwicklung und Implementierung von Prozessoptimierungen leistet dabei einen wichtigen Beitrag zum persönlichen Sicherheitsempfinden. Wenn eine datenschutzkonforme Entwicklung entlang eines optimierten Prozesses stattfindet, wird das individuelle Fehlerrisiko minimiert. Außerdem lohnt sich eine Befassung mit dieser Thematik aus persönlichen Aspekten dahingehend, dass das Bewusstsein für den Umgang mit den eigenen Daten gestärkt wird. Ein weiterer positiver Nebeneffekt ist das Kennenlernen der eigenen Rechte und der Pflichten von Unternehmen, denen die eigenen Daten ausgehändigt werden.

2 Die europäische Datenschutz-Grundverordnung

Die Verordnung (EU) 2016/679, zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten wurde am 27. April 2016 vom Europäischen Parlament und dem Europäischen Rat beschlossen. Sie ist am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft getreten (Art. 99 Abs. 1 DSGVO) und ist ab 25. Mai 2018 (Art. 99 Abs. 2 DSGVO) verbindlich anzuwenden. Personenbezogene Daten wurden bisher durch die Datenschutzrichtlinie 95 / 46 / EG geschützt, die in den EU-Staaten unterschiedlich umgesetzt wurde (Hoffmann 2017, S. 2). Diese Richtline wird durch die neue DS-GVO ersetzt. Die Folge der unterschiedlichen Umsetzungen in den einzelnen EU-Mitgliedstaaten sind eine komplexe Rechtslage, das Vorhandensein von Rechtsunsicherheiten und erhöhten Verwaltungskosten. „Außerdem müssen die geltenden Vorschriften modernisiert werden. Als sie entstanden sind, gab es viele der heutigen Online-Dienste noch nicht und die mit derartigen Diensten einhergehenden Herausforderungen waren noch gänzlich unbekannt. Durch soziale Netzwerke, Cloud-Computing, standortgebundene Dienstleistungen und Chipkarten ist die Verarbeitung von personenbezogenen Daten in exponentiellem Maße gestiegen" (Europäische Kommission 2015).

Ergänzt wird die EU DSGVO durch die Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, welche hier jedoch nicht genauer betrachtet wird.

Der Datenschutzverordnung besteht aus elf Kapiteln mit insgesamt 99 Artikeln. Ergänzt wird dies durch insgesamt 173 Erwägungsgründe, welche genutzt werden, um detailliertere Erläuterungen aufzuzeigen und zu verdeutlichen, welche Überlegungen zu den einzelnen Regelungen getätigt wurden. Einen grundlegenden Überblick, der in der DSGVO enthaltenen Kapitel und den darin behandelten Themengebiete, lässt sich anhand folgender Grafik illustrieren:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Die DSGVO auf einen Blick (Wiese 2017)

2.1 Zweck der EU DSGVO

Ein wesentliches Ziel der DSGVO ist die Schaffung von identischen Rahmenbedingungen für den Datenschutz in allen EU-Mitgliedstaaten. Das bedeutet unter anderem, dass sich Bürger und Bürgerinnen auf die gleichartig geregelte Behandlung ihrer personenbezogenen Daten in der EU vertrauen können. Außerdem können sich Unternehmen künftig sicher sein, dass die im Rahmen der DSGVO umgesetzten Datenschutzanforderungen auch mit sämtlichen anderen EU-Mitgliedstaaten vereinbar sind (Calder 2017, S. 9). Dazu gehören die Grundreche und Grundfreiheiten sowie der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Dabei soll der freie Verkehr solcher Daten weder eingeschränkt noch verboten werden (Art. 1 Abs. 1ff DSGVO). Den betroffenen Personen soll dadurch eine bessere Nachverfolgung über Art, Umfang, Grund und Ort der Verarbeitung ihrer personenbezogenen Daten ermöglicht werden. Für Unternehmen deren Datenverarbeitung unter den Anwendungsbereich der DSGVO fällt, soll die Arbeit dadurch erleichtert werden, dass sie zukünftig eine einheitliche Rechtslage vorfinden, für die es eine zentrale Aufsichtsbehörde gibt. Die Aussage „Damit lassen sich jährlich schätzungsweise 2,3 Mrd. EUR einsparen" (Europäische Kommission 2015) wird sich in den einzelnen Unternehmen jedoch erst noch beweisen müssen. Außerdem werden durch die einheitliche Rechtsgrundlage gleiche Wettbewerbsbedingungen für alle Unternehmen geschaffen, die Waren und Erzeugnisse innerhalb der EU anbieten. Dies trifft auch auf solche Wettbewerbsteilnehmer zu, deren Firmensitz sich in keinem der 28 EU-Mitgliedsstaaten befindet.

2.1.1 Vorteile, Nachteile und Kritik

Ergänzend zum oben genannten Zweck und den Zielen der DSGVO lassen sich, wie das nachfolgende Schaubild stichpunktartig zeigt, den diversen Vorteilen auch einige Nachteile gegenüberstellen:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Übersicht der Stärken und Schwächen (Jobst, Meyr und Vellmer 2017, S. 7)

Während die meisten der abgebildeten Punkte an dieser Stelle nicht näher behandelt werden, sollten einigen davon jedoch zum Zwecke eines besseren Verständnisses eine detailliertere Betrachtung erfahren.

Der auf Seiten der Vorteile dargestellte Punkt der Beweislastumkehr ist eines der wichtigsten Themen der DSGVO. Das bedeutet, ab Wirksamwerden der Verordnung, muss der jeweilig Verantwortliche, oder Auftragsdatenverarbeiter, für die Erhebung der Daten zu jeder Zeit beweisen können, dass die Regelungen der DSGVO umgesetzt und angewandt werden. Dazu gehört unter anderem, das Vorliegen und die Möglichkeit des Nachweises einer persönlichen Einwilligung zur Verarbeitung der Daten der betroffenen Person. Liegt keine explizite Einwilligung vor muss für eine legale Datenverarbeitung eine gesetzliche Regelung vorliegen, welche die Verarbeitung legitimiert. Dies ist dem grundsätzlichen Prinzip der DSGVO des Verbots der Verarbeitung mit Erlaubnisvorbehalt geschuldet.

Als Kritikpunkt wird beispielsweise die Vielzahl an Ausnahmen genannt, welche teilweise im Widerspruch zur eigentlichen Absicht und dem Vorteil der Einheitlichkeit steht. Die Kritik zielt dabei auf die sogenannten Öffnungsklauseln ab, „die den EU-Mitgliedstaaten die Einführung nationaler Vorschriften für bestimmte Bereiche des Datenschutzes ermöglichen“ (Voigt, P. und dem Bussche 2018, S. 289). Die Problematik dabei, beschreiben Voigt und von dem Bussche sinngemäß mit dem dadurch entstehenden Eindruck einer Verordnung mit dem Regelungscharakter einer Richtlinie. Die ergänzenden nationalen Regelungen haben höchstwahrscheinlich Datenschutzunterschiede zur Folge, welche wiederrum von Unternehmen hinsichtlich der speziellen nationalen Besonderheiten, zusätzliche Aufmerksamkeit erfordert (Voigt, P. & dem Bussche 2018, S. 289).

Artikel 83 der DSGVO regelt Sanktionen und Bußgelder, sowie Kriterien zur Bemessung dieser. Die Höhe der vorgesehenen Strafen für Datenschutzvergehen soll auch eine abschreckende Wirkung mit sich bringen. Dies wird zwar im Allgemeinen als vorteilhaft angesehen, jedoch trifft dies wie so oft, kleinere Unternehmen härter als große Konzerne, die derartige Strafen in der Regel besser verkraften können. Die Strafzahlungen können dabei ein sehr hohes Niveau erreichen, denn „die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Hier ist der oben genannte Unternehmensbegriff von Bedeutung: Es gilt der Jahresumsatz des gesamten Konzerns" (intersoft consulting services AG 2016). Demnach wären die Auswirkungen auf ein Unternehmen mit angenommenen 30 Millionen Jahresumsatz bei der Höchststrafe von 20 Millionen deutlich gravierender, als bei einem Konzern mit einem Jahresumsatz von 500 Millionen, bei dem im Maximalfall ebenfalls eine Strafe in der gleichen Höhe fällig ist, da die Veranschlagung von 4% des Konzernumsatzes die Summe von 20 Millionen nicht übersteigt.

2.2 Geltungsbereich

Für das weitere Verständnis der folgenden Abschnitte soll zunächst eine Klärung des Begriffs „personenbezogene Daten“ im Sinne der DSGVO geschaffen werden. Artikel 4 der Verordnung beschreibt personenbezogene Daten als sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei gilt eine Person als identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind (Art. 4 Abs. 1 DSGVO).

2.2.1 Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich der DSGVO umfasst die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs.1 DSGVO). Der Begriff Verarbeitung lässt in diesem Fall einen erweiterten Interpretationsspielraum. Dies ist dem Zwecke der Technologieneutralität geschuldet, welcher die Umgehung der Rechtsvorschriften durch die Verwendung von alternativen, oder zukünftigen Techniken vermeiden soll. Als nichtautomatisierte Speicherung in einem Dateisystem können beispielsweise analoge Aufbewahrungssysteme, wie die alphabetisch sortierte Ordnerablage von Gesundheitsdaten in einem Krankenhaus angesehen werden.

2.2.2 Räumlicher Anwendungsbereich

Die durch die EU-Gremien beschlossene DSGVO ist keinesfalls geografisch begrenzt zu betrachten. Prinzipiell ist es im Sinne der Verordnung ausreichend, wenn der entsprechende Verantwortliche für die Verarbeitung der Daten, oder der Auftragsdatenverarbeiter über eine Niederlassung in einem EU-Mitgliedstaat verfügt, unabhängig vom tatsächlichen Ort der Datenverarbeitung. Als Niederlassung gilt eine feste Einrichtung, welche eine effektive und tatsächliche Ausübung einer Tätigkeit durchführt (Erwg. 22, DSGVO). Doch auch für Unternehmen, die über keine Niederlassung innerhalb der EU verfügen, kann die DSGVO Anwendung finden, sofern es sich um die Beobachtung von Personen, oder das Anbieten von Waren oder Dienstleistungen unabhängig von der Zahlung eines Entgelts handelt. Dies ist zutreffend unter der Bedingung, „dass sich die betroffenen Personen örtlich innerhalb der Union befinden. Dabei reicht es aus, wenn sich die betroffenen Personen – auch nur kurzfristig – in der Union aufhalten. Auf die Staatsangehörigkeit oder den Status als Unionsbürger kommt es demnach nicht an" ([intersoft consulting services AG] 2017). Gleichbedeutend findet die DSGVO Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt (Art. 3 Abs. 3 DSGVO).

2.2.3 Ausnahmen

Ausgenommen ist die Verarbeitung von personenbezogenen Daten außerhalb einer vom Geltungsbereich des europäischen Unionsrechtes erfassten Tätigkeit, beispielsweise bei Gefahr für die nationale Sicherheit, oder von Mitgliedstaaten im Rahmen einer Tätigkeit, welche die unionsweite Außen- und Sicherheitspolitik nach Titel V Kapitel 2 EUV betreffen. Außerdem fällt die Verarbeitung von Daten durch Behörden zum Zwecke der Verfolgung, Verhütung, Aufdeckung oder Ermittlung von Straftaten oder der Strafvollstreckung nicht in den Anwendungsbereich dieser Verordnung. Eine weitere Ausnahme sind Daten, die lediglich für persönliche oder familiäre Zwecke verwendet werden, wie z.B. die Nutzung sozialer Netzwerke. Weitere Ausnahmen oder Spezialisierungen der Regelungen der DSGVO können über die Nutzung der Öffnungsklauseln¹ gestaltet werden. Hierfür sieht die Verordnung vor, dass die einzelnen EU-Mitgliedstaaten durch eigene Datenschutzgesetze, Ergänzungen treffen können. In Deutschland ist das dafür geltende Gesetz das Bundesdatenschutzgesetz (BDSG). Dies kann innerhalb der einzelnen deutschen Bundesländer noch durch weitere existierende Landesdatenschutzgesetze erweitert werden. Exemplarisch für Bayern sei hier das BayDSG, ohne weitere Ausführungen, genannt.

2.3 Verantwortlichkeiten und Pflichten

Im Rahmen der DSGVO ergeben sich zahlreiche Verantwortlichkeiten und Pflichten für Unternehmen, die Daten verarbeiten, welche sich innerhalb des Anwendungsbereichs der Verordnung befinden. Diese waren zum Teil bereits in der vorher gültigen Datenschutzrichtline vorhanden, werden aber durch die neue Verordnung ergänzt und modernisiert. Nachfolgend werden die wichtigsten Verantwortlichkeiten und Pflichten aufgeführt, welche aus Sicht von Unternehmen, die personenbezogene Daten verarbeiten (dazu gehören auch die Daten der eigenen Beschäftigten), zu beachten sind.

Zunächst sollte geklärt werden, wer der Verantwortliche für die Verarbeitung von Daten im Sinne der DSGVO ist. In der Begriffsklärung der DSGVO heißt es dazu sinngemäß, dass die Verantwortung demjenigen (oder denjenigen bei gemeinsam Verantwortlichen) obliegt, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art.4 Abs. 7 DSGVO). Direkt nachfolgend, wird der Begriff eines Auftragsdatenverarbeiter, als juristische Person, Einrichtung oder Behörde, die im Auftrag eines Verantwortlichen eine Verarbeitung von personenbezogenen Daten durchführt (Art .4 Abs. 8 DSGVO) definiert. Dabei wird alleine durch die Begriffstrennung klar, dass nicht zwingend derjenige, der die Daten verarbeitet, auch der Verantwortliche ist, sondern bei einer Beauftragung eines Dienstleisters, derjenige verantwortlich bleibt, der über den Zweck und die Mittel der eigentlichen Verarbeitung entscheidet. Eine solche Auftragsdatenverarbeitung findet beispielsweise im Rahmen von Personalrekrutierungen statt. Dabei obliegt dem Verantwortlichen, die Auswahl, Kontrolle und Weisungsbefugnis des Auftragsdatenverarbeiter. Diese sind vertraglich festzulegen. Das gilt gleichbedeutend für die Verpflichtung zur Einhaltung der DSGVO, die Gewährleistung der Sicherheit der Verarbeitung und die Regelung, was am Ende der Auftragsverarbeitung mit den Daten geschehen soll (Bayerisches Landesamt für Datenschutzaufsicht 2017, S. 24).

Als erste der neuen Pflichten für Unternehmen, sei hier die Rechenschaftspflicht (auch „Accountability“ genannt), welche vorsieht, dass Unternehmen die geeigneten technischen und organisatorischen Maßnahmen (TOM) treffen und sicherstellen, dass die Datenverarbeitung gemäß den Vorgaben der DSGVO erfolgt. Die Einhaltung dieser zentralen Anforderungen an eine Datenverarbeitung muss seitens der Unternehmen nachgewiesen werden können (BVDW Bundesverband Digitale Wirtschaft e.V. 2017, S. 95). Diese Maßnahmen sind dabei unter anderem abhängig von der Art der Daten, ihrem Umfang und dem Erhebungszweck sowie der Auswirkungen auf die Rechte und Freiheiten der betroffenen Person zu betrachten, kontinuierlich zu überprüfen und zu aktualisieren. Dabei ist im Sinne der technischen Maßnahmen zu beachten, dass die verwendeten Verfahren bei der Datenverarbeitung auf datenschutzfreundliche Voreinstellungen („privacy by default“) und datenschutzfreundliches Design („privacy by design“) achten müssen. Diese Anforderungen an technische Verfahren sind insbesondere für Softwarehersteller interessant, weshalb zu einem späteren Zeitpunkt noch einmal genauer auf deren Bedeutung eingegangen wird. Es kann zur Folge haben, dass für zukünftige sowie bestehende Anwendungen oder Dienste umfangreiche Änderungen erforderlich sind. Auch wenn diesbezüglich keine konkreten Maßgaben seitens der DSGVO vorgegeben sind, werden in Artikel 32 zumindest als Beispiele hierfür Pseudonymisierung und Verschlüsselung genannt.

Generell besteht beim Umgang mit personenbezogenen Daten die Pflicht, die Daten unter Beachtung folgender Grundprinzipien zu behandeln:

Tabelle 1: Grundprinzipien bei der Verarbeitung von personenbezogenen Daten

Abbildung in dieser Leseprobe nicht enthalten

nach Art. 5 Abs. 1 S. a - f DSGVO

Als nächstes seien die Informationspflichten erwähnt. Diese dienen dazu, betroffenen Personen, mehr Transparenz über die gesammelten Daten zu erteilen. Personen, die unter den Schutz der DSGVO fallen, haben demnach ein Recht auf eine Auskunft über die Art und Weise, sowie den Umfang der von Ihnen verarbeiteten persönlichen Daten. Das bedeutet, dass jedes Unternehmen in der Lage sein muss, diese Auskunft zu erteilen. Der Verantwortliche muss geeignete Maßnahmen ergreifen, um den Betroffenen alle Informationen und alle Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen kann schriftlich, elektronisch oder in einer anderen Form erfolgen (Mühlbauer 2018, S. 44). Dies ist ebenfalls eng verzahnt, mit dem Recht der betroffenen Personen auf Datenübertragbarkeit nach Art. 20 DSGVO. Darin ist beschrieben, dass zur Stärkung der informationellen Selbstbestimmung, jeder Einzelne verlangen kann, die eigenen Daten in einem gängigen und maschinenlesbaren Format zur Verfügung gestellt zu bekommen (Tinnefeld, Buchner, Petri und Hof 2017, S. 306). Somit kann die Weitergabe von gespeicherten Daten ohne größere Schwierigkeiten an einen anderen Anbieter erfolgen. Dadurch wird verhindert, dass bei einem Wechsel zu einem anderen Datenverarbeiter unzumutbare Aufwände entstehen (Herbst 2017, Art. 20 Rn. 20).

Eine weitere Neuerung besteht in der Meldeverpflichtung von Verstößen gegen die DSGVO. In diesen Fällen muss unverzüglich, spätestens jedoch innerhalb 72 Stunden nach bekannt werden der Verletzung, eine Meldung des Verantwortlichen an die Aufsichtsbehörde, sowie unter gegebenen Umständen eine Benachrichtigung der betroffenen Personen erfolgen. Von letzterem darf nur abgesehen werden, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko der persönlichen Rechte und Freiheiten der betroffenen Person führt (Kühling, Klar und Sackmann 2018, S. 283).

Als weitere Pflicht sei noch genannt, dass die meisten² Unternehmen einen Datenschutzbeauftragten bestellen müssen. Die Verantwortlichen müssen die beauftragten Personen ordnungsgemäß und frühzeitig bei der Beantwortung datenschutzrechtlicher Fragen mit einbeziehen und ihnen die Ressourcen zur Erlangung des notwendigen Fachwissens, sowie einen Einblick in die Verarbeitungsvorgänge der persönlichen Daten zur Verfügung stellen (BVDW Bundesverband Digitale Wirtschaft e.V. 2017, S. 74). Dabei gehört es zu den Aufgaben von Datenschutzbeauftragten, die Einhaltung der DSGVO und anderer Datenschutzrichtlinien zu kontrollieren und zu steuern.

Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung kann im deutschen Rechtsraum als Ersatz für die bisher nach §4d Abs. 5 BDSG anfallende Vorabkontrolle gesehen werden. Diese soll in besonders kritischen Fällen der Datenverarbeitung durchgeführt werden. Dabei sind überwiegend Verfahren, die automatisiert sensible persönliche Daten verarbeiten und bewerten, als kritisch zu erachten. Als Beispiele dafür nennt die DSGVO in Art. 35 Abs. 3 die Überwachung öffentlich zugänglicher Bereiche, Profiling als Grundlage für Entscheidungen über Rechtswirkung und die Verarbeitung von Daten zum Zwecke der Auswertung von strafrechtlichen Verurteilungen und Straftaten. Allerdings ist davon auszugehen, dass auch in vielen weiteren Fällen eine Datenschutz-Folgenabschätzung notwendig sein wird. Dies ist insbesondere dann der Fall, wenn es sich um Neuentwicklungen handelt, neuartige Technologien eingesetzt werden, oder wenn seit der letzten Bewertung der Verarbeitungstätigkeiten ein längerer Zeitraum vergangen ist (Sowa 2017, S. 14).

Wird von der verantwortlichen Stelle ein hohes Risiko trotz Verwendung aller zur Verfügung stehenden TOMs vermutet, ist die Aufsichtsbehörde zu informieren, welche dann entweder Empfehlungen für eine konforme Verarbeitung abgeben wird oder die Verarbeitung komplett untersagen kann (Sowa 2017, S. 14–15).

Als weitere Pflicht sei noch die Pflicht zum Führen eines Verzeichnisses über alle Verarbeitungstätigkeiten des jeweilig Verantwortlichen genannt. Zunächst sollte erwähnt werden, dass unter gewissen Bedingungen eine Freistellung von der Pflicht des Führens eines Verarbeitungsverzeichnisses erfolgen kann. Dies dürfte in der Praxis allerdings eher selten der Fall sein, da hierfür das verarbeitende Unternehmen über weniger als 250 Mitarbeiter verfügen muss, eine Verarbeitung nicht regelmäßig erfolgt und gleichzeitig keinerlei Gesundheits- oder Religionsdaten, wie beispielsweise für eine Lohnabrechnung erforderlich, verarbeitet werden (Bayerisches Landesamt für Datenschutzaufsicht 2017, S. 12). Das zu erstellende Verarbeitungsverzeichnis „dient gegenüber der Aufsichtsbehörde zum Nachweis, dass die Vorschriften der DS-GVO vom Verantwortlichen eingehalten wurden" (Braun et al. 2017, S. 7). Die Pflichtangaben für ein Verarbeitungsverzeichnis unterscheiden sich geringfügig, je nachdem ob es sich um einen Verantwortlichen oder einen Auftragsdatenverarbeiter handelt. Folgende Tabelle zeigt diese Pflichtangaben:

Tabelle 2: Pflichtangaben Verarbeitungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Darstellung nach (Braun et al. 2017)

3 DSGVO im Unternehmen

Neben den grundsätzlich geltenden Vorgaben der DSGVO, welche die obenstehenden Pflichten beinhalten, sollte innerhalb Unternehmen auch stets beachtet werden, dass die eigenen Mitarbeiter ebenfalls als geschützte Personen im Sinne der DSGVO betrachtet werden müssen. Für diese Personengruppe gilt der sogenannte Beschäftigtendatenschutz. In diesem Bereich macht die DSGVO von einer ihrer Öffnungsklausel gebrauch und ermöglicht dadurch, den einzelnen Ländern die Schaffung weiterer Erlaubnistatbestände zur Verarbeitung von Daten durch individuelle Gesetze. Unternehmen können darüber hinaus durch Betriebsvereinbarungen die Verarbeitung von Daten im Beschäftigungskontext legitimieren. Dies soll dem Umstand Rechnung tragen, dass die DSGVO im Ergebnis teilweise nicht perfekt zu den Besonderheiten von Arbeitsverhältnissen passt. So lassen sich Betroffenenrechte (wie z.B. das Widerspruchsrecht nach Art. 21 DSGVO) nicht durchweg ohne weiteres auf jedes beliebige Arbeitsverhältnis übertragen (Wybitul 2017, 311). Die zum Teil empfindlich hohen Strafen, die in der DSGVO vorgesehen sind, sollten dabei den Unternehmen jederzeit bewusst sein. Neben den anfallenden Kosten bei einer Bestrafung besteht auch die Gefahr eines Image- und Vertrauensverlusts bei den Kunden. Eine weitere Gefahr aus Unternehmenssicht ist in diesem Hinblick auch die erweiterte Kontrollmöglichkeit durch betroffene Personen, da diese zukünftig umfangreicher informiert werden müssen, wie ihre Daten verarbeitet werden. Lepperhoff und Müthlein beschreiben eine potentiell gefährliche Auswirkung in ihrem Leitfaden zur DSGVO wie folgt „dazu gehört auch eine Belehrung über das Beschwerderecht bei der Datenschutzaufsichtsbehörde. Erfahrungsgemäß nutzen unzufriedene Kunden, Lieferanten oder Mitarbeiter die Beschwerdemöglichkeit.“ (Lepperhoff und Müthlein 2017, S. 32).

Eine Untersuchung der Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V) von September 2016 zeigt, dass sich trotz der weitreichenden Änderungen ca. 44% der befragten Unternehmen zu diesem Zeitpunkt überhaupt noch nicht mit der Umsetzung der DSGVO beschäftigt hatten. Außerdem zeigt die Studie, dass 46% der Unternehmen bisher über kein geeignetes Verfahrensverzeichnis zur Dokumentation datenschutzrelevanter Verfahren und Prozesse verfügt (Bitkom.org 2016, S. 8). Des Weiteren gehen ca. 63% der Unternehmen davon aus, dass zumindest ein einmaliger Mehraufwand, durch die Umsetzung der DSGVO entstehen wird. Insgesamt sind sogar 29% der befragten Unternehmen der Meinung, dass ein dauerhafter Mehraufwand entstehen wird (Bitkom.org 2016, S. 9). Zur Umsetzung der Aufgaben planen knapp zwei Drittel der Unternehmen externe Expertisen aus den Bereichen Datenschutz, anwaltliche Beratung und externe Prüfer in Anspruch zu nehmen (Bitkom.org 2016, S. 10). Zusammenfassend kann der Studie entnommen werden, dass in vielen Unternehmen große Unsicherheiten bezüglich der Umsetzung der DSGVO bestehen. Gerade deshalb ist es vielen Unternehmen wichtig, diese Sicherheit durch die Inanspruchnahme externer Experten, Dienstleister oder durch die strukturierte Abarbeitung von Leitfäden und Handlungsempfehlungen zu gewinnen.

Für Unternehmen wird häufig empfohlen die neuen Anforderungen der DSGVO im Rahmen eines Datenschutzmanagementsystems (DSMS) zu organisieren. Dies hilft vor allem bei der Erfüllung der Nachweis- und Rechenschaftspflichten. Dabei lässt sich ein solches DSMS in ein ggf. bereits vorhandenes Informations-Sicherheits-Management-System (ISMS) integrieren. In einem guten DSMS sind Methoden und ganzheitliche Vorgehensweisen zur Risikominimierung, Überprüfbarkeit der Prozesse und zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von IT-Systemen enthalten (Wüpper 2017). Das Vorhandensein eines solchen Systems kann sich dabei unter Umständen bußgeldmindernd auswirken und ermöglicht eine schnelle und effiziente Reaktion, falls tatsächlich Datenschutzverstöße auftreten (Rammo 2016). Dabei kann ein DSMS sowohl über einen auf Basis von Schutzstandards orientierten Ansatz als auch über einen risikobasierten Ansatz realisiert werden. Während sich erstgenanntes hauptsächlich an Standards wie IT-Grundschutz orientiert, ist der risikobasierte Ansatz auf tatsächlich erforderliche Maßnahmen zur Gewährleistung eines Risikomanagements ausgelegt und bietet den Unternehmen damit etwas mehr Ermessungsspielraum (Loomans, Matz und Wiedemann 2014, S. 23). Die Etablierung eines DSMS sollte dabei in den kontinuierlichen Verbesserungsprozess integriert werden und den Plan-Do-Check-Act Zyklus befolgen, um jederzeit flexibel anpassbar zu sein. Zur konkreten Realisierung und Implementierung der dafür notwendigen Prozesse eignet sich ein systematisches Vorgehen anhand bekannter Best-Pracitces. Eine Sammlung solcher, ist in der IT-Infrastructure Library enthalten, welche in nachfolgendem Exkurs kurz vorgestellt wird.

[...]

¹ Ein Überblick über die Öffnungsklauseln findet sich in „Die 69 Öffnungsklauseln der DS-GVO“ nach Dr. Lukas Feiler: http://www.lukasfeiler.com/presentations/Feiler_Die_69_Oeffnungsklauseln_der%20DS-GVO.pdf

² In verschiedener Literatur wird erwähnt, dass die Pflicht zur Bestellung eines Datenschutzbeauftragten entfallen kann, wenn sich innerhalb des Unternehmens weniger als zehn Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigen (Gutsch (2018, S. 14) Im entsprechenden Artikel 37 DSGVO findet sich diese Regelung jedoch nicht. Generell sollten eher die Regelungen aus dem Text der Verordnung angewendet werden.