Nach der Verabschiedung von die EU-Datenschutzgrundverordnung (DSGVO) Am 25. Mai 2018 hat sich der Umgang von Organisationen mit dem Risiko personenbezogener Daten deutlich verändert.

In den Tagen vor der DSGVO wurde Cybersicherheit von Vorständen als Geschäftsrisiko betrachtet, aber oft konnten die Auswirkungen von Datenverlusten nicht ausreichend quantifiziert werden und die Kosten für die Verbesserung der Cyberabwehr basierten nicht auf einem rechtlichen Rahmen und waren daher weniger leicht zu rechtfertigen.

Das Aufkommen der DSGVO mit dem Versprechen hoher Bußgelder auf der Grundlage des Jahresumsatzes einerseits und einem klaren regulatorischen Rahmen, der den Nachweis der Einhaltung andererseits ermöglicht, hat den Fall des Geschäftsrisikos erheblich erleichtert. Auch wenn sich Organisationen vor der Einführung der DSGVO nicht um den Schutz der von ihnen verarbeiteten personenbezogenen Daten gekümmert haben, tun sie es jetzt.

Aber die einfache Einhaltung der DSGVO garantiert nicht unbedingt die Privatsphäre von Mitarbeitern und Kunden. Das Vereinigte Königreich Büro des Informationskommissars (ICO) verwendet nun statt „privacy by design“ den Begriff „Datenschutz durch Technik“. Dies liegt zumindest teilweise daran, dass „Datenschutz“ zum Teil subjektiv ist, was Datenschutzbestimmungen nicht sein können. Außerdem können einige, die behaupten, die Datenschutzbestimmungen einzuhalten, dem Wortlaut der Vorschriften entsprechen, aber nicht unbedingt deren Geist.

Im Fall der Einwilligung heißt es zum Beispiel: „Generell sollte es für sie so einfach sein“ [the data subject] um die Einwilligung zu widerrufen, wie es für Sie war, um die Einwilligung einzuholen.“ Das habe ich bisher noch nicht erlebt, möglicherweise weil es ziemlich schwer zu erreichen ist. Die meisten Leute sehen dies, wenn wir auf einer neuen Website surfen und aufgefordert werden, „alle Cookies zu akzeptieren“. Dies geht ganz einfach per Mausklick. Wenn Sie Ihre Meinung ändern, kann es in vielen Fällen eine Herausforderung sein, zurückzugehen und die Erlaubnis zu widerrufen.

Die Einwilligung ist jedoch nur eine der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Andere beinhalten eine vertragliche oder gesetzliche Haftung, die nur auf diese Weise erfüllt werden kann, oder ein „berechtigtes Interesse“, das ebenfalls mit der Notwendigkeit einer Einwilligung in den Vordergrund gestellt wurde.

Im Rahmen des Cookie-Zustimmungsverfahrens befindet sich oft eine Schaltfläche „berechtigtes Interesse“ am unteren Bildschirmrand. Berechtigtes Interesse ist die Verarbeitung personenbezogener Daten im Rahmen des berechtigten Interesses einer Person, eines Dritten oder eines Unternehmens an der Erbringung einer Dienstleistung oder weil sie einen weitergehenden sozialen Nutzen hat. Etwas, das ein Verbraucher erwarten würde, um den Dienst in Anspruch nehmen zu können, oder die geschäftlichen Interessen des Anbieters.

„Auch wenn sich Organisationen vor der Einführung der DSGVO nicht um den Schutz der von ihnen verarbeiteten personenbezogenen Daten gekümmert haben, tun sie es jetzt“

Paddy Francis, Airbus CyberSecurity

Die die Daten verarbeitende Organisation muss jedoch nachweisen können, dass denjenigen, deren Daten verarbeitet werden, kein Schaden entsteht und dass das Ziel des Dienstes nicht weniger aufdringlich erreicht werden kann. Berechtigtes Interesse kann eine nützliche Rechtsgrundlage für die Verarbeitung ohne ausdrückliche Einwilligung sein, wenn kein Vertragsverhältnis oder keine gesetzliche Verpflichtung besteht. Sie muss jedoch noch deklariert und begründet werden. Dies kann zum Teil der Grund dafür sein, dass einige Websites ein berechtigtes Interesse an ihrem Zustimmungsprozess haben. Obwohl zustimmungspflichtige Cookies standardmäßig „aus“ sind, sind Cookies, die sich auf berechtigte Interessen beziehen, im Allgemeinen „ein“.

Ein Beispiel aus der Praxis, bei dem ein berechtigtes Interesse verwendet werden könnte, das jedoch schwer zu rechtfertigen sein könnte, ist die Virenprüfung von E-Mails, die eine Organisation verlassen. Es könnte argumentiert werden, dass dies im Interesse des Rufs des Unternehmens und von Dritten liegt, die infizierte E-Mails erhalten, aber gleichzeitig könnte eine identifizierbare Person glauben, dass das unwissentliche Versenden einer solchen E-Mail ihnen zur Last gelegt werden könnte.

Ein weiteres Beispiel ist, dass ein Mitarbeiter auf seinem Desktop einen Ordner namens „persönlich“ hat, den er zur Unterstützung seiner eigenen Geschäftsaktivitäten verwendet. Hätte der Arbeitgeber ein berechtigtes Interesse daran, auf die „persönlichen“ Ordner eines Benutzers zuzugreifen? Und wenn ja, wären die so gewonnenen Beweise vor einem Arbeitsgericht zulässig?

Das erste Szenario könnte besser durch eine Einwilligung und das zweite durch einen Arbeitsvertrag abgedeckt werden, der dem Arbeitgeber dieses Recht einräumt.

Anwendung der DSGVO-Prinzipien

„Rechtmäßigkeit, Fairness und Transparenz“ bilden den ersten von die sieben Grundsätze der DSGVO, die bei jedem neuen Projekt im Voraus berücksichtigt und während der gesamten Lebensdauer eines Systems, während es sich entwickelt, beibehalten werden müssen. Die anderen sechs Prinzipien sind: Zweckbindung; Datenminimierung; Richtigkeit; Speicherbeschränkungen; Integrität und Vertraulichkeit; und Rechenschaftspflicht.

Während die gesamte DSGVO ab dem ersten Tag eines neuen Projekts berücksichtigt werden muss, sind „Zweckbeschränkung“ und „Datenminimierung“ wahrscheinlich die wichtigsten, die zuerst berücksichtigt werden müssen.

Es ist wichtig, den Zweck jedes Unternehmens zu verstehen. Mit DSGVO bezieht sich dies auf den Zweck, zu dem Sie personenbezogene Daten erheben und verarbeiten. Ohne dies zu verstehen, können Sie nicht wissen, welche Daten Sie erheben müssen und können keine Rechtsgrundlage für die Erhebung und Verarbeitung dieser Daten herstellen.

Der Zweck muss dokumentiert und in einer Datenschutzerklärung oder einem Äquivalent, das allen Nutzern zur Verfügung steht, festgehalten werden. Es ist wichtig, zu Beginn alle Zwecke zu identifizieren, für die die Daten verarbeitet werden müssen, da eine spätere Verarbeitung der Daten für andere Zwecke eine weitere Einwilligung und eine Aktualisierung Ihrer Dokumentation erfordert.

Bei der Datenminimierung geht es hingegen darum, die erhobenen Daten auf das für den Zweck erforderliche Maß zu beschränken. Das Wort „notwendig“ ist hier auch wichtig, denn es bedeutet, dass die Lösung den zu sammelnden Bedarf minimieren sollte. Das heißt, wenn die Wahl von Lösung A die Erhebung von mehr personenbezogenen Daten im Vergleich zu Lösung B erfordert, erfüllt die Tatsache, dass die gesammelten Daten für Lösung A erforderlich sind, nicht die Anforderungen der Datenminimierung, wenn dies für Lösung B nicht erforderlich ist. Dies ist wichtig nicht nur zur Einhaltung der DSGVO, sondern auch zur Minimierung der Menge der schutzbedürftigen personenbezogenen Daten und idealerweise zur Minimierung oder Beseitigung der Notwendigkeit, sensible personenbezogene Daten zu erheben oder zu speichern.

Pseudonymisierung von Nutzerdaten

Ein weiterer Ansatz zum Schutz der Benutzerdaten ist das Konzept der Pseudonymisierung. Beispielsweise könnte bei einem Satz medizinischer Daten die Identität des Benutzers durch eine eindeutige zufällige Pseudo-Identität ersetzt und die Beziehung zwischen der Identität des Benutzers und der Pseudo-Identität separat gespeichert werden. Die Daten würden dann als pseudonymisiert betrachtet. Es wäre nicht vollständig anonymisiert, da der Benutzer anhand der Kartendaten immer noch indirekt identifizierbar wäre. Die pseudonymisierten Daten könnten jedoch sicher verarbeitet werden, vorausgesetzt, die Zuordnung zu ihrer wahren Identität würde sicher aufbewahrt. Wenn es nie erforderlich war, den spezifischen Benutzer zu identifizieren, muss die Zuordnung zur tatsächlichen Identität nicht beibehalten werden und die Daten können als vollständig anonymisiert betrachtet werden.

Hier ist jedoch Vorsicht geboten, denn wenn der Datenverarbeiter die Zuordnung nicht hält, sie aber an anderer Stelle noch vorhanden ist, würde sie nicht als vollständig anonym betrachtet. Auch wenn die Daten andere Informationen enthielten, die durch Korrelation mit anderen Daten zur Identifizierung einer Person verwendet werden könnten – zum Beispiel Geburtsdatum und Postleitzahl, die mit dem Wählerverzeichnis korreliert sind –, wären die Daten weiterhin nur pseudo-anonym, so dass es als personenbezogene Daten geschützt werden müssten.

Sich ständig ändernde Datenschutzansätze

Die DSGVO hat in den drei Jahren seit ihrer Einführung sicherlich Wirkung gezeigt. Organisationen haben ihren Umgang mit personenbezogenen Daten an die Vorschriften angepasst, und die Behörden haben sie zunehmend für Verstöße gegen diese Vorschriften zur Rechenschaft gezogen.

Das Interesse der Öffentlichkeit am Datenschutz ist ebenfalls gestiegen, mit Informationen und Berichten zu den verschiedenen Datenschutzverletzungen und der Ankündigung von Apple Anfang dieses Jahres, dass Werbetreibenden die Möglichkeit genommen wird, Benutzeraktivitäten über Apps und Geräte hinweg zu verfolgen.

Ich erwarte zwar nicht, dass sich die Verordnung in Zukunft wesentlich ändern wird, aber ihre fortgesetzte Durchsetzung und das wachsende öffentliche Verständnis der Privatsphäre in der digitalen Welt werden unseren Ansatz zum Datenschutz wahrscheinlich noch einige Zeit verändern.

Leave a Reply

Your email address will not be published. Required fields are marked *