Der Europäische Datenschutzausschuss (European Data Protection Board, abgekürzt EDPB) hat am 20.11.2019 die „Guidelines 4/2019 on Article 25 Data Protection by Design and by Default“ veröffentlicht. Dieser Beitrag fasst den Entwurf des Datenschutzausschusses zusammen und setzt sich an geeigneter Stelle kritisch mit den Anforderungen auseinander.
Der Inhalt im Überblick
Privacy by Design und Privacy by Default im Überblick
Die Guidelines geben allgemeine Hinweise zu der in Art. 25 DSGVO festgelegten Verpflichtung zum Datenschutz durch Technikgestaltung (engl. „Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen (engl. „Privacy by Default“).
Hauptsächlich ist damit das Erfordernis gemeint, dass die Verantwortlichen geeignete technische und organisatorische Maßnahmen und notwendige Sicherheitsvorkehrungen treffen, um die Datenschutzgrundsätze der DSGVO wirksam umzusetzen und die Rechte und Freiheiten der betroffenen Personen zu schützen.
Die Verantwortlichen müssen insbesondere in der Lage sein, die Wirksamkeit der umgesetzten Maßnahmen nachzuweisen. Dabei sind die datenschutzrechtlichen Anforderungen bereits im Vorfeld (also bei der Planung eines neuen Verarbeitungsvorgangs und der Festlegung der Verarbeitungsmethoden), als auch bei der anschließenden Verarbeitungstätigkeit selbst zu beachten. Um einen wirksamen Datenschutz zu jedem Zeitpunkt der Verarbeitung gewährleisten zu können, stellt der Europäische Datenschutzausschuss klar, dass der Verantwortliche regelmäßig die Wirksamkeit der gewählten Maßnahmen und Garantien zu überprüfen und die Umsetzung sich am „Stand der Technik“ zu orientieren hat. Mithin muss der Verantwortliche über den technologischen Fortschritt auf dem Laufenden bleiben, um die wirksame Umsetzung der Datenschutzgrundsätze dauerhaft gewährleisten zu können. Dabei sollten Art, Umfang, Kontext und Zweck der Verarbeitung sowie das Risiko für die Rechte und Freiheiten natürlicher Personen in die Erwägung einbezogen werden.
Nachdem in Art. 25 DSGVO der in Art. 5 DSGVO normierte Grundsatz konkretisiert wird, dass grundsätzlich nur personenbezogene Daten verarbeitet werden dürfen, die für den jeweiligen Zweck der Verarbeitung erforderlich sind, geht der Europäische Datenschutzausschuss näher auf die Standardeinstellungen unter Berücksichtigung des Datenschutzes ein. Die Guidelines enthalten dabei auch Hinweise und Beispiele zur effektiven Umsetzung.
Ferner werden die Möglichkeiten der Zertifizierung gemäß Art. 42 DSGVO und die Durchsetzung von Art. 25 DSGVO durch die Aufsichtsbehörden angesprochen. Abschließend werden Empfehlungen ausgesprochen, wie Verantwortliche, Auftragsverarbeiter und Anbieter zusammenarbeiten können, um die Grundsätze des Art. 25 DSGVO erreichen und deren Umsetzung als Wettbewerbsvorteil nutzen können.
Gesetzliche Anforderungen des Art. 25 DSGVO
In § 2 der Guidelines werden zunächst in abstrakter Form die gesetzlichen Anforderungen des Art. 25 DSGVO untersucht und erläutert, sowie die einzelnen Absätze inhaltlich näher betrachtet. Wobei klargestellt wird, dass die Einhaltung der Grundsätze für alle Verantwortlichen gilt, unabhängig von deren Größe und Struktur, so dass kleine Unternehmen genauso betroffen sind, wie internationale Konzerne.
§ 2.1.1 geht auf die Verpflichtung des Verantwortlichen ein, angemessene technische und organisatorische Maßnahmen sowie notwendige Sicherheitsvorkehrungen bei der Verarbeitung zu treffen. Wobei die Maßnahmen vom Einsatz fortschrittlichster technischer Lösungen bis hin zu Basis-Schulung der Mitarbeiter (z.B. im Umgang mit Kundendaten) reichen können. Aber auch die Gewährleistung der Rechte für die Betroffenen sowie Pseudonymisierung werden als weitere Maßnahmen genannt.
Hieran knüpft § 2.1.2 an, der hauptsächlich die Wirksamkeit der Umsetzung zum Inhalt hat und insbesondere die Nachweispflichten in den Fokus rückt. Mithin sollen Verantwortliche nachweisen können, dass sie spezielle Maßnahmen ergriffen haben, die notwendig sind, um die Rechte und Freiheiten der betroffenen Personen zu schützen. Es reiche daher nicht aus, allgemeine Maßnahmen zu ergreifen. Vielmehr müsse jede umgesetzte Maßnahme zum Schutz der Rechte der Betroffenen tatsächliche Wirkung entfalten.
In § 2.1.3 und § 2.1.4 wird näher auf die einzelnen Vorgaben des Art. 25 Abs. 1 DSGVO eingegangen und versucht aufzuzeigen, wie diese bei der Umsetzung berücksichtigt werden können.
In diesem Zusammenhang werden die abstrakten Begriffe des Gesetzes näher erörtert.
Gleiches erfolgt in § 2.2 für Art. 25 Abs. 2 DSGVO
Umsetzung in der Praxis
§ 3 geht auf die konkrete Umsetzung des Prinzips „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ in der Praxis ein. Dabei werden zu den einzelnen Grundsätzen Praxisbeispiele gebracht.
„Transparenz“
Beispielhaft soll im Folgenden direkt der erste Grundsatz der „Transparenz“ näher betrachtet werden.
Demnach muss der Verantwortliche von Beginn an klar und auf einfache Weise darstellen, wie personenbezogene Daten verarbeitet werden. Hier geht es dem Grunde nach also darum, dass die betroffenen Personen ihre Rechte aus den Artikeln 15 bis 22 DSGVO verstehen und gegebenenfalls geltend machen können.
Wichtige Design- und Voreinstellungen könnten nach Vorstellung des Europäischen Datenschutzausschusses bspw. sein:
- Klarheit: Die Informationen müssen klar und deutlich, präzise und verständlich sein.
- Semantik: Kommunikation muss für das jeweilige Publikum eine klare Bedeutung haben.
- Zugänglichkeit: Die Informationen müssen für die betroffene Person leicht zugänglich sein.
- Kontext: Die Informationen werden zum relevanten Zeitpunkt und in der geeigneten Form zur Verfügung gestellt.
- Relevanz: Die Informationen müssen für die betreffende Person relevant und anwendbar sein.
- Universelles Design: Die Informationen müssen für alle zugänglich sein.
- Verständlichkeit: Die betroffenen Personen müssen ein angemessenes Verständnis dafür haben, was sie bei der Verarbeitung ihrer personenbezogenen Daten erwarten können, insbesondere wenn es sich bei den betroffenen Personen um Kinder handelt.
- Multi-Channel: Informationen sollten auf verschiedenen Kanälen und Medien bereitgestellt werden, um die Wahrscheinlichkeit zu erhöhen, dass sie die betroffene Person erreichen.
Idealvorstellung einer Datenschutzerklärung
Als Beispiel wird die Idealvorstellung einer Datenschutzerklärung herangezogen:
„Diese darf keine umfangreichen Informationen enthalten, die für den durchschnittlichen Betroffenen schwer zu durchdringen und zu verstehen sind. Sie muss in einer klaren und prägnanten Sprache verfasst sein und es dem Nutzer der Website leichtmachen, zu verstehen, wie seine personenbezogenen Daten verarbeitet werden.
Die Informationen sollten dabei mehrschichtig bereitgestellt werden, wobei die wichtigsten Punkte hervorgehoben werden. Durch Dropdown-Menüs und Links zu anderen Seiten solle ermöglicht werden, weitergehende Erläuterungen zu erhalten. Die Steuerung stellt bspw. auch sicher, dass die Informationen mehrkanalig bereitgestellt werden, indem Videoclips Verfügung stehen, um die wichtigsten Punkte der Informationen zu erklären.
Die Datenschutzerklärung darf für die betroffenen Personen nicht schwer zugänglich sein. Sie muss somit von allen Unterseiten erreichbar sein, so dass die betroffene Person immer nur einen Klick bedarf.
Darüber hinaus müssen die notwendigen Informationen auch im richtigen Zusammenhang und zu gegebener Zeit bereitgestellt werden. Dies bedeutet, dass eine Datenschutzerklärung auf der Website allein in der Regel nicht ausreicht, damit der Verantwortliche die Anforderungen an die Transparenz erfüllen kann. Der Verantwortliche entwirft daher einen Informationsfluss, der der betroffenen Person in den entsprechenden Kontexten relevante Informationen präsentiert, z.B. durch Informationsausschnitte oder Pop-ups. So informiert der Verantwortliche die betroffene Person beispielsweise bei der Aufforderung zur Eingabe personenbezogener Daten darüber, wie die personenbezogenen Daten verarbeitet werden und warum diese personenbezogenen Daten für die Verarbeitung erforderlich sind.“
Guidelines und Realität
Wie das obige Beispiel zeigt, gehen die Anforderungen der Guidelines oftmals an der Realität vorbei. So werden zum Teil ähnlich hohe Hürden auch hinsichtlich der anderen Grundsätze des Art. 5 DSGVO gestellt. Als da wären:
- Rechtmäßigkeit
- Verarbeitung nach Treu und Glauben
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Zu all den o.g. Prinzipien nehmen die Guidelines auf über zehn Seiten Stellung und bringen dabei mehr oder minder praxisrelevanten Beispiele. Mithin handelt es sich sicherlich um eine hilfreiche Lektüre für ein besseres Verständnis, wie der Europäische Datenschutzausschuss die datenschutzrechtlichen Prinzipien der Art. 5 DSGVO und 25 DSGVO umgesetzt sehen möchte. Allerdings sind die Anforderungen in Gänze kaum vollständig umsetzbar, sofern man ein Tagesgeschäft zu führen hat. Für die Implementierung bzw. Anpassung von Kerntätigkeiten oder Prozessen, ist es aber durchaus eine gute Orientierungshilfe und sollte zumindest ansatzweise in die Überlegungen bei der Auswahl herangezogen werden.
Zertifizierungen und aufsichtsbehördliche Befugnisse
In § 4 gehen die Guidelines auf die Behandlung etwaiger Zertifizierungen nach Art. 42 DSGVO durch die Behörden ein. Dies erscheint insofern als (noch) fernliegend, als zumindest dem Autor bisher keine anerkannten Zertifizierungsverfahren, Datenschutzsiegel oder -prüfzeichen bekannt sind, die dazu dienen (könnten), nachzuweisen, dass diese DSGVO bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.
Nicht zu vernachlässigen ist aber die kurze Klarstellung in § 5 wonach die Aufsichtsbehörden die Einhaltung von Art. 25 DSGVO gem. Art. 58 DSGVO prüfen und entsprechende Abhilfemaßnahmen ergreifen können. Dazu gehören Verwarnungen, Weisungen, Beschränkungen oder Verbote der Verarbeitung aber auch Geldbußen nach Art. 83 DSGVO in bekannter Höhe.
Empfehlungen des Europäischen Datenschutzausschusses
Zu guter Letzt werden in § 6 die Schlussfolgerungen des Europäischen Datenschutzausschusses und dessen Empfehlungen aufgezeigt. Als relevant wären hier insbesondere zu nennen:
- Verantwortliche sollten die Prinzipien des Art. 25 DSGVO bereits in den ersten Phasen der Planung eines Verarbeitungsvorgangs und noch vor dem Zeitpunkt der Festlegung der Verarbeitungsmittel, berücksichtigen.
- Technologieanbieter sollten sich bemühen, die Verantwortlichen bei der Einhaltung der Grundsätze zu unterstützen. Die Verantwortlichen sollten keine Anbieter wählen, die keine Möglichkeit bieten, Art. 25 DSGVO einzuhalten, da die Verantwortlichen für die mangelnde Umsetzung einzustehen haben.
- Technologieanbieter sollten eine aktive Rolle bei der Erfüllung der Kriterien für den „Stand der Technik“ spielen und die Verantwortlichen über alle relevanten Änderungen diesbezüglich informieren, die sich auf die Wirksamkeit der von ihnen getroffenen Maßnahmen auswirken können.
- Die Verantwortlichen sollten zwar die Kosten bei der Wahl eines Anbieters und der Planung berücksichtigen, dabei aber die potenziellen Kosten von Geldbußen infolge der Nichteinhaltung der DSGVO ebenfalls berücksichtigen.
- Der Europäischer Datenschutzausschuss ermutigt Technologieanbieter dazu, die Gelegenheit zu nutzen, Technikgestaltung und datenschutzfreundliche Voreinstellungen als Wettbewerbsvorteil zu sehen.
- Den Verantwortlichen wird empfohlen, dass die Technologieanbieter Rechenschaftspflicht darüber ablegen, wie diese den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen umgesetzt haben.
- Verantwortliche sollten gegenüber den betroffenen Personen hinsichtlich der Datenverarbeitung transparent sein.
Ausblick und Handlungsbedarf
Bei den nun veröffentlichten Guidelines handelt es sich zunächst um einen Entwurf für die öffentliche Konsultation. Insofern besteht bis zum 16.01.2020 die Möglichkeit etwaige Stellungnahmen abzugeben. Auch wenn die vorliegende Version also nicht als final angesehen werden kann, ist dennoch nicht mit grundlegenden Änderungen zu rechnen.
Aufgrund der aktiveren Ahndung von Verstößen durch die Aufsichtsbehörden und den allgemein steigenden durchschnittlichen Bußgeldern, sollten Verantwortliche Ihre Prozesse, Produkte und Dienstleister stets dahingehend kritisch prüfen, ob ein Mindestmaß an Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen eingehalten wird. Dabei sind neben den direkten Kosten der Implementierung / Anpassung auch die möglichen Folgen bei Missachtung zu berücksichtigen und einzupreisen.
Das ist alles schön und gut. Doch wie soll ein Arzt oder ein Zahnarzt etwas einpreisen, was in Ihrer Kalkulation garnicht möglich ist. Hier werden alle Unternehmen über einen Kamm geschoren, ohne Rücksicht auf Verluste. Der einzelne Arzt kann das nicht leisten und auch noch teure Updates jährlich stammen.