Entwicklung der Datenschutzlandschaft in Q3 / Q4 2019

Die Datenschutz-Grundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft und veränderte die europäische Datenschutzlandschaft. Q3 / Q4 2019 haben relevante Einblicke in die Auswirkungen der Verordnung auf Verbraucher und Organisationen gebracht, vor allem zu Themen wie dem „Recht auf Vergessen werden“, dem Datenschutz in der elektronischen Kommunikation sowie dem hierzu erforderlichen Datenmanagement. Unternehmen wie Facebook wurden neue Einschränkungen auferlegt: zum Beispiel wurde ihnen verboten, Benutzerdaten aus verschiedenen Quellen desselben Unternehmens zusammenzuführen. Der Einsatz künstlicher Intelligenz im digitalen Marketing wurde außerdem kritisch begutachtet.

Die DSGVO enthält spezielle Anforderungen für On- und Offline-Segmente sowie den Schutz von Kunden- und Mitarbeiterdaten. In Deutschland gibt es mehrere nationale Rechtsvorschriften, die spezifische Maßnahmen zur Gewährleistung des landesweiten Datenschutzes festlegen. Um den EU-Anforderungen der DSGVO gerecht zu werden, wurde das deutsche Datenschutzgesetz durch das zweite DSAnpUG-Eu (Zweites Gesetz zur Anpassung des Datenschutzgesetzes an die Verordnung (EU) 2016/679 und die Durchführungsrichtlinie (EU) 2016/680, ergänzt. Mit dem zweiten Gesetz zur Anpassung des Datenschutzgesetzes an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 hat der Gesetzgeber unter anderem den Schwellenwert zur pflichtmäßigen Bestellung von betrieblichen Datenschutzbeauftragten (DSB) angehoben. Nach § 38 I 1 BDSG sind Unternehmen und sonstige nicht-öffentliche Stellen daher nur dann zur Bestellung eines DSB verpflichtet, wenn sie mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Die freiwillige Bestellung eines qualifizierten DSB gemäß Art. 37 IV der DSGVO bleibt bestehen und ist in Anbetracht der ohnehin geltenden Datenschutzverpflichtungen ratsam. Darüber hinaus gilt gemäß Art. 5 II DSGVO eine diesbezügliche Rechenschaftspflicht. Des Weiteren ist auch im Hinblick auf die Sanktionen, die sich aus der rechtswidrigen Datenverarbeitung ergeben, die freiwillige Bestellung eines Datenschutzbeauftragten als vorbeugende Maßnahme (intern oder extern) zu empfehlen. Auch die Etablierung von Verhaltensregeln gemäß Art. 40 DSGVO ist als ein empfehlenswertes Selbstregulierungs- und Unterstützungsinstrument bei der Auftragsabwicklung (Art. 28 V DSGVO) zu betrachten.

Risikobasierter Ansatz der DSGVO

Die Datenschutztrends von Q3 / Q4 2019 haben gezeigt, dass die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO von entscheidender Bedeutung ist. Insbesondere im Hinblick darauf, wann eine Datenschutz-Folgenabschätzung durchgeführt werden muss ist weiterhin schwierig zu beurteilen (Norm oder eher Ausnahme). Erste Lösungsvorschläge für eine praxisorientierte Risikobewertung der Verarbeitung liegen bereits vor. Die Risikoorientierung der Regulierungsbehörde drückt sich dadurch aus, dass die Verarbeitung sensibler Daten nach Art. 9 DSGVO an restriktive Voraussetzungen gebunden ist.

Zusammenfassend folgen einige der wichtigsten Themen, die in Q3 / Q4 2019 in Bezug auf Risikobewertung erörtert wurden:

Verbraucherschutz / Werbung

  • Telefonwerbung bedarf der ausdrücklichen Zustimmung des Verbrauchers.
  • Die Verwendung von Bildern von Kindern für Werbezwecke erfordert die Zustimmung beider Elternteile.
  • Die Verwendung von Bildern von Veranstaltungsbesuchern auf Webseiten zur Eigenwerbung und Werbung bedarf deren ausdrücklicher Zustimmung.

Internationaler Datenschutz

  • Insbesondere im Sinne einer Harmonisierung des Datenschutzgesetzes in der Europäischen Union (EU) wurde das Rechtsinstrument der in den Mitgliedsstaaten geltenden Verordnung gewählt. Mehrere nationale Datenschutzgesetze wurden zur Einhaltung an die DSGVO angepasst: Beispielsweise in den Niederlanden, Polen, Ungarn und Griechenland. Die Angemessenheit des Datenschutzniveaus in den USA wird derzeit im Hinblick auf das kalifornische Verbraucherschutzgesetz und das EU-US-Privacy Shield diskutiert.

DSGVO-Zertifizierung nach ISO 27701

Die Norm ISO / IEC 27701: 2019 wurde im August 2019 veröffentlicht. Der offizielle Titel lautet „Sicherheitstechniken - Erweiterung auf ISO / IEC 27001 und ISO / IEC 27002 für das Management von Datenschutzinformationen - Anforderungen und Richtlinien.“ Wie der Name schon sagt, ist ISO 27701 kein unabhängiger Standard, sondern lediglich eine Erweiterung der Datenschutzaspekte auf der ISO 27000 (nämlich ISO 27001 und ISO 27002). Der Kern der Zertifizierung bleibt weiterhin das Information Security Management System (ISMS).

Die Artikel 42 und 43 der DSGVO legen die Bedingungen fest, unter denen Zertifizierungen erfolgen dürfen bzw. welche Anforderungen Zertifizierungsstellen erfüllen müssen. Bei genauer Betrachtung des Artikel 43 der DSGVO erkennt man, dass eine Zertifizierung des Datenschutzes nur auf der Grundlage von ISO 17065 (Zertifizierung von Produkten und Prozessen) möglich ist. Darüber hinaus weisen ISO-Normen einen erheblichen Nachteil in Bezug auf Transparenz auf den angewendeten Umfang oder auf die angewendeten Kriterien auf. Ein weiterer Schwachpunkt von Zertifizierungen nach ISO-Normen ist die häufig fehlende Zuordnungsmöglichkeit der zertifizierten Bereiche. Dies widerspricht jedoch den Anforderungen an Datenschutzzertifikate gemäß Artikel 42 der DSGVO.

Was sind die Alternativen?

Grundsätzlich gibt es derzeit keine Zertifizierungen, die den Anforderungen von Artikel 42 vollständig entsprechen., obwohl diese dringend benötigt würden. Die Möglichkeit eines DSGVO-konformen Zertifikats könnten nicht nur für externe Marketingzwecke nützlich sein, sondern auch, um die Haftung des Unternehmens bzw. der Geschäftsleitung im Falle möglicher Datenschutzverletzungen zu verringern.

Neben Marketingzwecken könnten solche Zertifizierungen auch für weitere externe und interne Zwecke verwendet werden, z. B. für die Verbesserung der Beziehung zwischen Kunden und Auftragnehmern während der Auftragsabwicklung, die vereinfachte Einbeziehung von Subunternehmern oder zur Vorlage beim Vorgesetzten als Nachweis der Übernahme von Verantwortung (Datenschutzbeauftragte).

Neben sog. Zertifizierungen könnten auch andere Methoden zur Bestätigung der Einhaltung der DSGVO Anwendung finden, z. B. im Rahmen von Prüfungen des Risikomanagementsystems (gemäß IDW PS 981) bzw. des Compliance-Management-Systems (gemäß IDW PS 980). Ebenso wären Bescheinigungen von Teilen der Datenschutzorganisation gemäß dem International Standard for Safeguards (ISAE) 3000 (überarbeitet) denkbar.

Erwartungen an das Jahr 2020

DSGVO nicht mehr als alleinige Datenschutzverordnung

Die DSGVO hat viele Gesetzgeber in anderen Ländern dazu inspiriert, Datenschutzgesetze nachzubessern: von LGPD in Brasilien bis CCPA in Kalifornien. Obwohl viele dieser Gesetze mit den allgemeinen Datenschutzbestimmungen vereinbar sind, setzt jeder von ihnen diesen Schutz auf seine eigene Weise um. Die beiden neuen Bestimmungen sind dabei nur der Anfang. Kanada und Australien erwägen bereits ebenfalls neue Datenschutzbestimmungen; der indische Gesetzesgeber plant eine Abstimmung über das Gesetz zum Schutz personenbezogener Daten und in den Vereinigten Staaten erwägen gleich mehrere Staaten (darunter Nevada, New York, Texas und Washington) dem Beispiel von Kalifornien zu folgen und ein eigenes Datenschutzgesetz zu erlassen.

Keine aktuellen Auswirkungen des Brexit auf die Datenschutzlandschaft

In den letzten Jahren hat der Brexit die europäischen Nachrichten dominiert. Die britischen und EU-Regulierungsbehörden müssen einen alternativen Rechtsrahmen schaffen, um Daten in Zukunft zu schützen. Dies wird jedoch zumindest im Hinblick auf den Datenschutz für 2020 relativ geringe Auswirkungen haben. Trotz der Tatsache, dass Großbritannien die EU am 31. Januar 2020 offiziell verlassen hat, werden sie in diesem Jahr weiterhin alle EU-Standards und -Regeln einhalten. Dies bedeutet, dass die DSGVO weiterhin das britische Nationalgesetz regulieren wird.

Keine Vollendung der Regelungen für elektronische Kommunikation

Es scheint, dass das verspätete Gegenstück zur DSGVO, die Datenschutzverordnung für elektronische Kommunikation (ePrivacy-Vorordnung), noch etwas auf sich warten lassen wird. Tatsächlich lehnte der Ausschuss der Ständigen Vertreter des Rates der Europäischen Union einen Entwurf im November 2019 ab. Dadurch ist es sehr wahrscheinlich, dass in diesem Jahr ein überarbeiteter Entwurf erforderlich sein wird, was bedeutet, dass zur tatsächlichen Umsetzung noch mindestens ein Jahr gewartet werden muss. Die ePrivacy-Verordnung sollte bereits 2017 in Kraft treten, um die aktuell gültige ePrivacy-Richtlinie zu ersetzen. Diese regelt aktuell u.a. die Handhabung von Cookies.

Kampf um Datenübertragung

Im Jahr 2015 reichte der österreichische Datenschutzbeauftragte Max Schrems beim irischen Datenschutzbeauftragten eine Beschwerde ein, in der er die Abhängigkeit von Facebook von Irland bei Standardvertragsbestimmungen als Rechtsgrundlage für die Übermittlung personenbezogener Daten an Facebook Inc. in den USA beanstandete. Schrems argumentierte, dass solche Standardvertragsbestimmungen keinen angemessenen Schutz für betroffene Personen in der EU bieten. Dies führte zu einer kontroversen Entscheidung, die zum Fall Schrems II führte, der sich derzeit einer Rechtsprechung nähert.

Grundlage des Falles ist Art. 46, wonach ein Datenverantwortlicher Daten international oder an Dritte nur dann übertragen kann, wenn der für die Verarbeitung Verantwortliche angemessene Schutzmaßnahmen getroffen hat und unter der Bedingung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsmittel für die betroffenen Personen verfügbar sind.

Am 19. Dezember 2019 veröffentlichte der zuständige Generalanwalt beim Gerichtshof der Europäischen Union (EuGH) eine Stellungnahme, wonach Standardvertragsklauseln für die internationale Übermittlung von Daten verwendet werden können. Im Kleingedruckten schlägt der Generalanwalt jedoch auch vor, die Anwendung solcher Bestimmungen von Fall zu Fall zu überprüfen. Die Stellungnahme wirft aber auch ernsthafte Datenschutzprobleme in den Vereinigten Staaten auf, die Zweifel an der Datenübertragung in die Vereinigten Staaten aufkommen lassen. Obwohl die Stellungnahme des Generalanwalts AG nicht bindend ist, handelt es sich häufig um eine Vorschau auf die Entscheidung der zentralen Wahlkommission. Noch in diesem Jahr kann mit einer endgültigen Entscheidung des EuGHs und mit einem neuen Kampf um die Datenkommunikation gerechnet werden.

Für mehr Informationen zu unseren Dienstleistungen im Bereich Datenschutz kontaktieren Sie gerne.

Ansprechpartner

Telefon: +49 40 35006-300
E-Mail: gregor.strobl[at]rsm.de

Alexandra Khammud LL.M
DSGVO Expertin - Risk Advisory Services (RAS)
E-Mail: alexandra.khammud[at]rsm.de

JETZT KONTAKT AUFNEHMEN

Internet Explorer 11 wird nicht unterstützt.

Wir haben festgestellt, dass Sie einen veralteten Browser verwenden. Wir empfehlen Ihnen, einen aktuellen Browser zu nutzen, um Ihre Sicherheit zu erhöhen und alle Funktionalitäten der RSM-Website nutzen zu können.

Wir empfehlen die folgenden Browser: