Technikgestaltung nach Maßgabe der EU-Datenschutzgrundverordnung

Lesezeit: ca. 8 Minuten

Der Datenschutz ist nunmehr seit einiger Zeit ein wichtiges Thema, welches vor allem für den internationalen Handel von großer Bedeutung ist. Probleme hinsichtlich des Datenschutzes ergaben sich in den letzten Jahren vor allem bei Datenübermittlungen in Drittländer, also Staaten außerhalb der EU.

Die dabei auftretenden Probleme entstammen vor allem dem aktuellen Bundesdatenschutzgesetz, weshalb das neue Bundesdatenschutzgesetz, sowie die EU Datenschutzgrundverordnung 2018 in Kraft treten. Die EU Datenschutzgrundverordnung sieht einheitliche Regelungen hinsichtlich des Datenschutzes vor, die die vorherigen nationalen Regelungen größtenteils verdrängen.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Eine besondere Neuregelung stellt dabei der Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen dar. Es handelt sich dabei um die Idee, mit Hilfe von organisatorischen und vor allem technischen Maßnahmen, einen ausreichenden Datenschutz zu gewährleisten.

Dabei werden bestimmte Anforderungen an datenverarbeitende Systeme gestellt, nach denen sich Unternehmen zu richten haben.

Anwendungsbereich der Datenschutz Grundverordnung

Die neue Verordnung gilt grundsätzlich für die automatisierte Verarbeitung von personenbezogenen Daten. Sollen personenbezogene Daten in einer Datei gespeichert werden oder wurden sie dies schon, so findet die Datenschutzgrundverordnung hier Anwendung.

Hinsichtlich des räumlichen Anwendungsberichts der Datenschutzgrundverordnung kommt es grundsätzlich auf die Niederlassung des Unternehmens an.

Neuregelung des Art. 25 DS-GVO

Mit der Datenschutzgrundverordnung geht eine Vielzahl an Neuregelungen einher, die einen weiten Anwendungsbereich mit sich bringen. Zu einer dieser Neuregelungen gehört der Art. 25 DS-GVO:

„ (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.“

Die Vorgaben des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen nach Art. 25 EU-DSGVO sollen den Datenschutz durch Technik gewährleisten.

Im Mittelpunkt dabei steht allerdings nicht der Schutz der Privatsphäre des Einzelnen, geschützt werden sollen vor allem personenbezogene Daten.

An wen richtet sich die Vorschrift?

Die Vorschrift richtet sich nach ihrem Wortlaut nach in erster Linie an den Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO:

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“.

Fraglich erscheint hier jedoch, dass es vor allem die Hersteller und Anbieter von Drittsystemen sind, die grundsätzlich für das Konzept des Datenschutzes durch Technikgestaltung verantwortlich sind.

Zwar richtet sich die Vorschrift vor allem an Verantwortliche Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO, mittelbar soll die Vorschrift allerdings auch für Hersteller und Entwickler Wirkung entfaltet.

So sollen Hersteller „ermutigt“ werden, den Datenschutz bei der Herstellung und Gestaltung von neuen Produkten und Anwendungen zu beachten und in die Technik zu implementieren.

Wie sieht die Technikgestaltung aus?

Der Grundgedanke des Art. 25 EU-DSGVO liegt darin, dass der mit der Digitalisierung einhergehende technische Fortschritt nicht nur als Teil des Datenschutzes gesehen werden soll. Vielmehr soll die Technik dabei helfen, den Datenschutz voranzutreiben und durchzusetzen.

Dass mit der neuen Technik nicht nur eine Reihe von rechtlichen Fragestellungen entstanden ist, sondern dass dies auch gleichzeitig bei der Problembehandlung dieser Fragen helfen kann ist allerdings bereits vor einigen Jahren thematisiert worden. Durch die EU Datenschutzgrundverordnung sollte dieses Konzept jedoch europaweit angewandt werden.

Das Hauptaugenmerk hinsichtlich des Datenschutzes durch Technikgestaltung liegt also hauptsächlich bei der Datenverarbeitung durch die jeweilige Hard- und Software.

Es soll also bereits bei der Programmierung versucht werden, dem Datenschutz Rechnung zu tragen. Zu einer solchen datenschutzfördernden Maßnahme gehören die so genannten „Privacy Enhancing Technologies (PETs)“

Privacy-Enhancing Technologies

Datenschutzfreundliche Techniken spielen für Unternehmen eine wichtige Rolle. Hierunter werden Techniken verstanden, die den Datenschutz in Informations- und Kommunikationssystemen fördern, durchsetzen oder unterstützen. Art. 25 Abs. 1 DS-GVO verpflichtet Verantwortliche wie beispielsweise Unternehmen dazu, durch solche technischen Maßnahmen die auftretenden datenschutzrechtlichen Risiken zu minimieren.

Denn der Datenschutz beschränkt sich nicht nur auf die Datenerhebung selbst, sondern umfasst vor allem die Verarbeitung und Nutzung von personenbezogenen Daten. Daher müssen Datenverarbeitungssysteme geschützt werden und personenbezogene Daten nur sparsam und vor allem nur wenn dies zwingend erforderlich ist verwendet werden.

Datensparsamkeit

Art. 25 Abs. 1 DS-GVO benennt hinsichtlich der Technikgestaltung die Pseudonymisierung als Mittel der Datensparsamkeit. Ziel ist es so wenig personenbezogene Daten wie möglich zu erheben, zu verbreiten oder aber zu nutzen. Die Pseudonymisierung stellt demnach einen wichtigen Teil der Technikgestaltung für den Datenschutz dar.

Legaldifiniert ist diese in Art. 4 Nr. 5 DS-GVO und sieht vor, dass die Daten die den betroffenen identifizieren können durch Pseudonyme ersetz werden sollen. Dies führt zu einem größeren Schutz der jeweiligen Person und dessen personenbezogener Daten, die allerdings zu keiner Anonymisierung der Daten führen.

Systemdatenschutz

Ein weiteres Mittel der Technikgestaltung kommt der Systemdatenschutz in Betracht. Dazu zählt beispielsweise der Schutz durch Verschlüsselungstechniken oder Firewalls. Durch diese Techniken soll der Zugriff Dritter auf personenbezogene Daten verhindert werden.

Durch Verschlüsselungstechniken soll zudem der Personenkreis reguliert werden, der auf schutzwürdige Daten Zugriff hat. Netzwerke können auf diese Weise abgesichert werden und auch eine geschützte Kommunikation kann so gewährleistet werden.

Ebenfalls von großer Bedeutung ist in diesem Zusammenhang der Schutz bzw. die Abwehr von Viren- und Spyware Programmen.

Entscheidungsspielraum bei Technikgestaltung?

Der Art. 25 DS-GVO nennt lediglich die Pseudonymisierung als Beispiel für Datenschutz durch Technikgestaltung. Weitere Maßnahmen werden nicht genannt, weshalb sich bei der genauen Gestaltung für die Verantwortlichen ein gewisser Gestaltungsspielraum ergibt.

Einen Leitfanden beziehungsweise eine Orientierung stellt der Art. 32 Abs. 1 DS-GVO dar, der beispielhafte Aufzählungen enthält:

„(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

    1. a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    2. b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.”

Grenzen der Technikgestaltung

Die zum Datenschutz beitragende Technikgestaltung stößt jedoch auch an ihre Grenzen. Diese Grenze stellen nach Art. 25 Abs. 1 DS-GVO Implementierungskosten und der Stand der Technik dar.

Doch was genau der Stand der Technik ist wird von Art. 25 Abs. 1 DS-GVO nicht erklärt. Es handelt sich hierbei vielmehr um einen unbestimmten Rechtsbegriff.

Der Begriff lässt sich allerdings aus umweltrechtlichen Bestimmungen herleiten, in denen der Begriff wie folgt definiert wird:

„Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zur Begrenzung von Emissionen in Luft, Wasser und Boden, zur Gewährleistung der Anlagensicherheit, zur Gewährleistung einer umweltverträglichen Abfallentsorgung oder sonst zur Vermeidung oder Verminderung von Auswirkungen auf die Umwelt zur Erreichung eines allgemein hohen Schutzniveaus für die Umwelt insgesamt gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere die in der Anlage [der jeweiligen Rechtsnorm] aufgeführten Kriterien zu berücksichtigen.“

Abgeleitet auf den Datenschutz wird der Begriff daher so ausgelegt, dass die besten Verfügbaren Techniken gemeint sind. Verantwortlichen kommt wie oben bereits erwähnt ein Entscheidungsspielraum zu, auf welche Art und Weise sie den Datenschutz durch Technikgestaltung gewährleisten wollen.

So handelt es sich neben dem Stand der Technik auch bei den Kosten der Implementierung um einen begrenzenden Faktor. Hat ein Verantwortlicher die Wahl zwischen zwei Maßnahmen, von denen die eine wirksamer ist als die andere, kann er jedoch auf die weniger wirksame Maßnahme zurückgreifen, wenn dies aus Kostengründen für ihn sinnvoller erscheint.

Denn nicht selten sind Maßnahmen, die zwar effektiver sind als andere, mit unverhältnismäßigen Kosten für den Verantwortlichen verbunden.

Datenschutzfreundliche Voreinstellungen

Aus Art 25 Abs. 2 DSGVO geht hervor, dass der Verantwortliche geeignete technische Maßnahmen zu treffen hat, durch die datenschutzfreundliche Voreinstellungen gewährleistet werden.

Auch hier gilt wieder eine indirekte Wirkung für Dritthersteller und Drittanbieter. Art. 25 Abs. 2 DSGVO wurde deshalb konzipiert, weil es maßgeblich die Werkseinstellungen sind, die für den Datenschutz entscheidend sind.

Die Werkseinstellungen sind die Einstellungen, mit denen das technische Gerät das Werk des Herstellers verlässt. Denn nur weniger Nutzer ändern die Werkseinstellungen und modifizieren diese, so sind es in der Regel also ausschließlich die Werkseinstellungen, die genutzt werden. Dies macht es umso wichtiger bereits bei den Voreinstellungen datenschutzrechliche Vorkehrungen zu treffen.

Die Vorschrift gibt daher Verantwortlichen, wie auch Herstellern und Anbietern vor, bereits durch die Voreinstellungen eine möglichst datensparsame Verarbeitung für Nutzer zu ermöglichen.

In Bezug auf personenbezogene Daten bedeutet dies, dass sowohl mit dem Umfang der Verarbeitung, der Speicherfrist und der Zugänglichkeit sparsam umgegangen werden soll.

Fazit

Die Datenschutzgrundverordnung, die im Mai 2018 in Kraft treten wird, appelliert in erster Linie an Unternehmen, den Datenschutz bereits in der Entwicklung neuer Systeme mit einzubeziehen.

Unternehmen werden sich daher in Zukunft noch intensiver mit dem Datenschutz auseinandersetzen müssen, um den Anforderungen des Art. 25 DSGVO gerecht werden zu können.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen