Für alle diejenigen, die das Thema bisher verdrängt haben: Mit der Einführung der europäischen Datenschutz-Grundverordnung (EU-DSGVO) am 25. Mai 2018 müssen Organisationen zukünftig jede Maßnahme zur Verarbeitung personenbezogener Daten auf die Konformität mit der DSGVO prüfen. Laut einer aktuellen Studie von IDC haben 44 Prozent der deutschen Unternehmen noch keine technologischen oder organisatorischen Maßnahmen ergriffen, mit denen Sie die Datenschutzvorgaben erfüllen können. Das bedeutet, fast der Hälfte der Organisationen in diesem Land drohen Bußgelder. Natürlich nehmen Firmen diese Strafen nicht freiwillig in Kauf. Vielen bereitet die Umsetzung der weitreichenden Gesetzesänderungen zur Sammlung nutzerbezogener Daten ob ihrer Komplexität Kopfzerbrechen. Wissen auch Sie noch nicht genau, was durch die EU-DSGVO auf Sie zukommt? Dann erhalten Sie in diesem Artikel einen Überblick über die verschärften Nutzerrechte und die Maßnahmen, die Sie zur Einhaltung ergreifen müssen.
Persönliche Daten und Personenrechte
Die EU-DSGVO stärkt die Rechte der EU-Bürger in Hinblick auf ihre Daten und deren Weiterverarbeitung durch Unternehmen. Dabei geht es um die so genannten personenbezogenen oder persönlichen Daten. Was genau fällt unter den Begriff persönliche Daten? Gemäß der EU-DSGVO sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter fallen beispielsweise Name, IP-Adresse, Standortdaten, aber auch allgemein Merkmale, die „Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“. Somit gehören auch Cookies zu den persönlichen Daten, denn sie machen die indirekte Identifizierung einer Person möglich. Und die gilt es nach der neuen Verordnung besonders zu sichern. Der Schutz personenbezogener Daten sollte in Ihrer Organisation verankert sein.
Privacy by Design: Daten verarbeiten – bisher und zukünftig
Die EU-DSGVO verlangt von allen Organisationen, die persönliche Daten von EU-Bürgern verarbeiten, die Umsetzung des Konzepts „Privacy by Design“. Bei diesem Ansatz dürfen Sie nur die Daten sammeln, die wirklich für den angebotenen Service benötigt werden. Diese „Minimallösung“ gilt ebenso für die Verarbeitung der Daten wie für die Dauer ihrer Archivierung.
Bisher hatten Unternehmen beim Setzen von Cookies oder Sammeln von Daten leichtes Spiel. Nutzer mussten persönliche Daten zur Anmeldung bei Diensten verpflichtend eingeben oder bei der Installation von Apps eine Zugriffsberechtigung erteilen, damit diese überhaupt genutzt werden konnten. Die Verarbeitung von Daten konnte nur nachträglich abgelehnt werden (Opt-Out). Zukünftig benötigen Organisationen die ausdrückliche Zustimmung der Nutzer, wenn sie personenbezogene Daten erheben wollen. Dazu bedarf es einer ausführlichen Aufklärung der User, wie ihre Daten genutzt werden. Ansonsten ist der Vorgang rechtlich unwirksam (Opt-In).
Die Rahmenbedingungen, unter denen Sie zukünftig die Zustimmung zur Datenverarbeitung einholen müssen, sind in der EU-DSGVO klar definiert: Unternehmen dürfen keinerlei Interpretationsspielraum über die Datenabgabe lassen und müssen betroffene Personen klar und ausführlich über die Ziele der Datensammlung informieren. Zudem dürfen Organisationen den Zugang zu einer Seite oder einem Dienst nicht von der Zustimmung zur Datenverarbeitung abhängig machen: Auch denjenigen Nutzern, die nicht zustimmen, müssen Sie Zugang zu Ihrem Angebot gewähren.
Gerade diese Bedingung hat sehr konkrete Auswirkungen auf die Verwaltung der Opt-Ins und der Opt-Outs im Rahmen der EU-DSGVO: Alle bislang per fehlendem Opt-Out gesammelten Zustimmungen – keine explizite Ablehnung von Cookies – sind ab dem Stichtag ungültig. Sie müssen zukünftig auch in diesem Fall um Zustimmung bitten, damit Sie die Daten der betroffenen Personen weiter nutzen dürfen.
Mit Privacy by Design dürfen Unternehmen nur so viele Daten wie notwendig sammeln. Dennoch muss auch bei wenigen Daten bestimmt werden, wer dafür haftet. Ein Datenschutzbeauftragter wirkt als Kontrollinstanz. Klären Sie zusätzlich, wer abteilungsübergreifend für die Umsetzung der Datenerhebung verantwortlich ist: Gibt es bereits einen Datenmanager (Chief Data Officer) im Unternehmen? Falls nicht, scheuen Sie sich nicht davor, zusätzliche Investitionen zu tätigen. Langfristig werden sich diese Maßnahmen auszahlen. Die EU-DSGVO verlangt, dass jedes Unternehmen mit mehr als 250 Mitarbeitern einen eigenen Datenschutzbeauftragten (DSB) ernennen muss.
Zustimmungserklärungen: absolute Transparenz
Die EU-DSGVO weist Sie an, in der Zustimmungserklärung zur Datenverarbeitung absolute Transparenz gegenüber Ihren Nutzern zu zeigen: Jede Person muss erkennen und verstehen können, wie die Daten, die erhoben werden sollen, später verwendet werden. Dafür sind detaillierte Erläuterungen nötig. Das bedeutet, eine Einblendung wie „Mit dem Besuch unserer Seite akzeptieren Sie…“ ist nicht mehr zulässig. Die Zustimmungserklärung des Users muss in Kenntnis der Nutzung der verschiedenen Cookies erfolgen.
Hier erfolgt eine Unterscheidung zwischen drei verschiedenen Nutzungstypen:
· Die Nutzung für analytische Zwecke, um die Customer Journey eines Users zu dokumentieren.
· Die Nutzung für Werbezwecke, um beispielsweise die Einblendung von Werbe-Displays zu verwalten.
· Die Nutzung für soziale Medien, um eine Verbindung zwischen der Marken-Website und ihren Seiten in den sozialen Netzwerken zu etablieren.
Die Herausforderung besteht nun darin, den betroffenen Personen diese verschiedenen Nutzungszwecke auf verständliche Art und Weise zu präsentieren. Den Nutzer auf die einzelnen Nutzungszwecke nur hinzuweisen, reicht nach der EU-DSGVO nicht. Sie müssen beweisen können, dass die ausdrücklichen Zustimmungen auch wirklich eingeholt worden sind, dass die gesammelten Daten ausschließlich für diesen einen Zweck genutzt werden sowie dass Prozesse und Maßnahmen ergriffen wurden, um die persönlichen Daten der Kunden effektiv zu schützen.
Schutz personenbezogener Daten durch Pseudonymisierung
Wie können Sie persönliche Daten schützen und gleichzeitig ihre Nutzung im Rahmen der in der Zustimmungserklärung definierten Zwecke ermöglichen? Als Antwort auf diese Frage nennt die EU-DSGVO die Pseudonymisierung der Daten, nicht zu verwechseln mit der Anonymisierung.
Anonymisierte Daten werden so verändert, dass eine spätere Identifizierung verhindert wird und nicht mehr möglich ist. Wenn dies der Fall ist, unterliegen diese Daten nicht mehr der EU-DSGVO. Bei der Pseudonymisierung hingegen werden personenbezogene Daten in einer Weise verarbeitet, dass Sie später durch Hinzuziehung zusätzlicher Informationen wieder einer spezifischen betroffenen Person zugeordnet werden können. Diese Informationen müssen Sie allerdings gesondert aufbewahren. Unterziehen Sie diese Informationen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Weitere Nutzerrechte: Zugang, Modifizierung und Übertragung von Daten
Nutzer haben durch die EU-DSGVO nun die Möglichkeit, an Sie heranzutreten und bestimmte Rechte zu ihren Daten einzufordern. Sie müssen ihnen zukünftig Zugang zu ihren persönlichen Daten gewähren und deren Modifizierung ermöglichen. Jede physische Person kann eine Bestätigung verlangen, dass ihre Daten verarbeitet werden und kann – so diese Daten fehlerbehaftet sind – deren Korrektur anweisen. Ebenso kann jeder mit dem „Recht auf das Vergessenwerden“ die schnellstmögliche Löschung seiner Daten verlangen. Zu den meistdiskutierten Vorschriften zählt das „Recht auf Datenübertragbarkeit“. Damit soll der Einzelne seine personenbezogenen Daten von einer verantwortlichen Stelle auf die andere übertragen können. Das Problem: um Profildaten bei einem Dienst zu exportieren und bei einem vergleichbaren zu importieren, fehlen derzeit noch standardisierte Datensätze und Schnittstellen (APIs). Diese Voraussetzungen sind allerdings von den Unternehmen zu schaffen.
Fazit: Strenge, aber umsetzbare Vorgaben
Mit der europäischen Datenschutz-Grundverordnung werden die Rechte der Nutzer bezüglich der Verarbeitung ihrer Daten verstärkt. User können von vorneherein entscheiden, ob und für welche Zwecke ihre Daten weiterverarbeitet werden dürfen. Dies müssen Sie ihnen beim Einholen der Erlaubnis transparent klar machen und nach einer expliziten Zustimmung fragen. Außerdem haben Personen nun das Recht, die Daten einzusehen, zu verändern oder ganz löschen zu lassen. Sollten die Nutzerrechte in irgendeiner Form verletzt werden, sind Sie dazu verpflichtet, dies innerhalb von 72 Stunden an den Datenschutzbeauftragten zu melden. Die Vorgaben sind streng, aber nicht unlösbar. Ein konsequentes Datenmanagement ist hier der Schlüssel. Arbeiten Sie notfalls mit externen Dienstleistern zusammen, die bereits DSGVO-konform sind. So stellen Sie sicher, dass Sie ab dem 25. Mai gesetzeskonform handeln und Ihnen die hohen Strafen der neuen Verordnung erspart bleiben.