Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 2

Mitautor: Christian Frerix*

Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt

Wie wir in der letzten Woche in Teil 1 dieser Serie erläuterten, ist die EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2016 in Kraft getreten und wird ihre Wirkungen im Mai 2018 in aller Pracht entfalten.

Bis dahin sollten sich Unternehmen mit den damit für sie einhergehenden Änderungen tunlichst auseinandersetzen. Warum? Warum nicht wie bisher ignorieren? Nun, der alte Tiger Datenschutz hat – wie wir bislang nur zaghaft andeuteten – neue Zähne bekommen. Das bedeutet unter anderem, dass Verstöße gegen die Verordnung – je nach dem gegen welche Norm Sie verstoßen haben – mit Bußgeldern in Höhe von bis zu 10 000 000 Euro bzw. bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres  oder in Höhe von bis zu 20 000 000 Euro bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres mit Geldbußen  geahndet werden können (vgl. Art. 83 Abs. 4 u 5 DSGVO). Daneben sind nun auch klar Schadensersatzansprüche in der DSGVO verankert (vgl. Art. 82 DSGVO). Tja, bei diesen Beträgen fällt es schon schwer, eine „Rückstellung“ zu budgetieren geschweige denn tatsächlich einzukalkulieren. Dazu ein anderes Mal mehr; aber dies vielleicht als kleinen Anreiz, mit einem wachen Auge auf die anstehenden Änderungen zu schauen.

Nach dem wir in Teil 1 der Serie einen groben Überblick über den Aufbau, die Auswirkungen der Übergangsregelungen und der Öffnungsklauseln sowie die Ziele der DSGVO gewonnen haben, beschäftigen wir uns heute einmal mit den wichtigsten Begriffe der DSGVO, damit wir in den nachfolgenden Teilen auch alle ganz sicher eine einheitliche Datenschutz-Sprache sprechen. In der DSGVO laufen einem nämlich sowohl gänzlich neue Begriffe als auch – vermeintlich – altbekannte Begriffe über den Weg. Vermeintlich deswegen, weil diesen oft eine (leicht) andere Bedeutung als bisher innewohnt, bzw. innewohnen soll.

Die Begriffsbestimmungen in der DSGVO

Die Begriffsbestimmungen der DSGVO finden sich in Art. 4 DSGVO. Vom Umfang her übersteigen die 26 Definitionen den Definitionskatalog des BDSG deutlich. Neben vielen bekannten wurden nun auch neue Begriffe wie etwa. die „genetischen“ und „biometrischen“ Daten definiert. Doch der Reihe nach. Hier nun die wichtigsten Begrifflichkeiten, mit denen ein jeder vertraut sein sollte:

Personenbezogene Daten

Selbstverständlich wird – wie im BDSG auch – in der DSGVO das Schutzgut der „personenbezogenen Daten“ definiert. Das sind hier alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Ähnlich wie im BDSG werden nur identifizierte oder identifizierbare natürliche Personen geschützt (das BDSG spricht von „bestimmter“ oder „bestimmbarer“ Person). Zieht man den Erwägungsgrund 26 (Die Erwägungsgründe in EU-Richtlinien und Verordnungen sind erläutern quasi die Beweggründe des Gesetzgebers, die dem Richtlinien- bzw. Gesetzestext vorangestellt werden und die als Auslegungshilfe dienen) zur Auslegung heran, so ergibt sich daraus aber ein weiteres Begriffsverständnis, als es dem BDSG zugrunde liegt (sog. „absoluter Personenbezug“):

Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten (Hervorhebung durch die Verf.), sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.  

Damit werden in Zukunft auch IP-Adressen, Cookies etc. ohne jede Frage vom Begriffsverständnis her erfasst sein. Sie gelten dann als personenbezogene Daten, auch wenn die datenverarbeitende Stelle eine tatsächliche Identifizierung nicht vorgenommen hat. Abzustellen ist auf die Möglichkeit einer Identifizierung.

Besonders schützenswerte personenbezogene Daten

Wie auch im BDSG erfolgt darüber hinaus eine Unterscheidung der „normalen“ Daten von besonders schützenswerten personenbezogenen Daten, deren Verarbeitung nach Art. 9 DSGVO grundsätzlich untersagt ist. Dazu zählen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person , Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Nur in den in Art. 9 Abs. 2 geregelten Fällen ist deren Verarbeitung zulässig. Das ist u.a. der Fall bei einer Einwilligung, im Arbeitsverhältnis zur Anmeldung von Versicherungsleistungen oder bei einer Veröffentlichung der Daten durch den oder die Betroffene/n selbst. Man denke hier z.B. bei den Gesundheitsdaten nur an die Fitness-Tracker und die durchaus durch die Betroffenen automatisierten Veröffentlichungen all dieser damit erhobener Daten.

Verarbeitung

Unter den Begriff der „Verarbeitung“ fällt nun jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Eine begriffliche Unterscheidung zwischen Erhebung, Verarbeitung und Nutzung, wie sie das BDSG vornimmt, gibt es nun nicht mehr. Man muss sagen: Zum Glück. Denn nur gar zu oft entsprach das Subsumieren der einzelnen Datenverarbeitungsprozesse reiner Sysiphos-Arbeit, an deren Sinnhaftigkeit oft zu zweifeln war. Zu mal die Trennung dieser Datenverarbeitungsschritte ebenso oft beinahe künstlich vorgenommen werden musste.

Ergo bleibt zu hoffen, dass diese neue Definition in der DSGVO eine echte Arbeitserleichterung mit sich bringt.

Profiling (Big Data Analysen)

Die Definition des „Profiling“ ist neu und lässt sich deshalb auch unter diesem Begriff nicht im BDSG finden. Das Profiling wird in Art. 4 Nr. 4 DSGVO verstanden als jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Ein solches aus dem BDSG bereits bekanntes Verfahren kann zum Beispiel das in § 28b BDSG geregelte Scoring sein, anhand dessen Wahrscheinlichkeitswerte für ein künftiges Verhalten errechnet werden können. Diese und andere im Rahmen der rasanten Entwicklung der Big Data-Technologie entstehende Verfahren werden künftig unter dem Begriff des „Profiling“ zusammengefasst. Sinn und Zweck dieses weiten Verständnisses ist laut Art. 22 der Schutz des Einzelnen, keinen Entscheidungen oder Beeinträchtigungen unterworfen zu werden, die ausschließlich auf einer automatisierten Datenverarbeitung beruhen. Als Beispiele für derartige unzulässige Maßnahmen nennt Erwägungsgrund 71 die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Natürlich gibt es davon auch wieder Ausnahmen, die sich in Art. 22 Abs. 2 finden. Danach ist das „Profiling“ zulässig, wenn der Betroffene einwilligt, ein Gesetz dies ausdrücklich genehmigt oder dieses für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist. Überlesen werden darf an dieser Stelle aber auch nicht das Wort „ausschließlich“, denn unzulässig ist eben nur die ausschließlich automatisierte Verarbeitung. Das war bisher verboten (vgl. § 6a BDSG)  – ist also insoweit nichts Neues – und wird auch verboten bleiben. Im Umkehrschluss bedeutet dies, dass aber eben Anwendungsbereiche für Big-Data-Analysen verbleiben.

Welche Anwendungsbereiche das genau sind? Tja… derzeit ist in der DSGVO ein sehr breites Begriffsverständnis angelegt und so etwas führt bekanntermaßen immer zu Abgrenzungsproblemen.  Das hat auch der Verordnungsgeber gesehen und dem Europäischen Datenschutzausschuss daher nahegelegt, Leitlinien zum Profiling herauszugeben (Erwägungsgrund 72). Es bleibt abzuwarten, ob, wann und inwiefern diese für Klarheit sorgen werden.

Wir werden uns dem Profiling jedenfalls noch einmal in einem gesonderten Teil ausführlich zuwenden.

Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Neu ist im Vergleich zum BDSG die ausdrückliche Erwähnung, dass zwei oder mehrere Stellen gemeinsam verantwortlich sein können. Das ist kein Fall der aus dem BDSG bereits bekannten Auftragsdatenverarbeitung (dazu gleich), sondern trägt dem Umstand Rechnung, dass auch mehrere Stellen in Eigenverantwortung gemeinsam Daten zu jeweils eigenen Zwecken verarbeiten können. Art. 26 regelt für diesen Fall, welche Voraussetzungen die Beteiligten dafür jeweils zu erfüllen haben. Hierbei handelt es sich unter anderem um die Verpflichtung zu transparente Vereinbarung zwischen den Stellen und Informationspflichten gegenüber dem Betroffenen. 

Die Übermittlung von Daten innerhalb eines Konzerns wird dagegen auch durch die DSGVO nicht vereinfacht. Die zusammengeschlossenen Unternehmen werden auch weiterhin als selbstständige Verantwortliche oder Dritte betrachtet. Der Datenaustausch unterliegt den allgemeinen Vorschriften. Ein  „Konzernprivileg“ wird es somit auch mit der DSGVO nicht  geben.

Allerdings lässt sich dem Erwägungsgrund 48 entnehmen, dass an einer Übermittlung von Daten innerhalb einer Unternehmensgruppe ein berechtigtes Interesse bestehen kann, welches von Behörden und/oder Gerichten bei der Auslegung der Vorschriften zu berücksichtigen ist. Insofern könnte damit damit eine „Mini-Privilegierung“ für Konzerne entstanden sein.

Auftragsverarbeiter

Vom Verantwortlichen zu trennen ist der Auftragsverarbeiter. Dieser ist im BDSG zwar nicht explizit definiert, die „Datenverarbeitung im Auftrag“ aber in § 11 BDSG geregelt. Inhaltliche Unterschiede ergeben sich daraus zur DSGVO aber keine. Danach ist Auftragsverarbeiter nämlich ebenfalls eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Welchen Rechten und Pflichten der Auftragsverarbeiter unterliegt, wird insbesondere in Art. 28 DSGVO geregelt. Dieser enthält umfangreiche Regelungen zur Auswahl des Verantwortlichen, der Pflicht zur vertraglichen Bindung und Ausführungen zur inhaltlichen Ausgestaltung des Vertrages. Leider äußert sich die DSGVO zur erforderlichen Vertragsform etwas undeutlich, wenn es in Art. 28 Abs. 9 heißt, „dass der Vertrag schriftlich abzufassen ist, was auch in einem elektronischen Format erfolgen kann.“ Braucht es also eine Unterschrift und das Original? Reicht der unterschriebene und eingescannte Vertrag aus? Reicht vielleicht sogar nur die Textform und das „schriftlich“ dient dem Ausschluss der Mündlichkeit (Umkehrschluss aus Erwägungsgrund 32)? Fragen über Fragen, die leider zu diesem Zeitpunkt noch nicht beantwortet werden können.

Eine ausführlichere Auseinandersetzung mit den Rechten und Pflichten der Verantwortlichen und Auftragsverarbeiter erfolgt im vierten Teil dieser Serie.

Empfänger

Im Gegensatz zum BDSG definiert die DSGVO den „Empfänger“ etwas ausführlicher. Danach ist dies eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Damit wird deutlich, dass insbesondere der Auftragsverarbeiter – und nicht (nur) der ihn beauftragende Verantwortliche – auch ein Empfänger von Daten ist.

Dritter

„Dritter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. Inhaltlich ändert sich im Vergleich zum BDSG damit zwar nichts. Es wird aber klarer herausgestellt, dass sowohl die o.g. Einrichtungen als auch die unter deren Verantwortung für sie tätigen Personen nicht Dritte sind.

Pseudonymisierung

Die bereits aus dem BDSG bekannte „Pseudonymisierung“ darf gerade im Hinblick auf die Entwicklungen im Big Data-Bereich natürlich auch in der DSGVO nicht fehlen. Diese wird hier recht ausführlich beschrieben. Und zwar als die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Soweit nichts Neues. Allerdings „fordert“ die DSGVO nahezu die Pseudonymisierung aller möglichen Daten (zum Beispiel zur Sicherheit der Datenverarbeitung). Was es damit genau auf sich hat und ob es wirklich so klar ist, was man denn nun mit pseudonymisierten Daten anstellen darf, erläutern wir noch in einem seperaten Artikel. (Spoiler: Hier ist leider noch nicht so viel klar.)

Manch einer sucht vielleicht nach dem Begriff der anonymisierten Daten, welcher sich jedoch nicht wirklich finden lässt. Warum dies so ist, ergibt sich aus Erwägungsgrund 26.  Hiermit wird klargestellt, dass sich die DSGVO eben ausschließlich auf identifizierte oder identifzierbare Personen bzw. deren Daten bezieht. Es heißt dort wörtlich: Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.

Das klingt erst einmal gut. Aufgrund des weiten Personenbezugs, also eben der Tatsache, dass eine mögliche Personenbeziehbarkeit vollkommen ausreicht, und des technischen Fortschritts, kann man natürlich ketzerisch fast in Frage stellen, inwieweit eine Anonymisierung von Daten, bzw. eben für die Statistik und Forschung interessanten Datensätzen, künftig überhaupt noch möglich ist.

Allgemein zugängliche Daten

Spannend wird es nun bei den gerade für Big Data Analysen bzw. das Profiling – jedenfalls bislang – so wichtigen „allgemein zugänglichen Daten“. Taucht dieser Begriff im BDSG an den verschiedensten Stellen auf und ist er Grundlage für Scoring und damit u.a. für die Zulässigkeit moderner Big Data Analysen, sucht man einen derartigen Begriff beinahe vergeblich in der DSGVO.

Aber nur beinahe, denn in Art. 14 Abs. 2 lit. f. DSGVO (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden) findet sich der Begriff der „öffentlich zugänglichen Quellen.“ Das heißt, dem Verordnungsgeber sind derartige Quellen doch irgendwie vor Augen gewesen.  Mehr findet sich dazu nicht in der Verordnung. Aber vielleicht ist das  auch gar nicht erforderlich.

Denn schließlich erfolgt durch die DSGVO  eine Abkehr vom strikten Grundsatz der Direkterhebung.  § 4 Abs. 2 BDSG postuliert(e): Personenbezogene Daten sind beim Betroffenen zu erheben. Art. 6 DSGVO hingegen, der die Grundsätze der Datenverarbeitung regelt, stellt dagegen in erster Linie auf den Verarbeitungszweck und nicht zuförderst auf die Herkunft der Daten ab. (Zu den Grundsätzen und den Voraussetzungen der Datenverarbeitungen kommen wir dann ausführlich im nächsten Teil unserer Serie)

Tja, ob dies nun aber tatsächlich der Gedankengang des Verordnungsgebers war oder oder ob der Verordnungsgeber sich dieser „Problematik“ einfach nicht hinreichend bewusst war – man weiß es nicht.  Was man weiß ist, dass es hier mit größter Wahrscheinlichkeit ein Ringen um die „richtige“ Auslegung geben wird. Hardliner des Datenschutzes werden hier nämlich ziemlich sicher zu anderen Auffassungen gelangen als die wirtschaftsnahe beratende Zunft.

Kurz: Es wäre wünschenswert gewesen, wenn es gerade zu den „öffentlich zugänglichen Daten“ eine Definition gegeben hätte. Aber was soll’s…über verschüttete Milch soll man ja nicht weinen. Und wie gesagt, wir werden uns hierzu noch weitere Gedanken – auch im Zusammenhang mit dem Profiling – machen.

Fazit

Nachdem im ersten Teil dieser Serie versucht wurde, ein Grundverständnis für die DSGVO zu vermitteln, befassten wir uns in diesem Teil nun mit den wichtigsten Begriffen der DSGVO. Dabei fiel auf, dass die DSGVO viele bekannte oder ähnliche und viele neue Begrifflichkeiten enthält, die allesamt in Art. 4 geregelt werden. Der Begriff der „personenbezogenen Daten“ wird weit ausgelegt, so dass künftig auch IP-Adressen, Cookies etc. davon erfasst werden. Dem technischen Fortschritt geschuldet ist die Neuregelung des „Profiling“-Begriffes, der sämtliche bekannte und künftige Big Data-Anwendungsformen erfassen soll. Vor diesem Hintergrund enttäuschend ist aber, dass die DSGVO keine Aussage zum Umfang der Nutzung pseudonymisierter Daten – insbesondere beim Profiling – enthält. Ebenso vermissen wir eine Definition der öffentlich zugänglichen Daten oder wenigsten eine klare Verankerung dieser in der DSGVO. So bleibt leider einiges weiter unklar.

Was jedoch schon jetzt sicher gesagt werden kann, ist, dass es bald den dritten Teil dieser Serie geben wird. In diesem werden dann die Grundsätze der Datenverarbeitung vorgestellt, auf denen der Datenschutz in Europa künftig fußen soll.

In diesem Sinne, bis dahin!

*Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und war daneben bis November 2017 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.

Bisher in der Reihe zur DSGVO außerdem erschienen:

Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung

Teil 3 – Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen

Teil 4 – Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten

Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten

Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)

Teil 7 – Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

Teil 8 – Der Datenschutzbeauftragte unter der DSGVO

Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I