Übermittlung von Daten an Google LLC. datenschutzwidrig?

Ist die Übermittlung personenbezogener Daten an Google LLC datenschutzwidrig? 

arthur-osipyan-5OyvN4Yx46E-unsplash

Mit dem Angemessenheitsbeschluss der Europäischen Kommission vom Juli 2023 (“Data Privacy Framework – DPF”) wurde für solche US-Unternehmen, die sich im Rahmen dieses Beschlusses zertifizieren lassen, ein angemessenes Datenschutzniveau festgestellt. Nach Auffassung des OLG Köln (Urt. V. 03.11.2023 – Az.: 6 U 58/23) war die Übermittlung von Daten durch die Telekom an die Google LLC. mit Sitz in den USA unzulässig. Ist eine Übermittlung von Daten in die USA daher unzulässig? 

Zuvor hatte das Landgericht Köln der Klage der Verbraucherzentrale NRW nur im Hinblick auf die unzulässige Übermittlung der Daten an die Google LLC. stattgegeben. Konkret hatte die Beklagte, die Telekom, Browser- und Geräteinformationen an Google LLC. als Betreiberin der Google Analyse- und Marketingdienste mit Sitz in den USA übermittelt. Das LG Köln argumentierte, IP-Adressen sind insofern personenbezogene Daten, als das es sich bei den Besuchern der Website um Kunden der Telekom handelt und die Nutzer identifizierbar sind.  

Unerheblich ist jedoch die Frage der Anonymisierung der IP-Adresse, da die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig sind, wenn sie von einem der folgenden Rechtfertigungstatbeständen gedeckt sind: 

  • § 25 Abs. 1 TTDSG: Wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Einwilligung hat gem. Artikel 6 Absatz 1 S. 1 lit. a) DS-GVO zu erfolgen;
  • § 25 Abs. 2 Nr. 1 TTDSG: Wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  • § 25 Abs. 2 Nr. 2 TTDSG: Wenn die Speicherung oder der Zugriff unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Das OLG hat in der Berufung dem Anklagepunkt zwar zugestimmt, den Grund für die Unzulässigkeit jedoch bereits auf Ebene der Datenerhebung gesehen. Auch wenn aufgrund des Angemessenheitsbeschlusses eine Drittlandübermittlung zulässig ist, müssen trotzdem die allgemeinen Anforderungen für eine Datenerhebung und -verarbeitung erfüllt sein. Dazu ist auch das Vorliegen einer Einwilligung im Sinne der DS-GVO nötig. Eine Einwilligung im Sinne der Vorschrift erfordert, dass der für die Verarbeitung Verantwortliche der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lässt, da dieser Person insbesondere die Art der zu verarbeitenden Daten, die Identität des für die Verarbeitung Verantwortlichen, die Dauer und die Modalitäten dieser Verarbeitung sowie die Zwecke, die damit verfolgt werden, bekannt sein müssen. Solche Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird (vgl. EuGH, Urteil vom 11.11.2020, Rs. C-61/19 Rn. 40 – Orange România SA/ANSPDCP, = NJW 2021, 841). Im Cookie-Banner befanden sich jedoch widersprüchliche Informationen über die Erhebung der Daten und deren Übermittlung an Google LLC. Dies hatte zur Folge, dass – unabhängig von der tatsächlichen Übermittlung in ein Drittland – schon keine wirksame Einwilligung in die Erhebung der Daten vorlag. Mangels Transparenz kann keine „informierte“ Einwilligung eingeholt werden, weshalb keine Rechtsgrundlage für die Erhebung und Verarbeitung der Daten durch die Telekom besteht. Folglich kann die Drittlandübermittlung dieser Daten nicht zulässig sein. 

Der Angemessenheitsbeschluss befreit nicht von der rechtmäßigen Erhebung und Verarbeitung von personenbezogenen Daten, demnach müssen auch bei Vorliegen eines Angemessenheitsbeschlusses die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein. Für Unternehmen gilt es daher bei der Datenerhebung weiterhin die Grundsätze der zulässigen Datenverarbeitung zu achten. Vor allem aber sollte die Korrektheit und die Verständlichkeit der Informationen in Cookie-Bannern ausreichend geprüft werden, wenn deren Einwilligung (§ 25 TTDSG i.V.m. Art. 6 Abs. 1 lit. a) DS-GVO) als Basis für die Erhebung und Übermittlung der Daten dienen soll.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Haben Sie ein Auskunftsersuchen (Art. 15 DS-GVO) von Maximilian Größbauer erhalten?

Auskunftsersuchen von Maximilian Grössbauer

Haben Sie ein Auskunftsersuchen (Art. 15 DS-GVO) von Maximilian Größbauer erhalten?

Wenn Sie eine E-Mail von Herrn Größbauer erhalten haben, in der er freundlich um Auskunft bittet, ob Ihr Unternehmen Daten zu seiner Person verarbeitet, ist die Wahrscheinlichkeit sehr hoch, dass er sich zuvor über Ihre Unternehmenswebsite für einen Newsletter angemeldet hat. Sie sollten daher prüfen, ob Sie personenbezogene Daten verarbeiten und seinem Auskunftsersuchen nachkommen. Sollten Sie tatsächlich keine personenbezogenen Daten verarbeiten, müssen Sie mit einer Negativauskunft reagieren.

Ein Auskunftsersuchen nach Art. 15 DS-GVO ist zunächst immer ernst zu nehmen. Denn auch wenn das Vorgehen als problematisch angesehen werden kann, ist eine rechtsmissbräuchliche Ausübung der Betroffenenrechte schwer nachzuweisen. Auch das gleichzeitig geltend gemachte Recht, eine Kopie aller Daten zu erhalten, sollte nicht ignoriert werden. Insbesondere ist darauf zu achten, dass keine ungeschwärzten Datenkopien herausgegeben werden, soweit personenbezogene Daten Dritter erkennbar sind. Inwieweit die Herausgabe sämtlicher Datenkopien zu erfolgen hat, ist im Einzelfall zu prüfen. Die Gerichte tendieren mittlerweile zu einem weitergehenden Anspruch auf Herausgabe dieser Datenkopien.

Die Besonderheit bei der Anfrage von Herrn Größbauer liegt darin, dass er sich für den Erhalt eines Newsletters angemeldet hat, für dessen Versand US-Dienstleister eingesetzt werden, sodass eine Datenübertragung ins Drittland stattfindet, wobei besondere Vorsicht geboten ist.

Daher kann es sein, dass Sie in einem zweiten Schritt nach Erteilung der Auskunft und Übermittlung der Datenkopien eine Abmahnung wegen einer vermeintlich unzulässigen Übermittlung dieser personenbezogenen Daten in die USA erhalten.

Sollte ein solcher oder ähnlicher Fall auch in Ihrem Unternehmen aufgetreten sein: Rickert.law unterstützt Sie gerne als auf Datenschutz spezialisierte Kanzlei. Zögern Sie nicht, uns zu kontaktieren. Im Rahmen unserer Tätigkeit beraten wir Sie umfassend, damit Sie die Rechte der Betroffenen guten Gewissens ernst nehmen können und nicht Gefahr laufen, abgemahnt zu werden.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Sicherer Umgang mit KI im Unternehmensalltag

Sicherer Umgang mit künstlicher Intelligenz im Unternehmensalltag 

Was darf Ki im Unternehmen?

Einleitung

Wir haben in unserem ersten Artikel bereit einen kurzen Überblick darüber gegeben, was genau eigentlich unter Künstliche Intelligenzen (KI) verstanden wird und haben in diesem Rahmen die Verordnung zur Regulierung von KI den sogenannten Artificial Intelligence Act (AI Act) beleuchtet. 

Im Nachfolgenden möchten wir noch tiefer ins Detail gehen und Darstellen wie man KI im Unternehmen einsetzten kann. 

Künstliche Intelligenzen sind heute aus dem Unternehmensalltag nicht mehr wegzudenken. Sie ermöglichen Innovation, Effizienz und könnten europäischen Unternehmen einen Wettbewerbsvorteil verschaffen. Mit dem AI Act soll ein Regelwerk für den sicheren Umgang mit Künstlichen Intelligenzen in der Europäischen Union festgelegt werden (dazu haben wir bereits in unserem ersten Artikel Stellung genommen.). Adressaten dieses Gesetzes sind nicht nur die Entwickler von KI, sondern auch Unternehmen, die KI nutzen. Welche laut Lars Klingholz, Leiter Künstliche Intelligenz beim Digitalverband Bitcom, ein Großteil der europäischen Unternehmen sein. Der Verband begrüßt jedoch den AI Act und sieht ihn als Möglichkeit nachhaltig KI einzusetzen. 

Wie kann man Künstliche Intelligenzen im Unternehmen nutzen? 

Ob in Form eines Chatbot im Bereich des Kundenservice, zur Auswertung von Kundenbewertungen, in Gestalt von Robotern in der Fabrikation oder gar Tools zur Zusammenfassung von Kundengesprächen, die Einsatzmöglichkeiten von KI in Unternehmen sind vielfältig. 

KI ist in der Lage, ganze Aufgabenbereiche selbständig zu übernehmen und kann dabei helfen, neue Produkte und Dienstleistungen zu entwickeln, Vertriebswege zu optimieren und die Produktionsleistung zu steigern. Das Europäische Parlament hofft, dass dies zu einer positiven Entwicklung in Sektoren führen wird, die bereits in der Europäischen Union etabliert sind, wie Maschinenbau, Landwirtschaft, Gesundheitswesen oder auch Mode. 

Im Bereich Human Resources kann KI beispielsweise bei der Einstellung neuer Mitarbeiter:innen unterstützen, indem sie das gesamte Verfahren der Stellenausschreibung, der Durchführung des Bewerbungsgesprächs und der Auswahl der Teilnehmenden übernimmt. Einzig die Entscheidung, welcher Kandidat eingestellt wird, muss dann nur noch der Arbeitgebende treffen, da automatisierte Einzelentscheidungen nach Art. 22 DS-GVO verboten sind. 

Das Thema Videoüberwachung, insbesondere im Unternehmenskontext ist hingegen heikel und nicht selten mit Stolperfallen für den Arbeitgeber verbunden. Während bei Berufen mit hohem Berufsrisiko, beispielsweise bei der Polizei, KI zur Wahrung des persönlichen Schutzes verwendet wird, ist KI in anderen Bereichen in der Lage die Erstellung von Leistungs- und Bewegungsprofile der Mitarbeitenden zu ermöglichen. Dies stellt jedoch regelmäßig einen nicht notwendigen Eingriff in die Rechte und Freiheiten der Mitarbeitenden dar und soll daher künftig durch das neue Beschäftigtendatenschutzgesetz besser geregelt werden. 

Bei der Nutzung von KI am Arbeitsplatz kann sich auch ein Konflikt mit der Informationspflicht des Arbeitsgebers gegenüber den Arbeitnehmenden ergeben. Neben der Information darüber, dass mit KI gearbeitet wird, ist auch die Offenlegung des Aufbaus und die Funktionsweise des Algorithmus der KI nötig. Oftmals arbeiten Unternehmen jedoch mit KI-Anwendungen anderer Unternehmen, deren Algorithmus ein Geschäftsgeheimnis ist und haben daher selbst keine Kenntnis über die konkrete Funktionsweise der KI. Hieraus kann sich dann ein Informationsdefizit des Arbeitgebers gegenüber den Arbeitnehmenden ergeben. 

Künstliche Intelligenzen sind imstande, zahlreiche Aufgaben übernehmen. Wie sieht es mit den Arbeitsplätzen aus? 

Bei vielen Arbeitnehmenden besteht nach wie vor die Sorge aufgrund von KI ihren Arbeitsplatz zu verlieren. Künstliche Intelligenzen sind stetig in der Entwicklung und erweitern daher täglich ihr Wissen und ihre Fähigkeiten. Während einige Ökonomen dies für Berufe mit routinierten Tätigkeiten vorhersagen, sehen andere das Problem eher bei den fehlenden Investitionen in die Entwicklung von KI, insbesondere in Deutschland. Durch diesen Marktanteilverlust würden viel mehr Arbeitsplätze verloren gehen und nicht etwa durch die Übernahme von Tätigkeiten durch KI. Während in den USA allein im Jahr 2022 47,4 Mrd. US-Dollar in die Entwicklung Künstlicher Intelligenzen investiert wurde, gefolgt von China mit 13,4 Mrd. US-Dollar, waren es in Deutschland hingegen nur 2,4 Mrd. US-Dollar. Allerdings investierte auch kein anderer EU-Staat mehr.  

Welche konkreten Probleme ergeben sich beim Einsatz von KI im Unternehmensalltag? 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) kritisiert in einer Stellungnahme den Einsatz von generativer KI-Anwendungen durch Arbeitnehmende am Arbeitsplatz. Gerade durch die Integration generativer KI in alltäglich genutzte Anwendungen wie Textverarbeitungsprogrammen oder auch Suchmaschinen ist die Hürde für die Nutzung denkbar gering. Arbeitnehmende müssen sich dessen bewusst sein, dass sie auch hier die datenschutzrechtlichen Grundsätze beachten und insbesondere eine Rechtsgrundlage für die Verarbeitung haben müssen. Dabei sind insbesondere Arbeitgeber in der Pflicht, entsprechend zu schulen und ihre Beschäftigten für die Problematik zu sensibilisieren. Die Verwendung solcher Systeme führt zudem häufig zu einem Konflikt mit dem datenschutzrechtlichen Transparenzgebot. Es ist häufig kaum oder gar nicht zu erkennen aus welchem Datenpool die KI ihr Wissen bezieht. 

Ein Fall aus den USA zeigt, dass das Wissen der KI auch veraltet oder vielmehr noch die herausgegebenen Informationen falsch sein kann. Ein Anwalt aus den USA hatte mithilfe des Chatbots ChatGPT nach Präzedenzfällen im Zusammenhang mit Verjährungen gesucht. ChatGPT hatte ihm daraufhin falsche Fälle präsentiert. Die KI war in der Lage mithilfe ihres Wissens ganze Fallakten zu erfinden, welche wiederum Verweise auf weitere erfundene Gerichtsurteile enthielten. Das Gericht sah darin einen Täuschungsversuch, welcher gravierende Folgen für den Rechtsanwalt haben könnte.  

Kompliziert wird es also vor allem bei der Frage der Haftung. Ob Fehler auf Anwender- oder Programmfehler zurückzuführen sind, kann gegebenenfalls schwierig zu beweisen sein. Auch bei der Generierung von Bildern stellt sich die Frage, wem dieses gehört. Dem Unternehmen, dass die KI eingesetzt hat, dem Mitarbeiter, der die Daten in das System eingespeist hat oder doch dem Entwickler? 

Fazit und Ausblick 

KI im Unternehmen? Ja oder nein? 

Ob der Einsatz von KI-Anwendungen sinnvoll ist, hängt von dem Tätigkeitsbereich ab. Innerhalb der Produktion stellt die Verwendung von KI eher kein Problem dar. Auch für Recherchearbeiten oder im Bewerbungsverfahren kann KI eine Erleichterung darstellen, jedoch sollten die ausgegebenen Informationen anschließend kontrolliert werden.  

Bei der Bewertung des Einsatzes von KI muss jedoch klar differenziert werden, ob gerade personenbezogene Daten verwendet werden und basierend darauf abgewogen werden, ob eine Nutzung nicht mit einem zu hohen Risiko verbunden ist. Grundsätzlich können Künstliche Intelligenzen für Unternehmen ein großer Gewinn sein, die Anwendung ist jedoch mit Vorsicht zu genießen.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Regulierungen von Künstlicher Intelligenz – Was plant die EU?

Regulierung von Künstlicher Intelligenz - Was plant die EU?

Neue EU-Verordnung zur Regulierung von künstlicher intelligenz

Die Rechtslage bezüglich Künstlicher Intelligenz (KI) ist momentan noch undurchsichtig. Daher hat das EU-Parlament nach dem Vorschlag vom April 2021 nun eine Verordnung zur Regulierung von KI, den sogenannten Artificial Intelligence Act (AI Act), verabschiedet.  Ziel der Verordnung ist es, einheitliche Anforderungen für die Nutzung von KI-Anwendungen zu schaffen, die das Potential von künstlicher Intelligenz ausschöpfen und gleichzeitig den Schutz von Daten des Einzelnen gewährleisten. 

Doch was genau ist Künstliche Intelligenz und wie funktioniert sie? 

Unter dem Begriff “Künstlicher Intelligenz” versteht das Europäische Parlament die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu imitieren. Sie kann z.B. aus früheren Handlungen lernen und so selbstständig ihr Verhalten anpassen. Gängige Beispiele für KI-Systeme sind persönliche digitale Assistenten auf Smartphone, Online-Shopping, Web-Suche und autonome Autos.  

Die konkreten Funktionsweisen sind jedoch unterschiedlich. Der Chatbot ChatGPT des Betreibers OpenAI beispielsweise beruht auf der Sprach-KI GPT-3, die zuerst gelernt hat, wie Sprache im Internet funktioniert. ChatGPT lernt neue Informationen sowohl unüberwacht und selbstständig als auch überwacht mithilfe von menschlichem Feedback. Grundsätzlich nutzt die KI maschinelles Lernen, um künstliche neuronale Netze zu bilden, die dem menschlichen Nervensystem ähneln. 

Welche Regulierungen von Künstlicher Intelligenz wird es geben? 

Mit dem AI Act hat die EU-Kommission ein Gesetz über Künstliche Intelligenz veröffentlicht. Er enthält konkrete Vorschläge zur Reglung im Umgang mit KI in der Forschung und Wirtschaft. 

Im Rahmen des AI Act erfolgt eine Einteilung der Anwendungen in die folgenden vier Risikoklassen: minimales, geringes, hohes und unannehmbares Risiko.  

Bei der letztgenannten Kategorie erfolgt ein Verbot ihrer Anwendung. KI, die die Sicherheit von Menschen gefährdet, z. B. Social Scoring-Systeme oder eine automatische Erkennung von Emotionen, werden als solche bezeichnet.  

Risikoreiche Anwendungen sollen mithilfe von Maßnahmen zur Risikominimierung reguliert werden, wie etwa der Einführung eines Risikomanagementsystems, der Veröffentlichung detaillierter Zusammenfassungen von Daten, die zu Trainingszwecken verwendet wurden und externen Audits. Für risikoärmer KI-Systeme sind bislang wenige bis gar keine Regulierungen geplant. 

Kritik an den Regulierungen 

Alleine die Einteilung in Risikoklassen scheint jedoch schon problematisch zu sein. Bei Multifunktions-KI (sog. generative KI), wie ChatGPT, fehlt es an der Zweckbestimmung, welche gerade das Maß an Regulierung bestimmen soll. Kritisch wird insbesondere gesehen, dass obwohl generative KI seit 2021 bereits existieren, die EU die weiten Anwendungsmöglichkeiten nicht bedacht habe. Es gibt Hinweise darauf, dass geplant ist, solche als Hochrisiko KI einzustufen, was bedeutet, dass diese von hohen Regulierungen betroffen sein könnten. 

Allerdings gibt es auch einige Stimmen, die das Ausmaß der geplanten Regulierungen kritisch sehen. Während sie einerseits in den niedrigen Risikoklassen als nicht weitreichend genug empfunden werden, wird besonders im Wirtschaftssektor angemerkt, dass eine solche Überregulierung europäischen Anbietern im internationalen Konkurrenzkampf schadet und zur Abwanderung in Regionen mit weniger Regulierungen für KI, führt. Vor allem kleinere Unternehmen und Startups würden durch die Umsetzung vor finanzielle Herausforderungen gestellt. 

Was bedeutet das für die Zukunft von Künstlicher Intelligenz in Europa?

In vielen EU-Staaten wurden die Stimmen gerade in Bezug auf generative KI lauter, und einige haben bereits Untersuchungen wegen datenschutzrechtlicher Bedenken eingeleitet. In Italien beispielsweise war der Chatbot gesperrt, bis der Betreiber eine Altersverifizierung und die Möglichkeit einführte, gegen der Datennutzung zu widersprechen. OpenAI Gründer Sam Altman sieht zwar die Notwendigkeit einer Regulierung von KI, hat jedoch bereits angekündigt, sich aus Europa zurückzuziehen, wenn die Regelungen des AI Acts in der Form umgesetzt werden sollten. 

Der AI Act muss nun in einem Trilog zwischen der EU-Kommission und den Mitgliedsstaaten abgestimmt werden, bevor er voraussichtlich im Jahr 2026 in Kraft treten könnte. Ob der Spagat zwischen Regulierung zum Schutz persönlicher Daten vor Missbrauch und technischem Fortschritt gelingen wird, bleibt abzuwarten. 

Wir zeigen Ihnen im zweiten Teil des Artikels die konkreten Einsatzmöglichkeiten von KI und deren Voraussetzungen im Unternehmen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Der European Data Governance Act

Der European Data Governance Act 

Neue Regelungen Zur Vereinfachung des Datenaustasches und der Datenverwendung

Einleitung

Der Data-Governance-Act („DGA“) ist eine Verordnung der Europäischen Union (Verordnung (EU) 2022/686), welche am 3. Juli 2022 veröffentlicht wurde und nun dieses Jahr am 24. September in Kraft tritt. Es handelt sich um eine Verordnung zur Datenverwaltung, die eine bessere gemeinsame Nutzung von Daten zwischen den Mitgliedstaaten der EU ermöglichen soll. Als Verordnung gilt der DGA unmittelbar in allen Europäischen Mitgliedstaaten und bedarf keiner Umsetzung durch nationales Recht.

Der DGA gilt als wichtiger Eckpfeiler der europäischen Datenstrategie. In dem folgenden Beitrag soll der DGA mit seinen Inhalten und Zielen vorgestellt und die Anwendung in der Praxis erläutert werden.

Wozu ist eine solche Verordnung notwendig und welches Ziel verfolgt sie?

Daten spielen in der heutigen digitalisierten Welt eine herausragende Rolle: gerade bei aktuellen Themen wie der Bewältigung der Klimakrise, der Mobilitätswende, der digitalen Vernetzung oder der Digitalisierung der Verwaltung spielt die Verfügbarkeit und der Austausch von Daten eine zentrale Rolle. In nahezu jedem Wirtschaftssektor ist die Verwendung und der Austausch von personenbezogenen und nicht personenbezogenen Daten von zentraler Bedeutung. Gerade dies soll durch den DGA realisiert und erleichtert werden.

Derzeit gestaltet sich ein funktionierender und effizienter Datenaustausch innerhalb der EU aufgrund vieler Faktoren schwierig. Durch ein fehlendes einheitliches System mangelt es beispielsweise bei Unternehmen an Vertrauen in einen sicheren Datenaustausch, die Frage der Datenweiterleitung ist aufgrund verschiedener landeseigener Regelungen undurchsichtig und auch technische Hindernisse bestehen. Die Datenschutzgrundverordnung („DSGVO“) kann hierbei nicht Abhilfe schaffen und stellt kein einheitliches System dar, da sie nur den europaweit einheitlichen Umgang mit personenbezogenen Daten regelt, aber gerade nicht einen sicheren Austausch und die Weiterverwendung von Daten durch Unternehmen oder Private regelt. Diese Faktoren sollen durch den DGA beseitigt werden, indem ein einheitliches, sicheres System für eine Datenübermittlung und den Datenaustausch geschaffen wird.

Die Verordnung ist Teil der europäischen Datenstrategie und soll einen grundlegenden rechtlichen Rahmen für die gemeinsame Nutzung von Daten schaffen. Sie verfolgt das Ziel, das Vertrauen in die gemeinsame Nutzung von Daten zu stärken, die Datenverfügbarkeit durch gewisse Mechanismen zu erhöhen und derzeitige technische Schwierigkeiten bei der Weiterleitung und -verarbeitung von Daten zwischen den Mitgliedstaaten der EU zum Vorteil des europäischen Binnenmarktes zu beseitigen. Als ein sektorübergreifendes Instrument regelt die Verordnung die Weiterleitung von gespeicherten, geschützten Daten.

Konkret wird der DGA für die Einrichtung und Entwicklung gemeinsamer Datenräume der Mitgliedstaaten relevant, an denen private und öffentliche Akteure teilhaben sollen. So soll ein effizienter und schneller Datenaustausch zwischen den Mitgliedstaaten und den Sektoren der EU ermöglicht werden. Gerade in den Bereichen Gesundheitswesen, Landwirtschaft, Umwelt, Energie, Finanzen und der öffentlichen Verwaltung wird ein effizienter Datenaustausch und -abgleich zur Digitalisierung und Erleichterung des Austausches der Mitgliedländer beitragen, sodass Fortschritt und Weiterentwicklung länderübergreifend gelingen können. In den noch zu schaffenden Datenräumen werden sodann beispielsweise Gesundheitsdaten, Umwelt- und Agrardaten gesammelt, damit private und öffentliche Akteure auf diese zugreifen können und zum Beispiel für die Entwicklung ihrer Produkte oder die Entwicklung einer künstlichen Intelligenz verwenden können.

Doch wie sieht die Umsetzung dieser Ziele aus?

Um die grundsätzlich schon vorhandene Menge an Daten in der EU und deren Potenzial nutzen zu können, soll das Vertrauen in das Teilen und Zurverfügungstellen von Daten gestärkt werden. Derzeit befürchten viele Unternehmen, dass die Weitergabe ihrer Daten mit einem Verlust an Wettbewerbsfähigkeit einhergeht und die Offenlegung von Daten ein Missbrauchsrisiko darstellt. Der DGA benennt unter anderem eine Reihe von Regeln für Anbieter von Datenvermittlungsdiensten, damit diese als vertrauenswürdige Organisatoren den Datenaustausch abwickeln. Der DGA sieht mehrere Säulen zur Umsetzung vor:

 

Technische Voraussetzungen:

Zunächst sollen die Mitgliedstaaten technisch passend ausgestatten sein, damit die Privatsphäre und Vertraulichkeit der Daten sichergestellt werden kann.

Möglichkeit der Datenspende:

Gerade um eine Vielfalt von Daten für Wirtschaft, Forschung und Gesundheit nutzen zu können, müssen erst einmal auch Datenmenge vorliegen. Als ein Instrument wird die Datenspende vorgesehen, die es Unternehmen und auch öffentlichen Stellen ermöglicht, Daten freiwillig zur Verfügung zu stellen (sog. Datenaltruismus).

Daneben sind Maßnahmen normiert, die es Bürgern und Unternehmen ermöglichen, ihre Daten zum Nutzen der Allgemeinheit in dem geschaffenen System zur Verfügung zu stellen, sowie Maßnahmen zur Erleichterung des Datenaustauschs, insbesondere zur Ermöglichung der grenzübergreifenden Nutzung von Daten und zur Auffindung der richtigen Daten für den richtigen Zweck.

Erleichterungen bei der Weiterverarbeitung:

Sodann sieht der Data Governance Act einen Mechanismus zur Erleichterung der Weiterverarbeitung bestimmter Daten des öffentlichen Sektors vor, die nicht als offene Daten zur Verfügung gestellt werden können.

Vertrauenswürdigkeit:

Des Weiteren enthält die Verordnung Maßnahmen, mit denen sichergestellt wird, dass Datenintermediäre (Datenvermittlungsdienste) als vertrauenswürdige Organisatoren des Datenaustauschs oder der Datenbündelung innerhalb der gemeinsamen europäischen Datenräume fungieren. Dadurch soll ein sicheres Datensystem entstehen, wodurch mehr Daten offengelegt werden, sodass die Datenverfügbarkeit gesteigert wird.

Zusammenarbeit öffentlicher Stellen und Verwender:

Weiterhin sollen öffentliche Stellen und Verwender der Daten eng zusammenarbeiten, damit eine problemlose Verwendung und Nutzung gegen Entgelt und Weiterverarbeitung der Daten gewährleistet werden. Kann eine öffentliche Stelle zum Bespiel keinen Zugang zu gewissen Daten zur Weiterleitung gewähren, so soll sie dem potenziellen Verwender dabei helfen, die Zustimmung der betroffenen Person zur Weiterverarbeitung einzuholen.

Wichtig ist zu betonen, dass die Datenintermediäre als neutrale Dritte fungieren, die Einzelpersonen und Unternehmen auf der einen Seite mit Datennutzern auf der anderen Seite verbinden. Datenintermediäre können die Daten nicht monetarisieren und müssen durchgehend gewissen Anforderungen erfüllen, um eine Neutralität zu gewährleisten und Interessenskonflikte vorzubeugen. Ebenfalls wichtig ist, dass durch den DGA die öffentlichen Stellen nicht verpflichtet werden können, eine Erlaubnis in die Weiterverarbeitung ihrer Daten zwangsweise zu erteilen.

Durch diese verschiedenen Säulen und Maßnahmen lässt sich ein Teil der europäischen Datenstrategie umsetzen. Diese beinhaltet die sog. „FAIR-Datengrundsätze“:

F – Findability (Auffindbarkeit)
A – Accessibility (Zugänglichkeit)
I – Interoperability (Interoperabilität)
R – Reusability (Weiterverwendbarkeit)

 

Fazit und Ausblick

Der DGA sieht mit seinen Regelungsgegenständen eine weitreichende, effiziente und mitgliedstaatenübergreifende Nutzung von Daten vor. Eine solche sektorübergreifende und gezielte Förderung des Austausches und der Weiterverwendung von Daten könnte nicht nur insbesondere in der Forschung ein Vorankommen bedeuten, sondern auch kleinere Unternehmen der Mitgliedstaaten könnten signifikant durch den Datengewinn profitieren. Sei es, dass die bereitgestellten Daten die Produktentwicklung vorantreiben oder den Marktzugang erleichtern.

Der DGA ist jedoch nur ein Rechtsrahmen, er gibt ein rechtliches System als Rahmenbedingung vor, beinhaltet aber keine konkrete Pflicht zur Nutzung der neu erschaffenen Möglichkeiten in den Mitgliedstaaten. Es besteht somit keine Verpflichtung zur öffentlichen Bereitstellung von Daten. Auch sind keine Bußgelder oder ähnliche Sanktionen vorgesehen, sodass es fraglich ist, ob der Verordnung eine breite praktische Relevanz zukommen wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Wieviel EU steckt im Datenschutz von UK & CH?

EU-Datenschutz

Datenschutz im Vereinigten Königreich und der Schweiz

EU-Datenschutz

Wieviel EU steckt im Datenschutz in UK und CH?  

Einleitung

Nach etwas mehr als zwei Jahren nach dem Austritt des Vereinigten Königreichs („UK) werden jetzt die unterschiedlichen Gesinnungen von UK und der Europäischen Union („EU“) deutlich. Der Austritt zieht datenschutzrechtliche Folgen nach sich. Ein dem britischen Parlament vorliegender Gesetzesentwurf befindet sich derzeit noch in der Anfangsphase der Lesungen. Dahinter steckt die Motivation der britischen Regierung, Verbesserungen der 2018 in Kraft getretenen EU-Datenschutz-Grundverordnung (DS-GVO) vorzunehmen. 

Im Kontrast dazu steht das neueste datenschutzrechtliche Gesetzesvorhaben der Schweiz. Obwohl die Schweiz kein Mitglied der Europäischen Union ist, nähert sie sich dieser in vielerlei Hinsicht an – so auch im Datenschutzrecht. 

Mögliche neue Regelungen in UK 

Die britische Seite kritisiert, dass gemäß den derzeitigen Regelungen gewisse Hürden für Unternehmen und Konsumenten bestünden, weshalb der Regierung ein neuer Gesetzesentwurf namens „Data Protection and Digital Information Bill“ vorliegt.  

So sei es beispielsweise für kleine Unternehmen umständlich, einen Datenschutzbeauftragten zu ernennen. Diese Pflicht soll wegfallen. Weiterhin seien vor allem kleine Unternehmen zunehmend mit einer Ungewissheit konfrontiert, weshalb allgemein ein Verbesserungsbedürfnis bestehe, insbesondere in Bezug auf die vermeintlich hohen datenschutzrechtlichen Anforderungen an Unternehmen. Befürchtet wird ein Regime, das nur auf der Einhaltung von Verpflichtungen basiere anstelle eines Systems, welches zu proaktivem Handeln ermutige.  

Behörden müssen Betroffene nicht mehr über automatisierte Entscheidungsfindung informieren 

Diese Änderung stellt einen großen Unterschied zur EU-DS-GVO dar. Die zuständigen Behörden sollen nicht mehr verpflichtet sein, betroffene Personen über eine automatisierte Entscheidungsfindung zu informieren. Ein begründendes Beispiel: Wenn die Daten einer Person von polizeilichem Interesse sind, würde ein Hinweis an die Person die laufende polizeiliche Untersuchung beeinträchtigen können.  

Die Protokoll-Pflicht entfällt  

Zudem soll die Pflicht zur Erstellung von Protokollen über Datenverarbeitungen wegfallen. Diese Protokolle stellen eine technische und organisatorische Maßnahme im Sinne des Art. 32 EU-DS-GVO dar und dienen der sog. Eingabekontrolle. Hierdurch soll, in DS-GVO konformer Weise, protokolliert werden, wer wann Zugriff auf personenbezogene Daten genommen hat und wie er diese weiterverarbeitet hat (insbes. Veränderung der Daten), um eine unbefugte Verarbeitung nachträglich feststellen und überprüfen zu können. Der britische Gesetzgeber hält dies jedoch für zu ressourcenintensiv, es stünde in keinem Verhältnis zum daraus resultierenden Mehrwert. Es sei unwahrscheinlich, dass jemand, der zu Unrecht auf Daten zugreift, eine ehrliche Rechtfertigung dokumentiere.  

Regelungen zur Einwilligung bleiben, erweitert um eine Liste, wann ein legitimes Interesse an der Datenverarbeitung besteht 

Unverändert erhalten   sollen die Regelungen zur Einwilligung bleiben. Um den Unternehmen aber die Einschätzung zu erleichtern, ob eine Einwilligung erforderlich ist, oder ob die Verarbeitung ggf. auf die flexiblere Rechtsgrundlage des legitimen Interesses gestützt werden kann, hat die Regierung dem neuen Gesetzesentwurf in Anhang 1 eine Liste angefügt. Sie führt auf, unter welchen Voraussetzungen sie ein legitimes Interesse an der Datenverarbeitung anerkennt. Zum Beispiel für die nationale und öffentliche Sicherheit und zur Verteidigung („national security, public security and defence“), oder zum Erkennen, Ermitteln und Verhindern von Straftaten („detecting, investigating or preventing crime“).  

Benennung eines „Senior Responsible Individual“ statt eines Datenschutzbeauftragten 

Die Pflicht zur Ernennung eines Datenschutzbeauftragten soll vor allem für kleine Unternehmen wegfallen. Stattdessen sollen Behörden und Unternehmen unter bestimmten Voraussetzungen eine „leitende verantwortliche Person“ („Senior Responsible Individual“) bestimmen. Sie wäre zuständig für die Datenschutzrisiken innerhalb der Organisation sowie für die Delegierung der erforderlichen Aufgaben an angemessen fähige Personen. Diese Person soll zum „Senior Management“ gehören, und damit eine signifikante Rolle in der Entscheidungsfindung über Verarbeitungsaktivitäten in der Gesamtheit oder wesentlichen Teilen der Organisation einnehmen.  

Sie wäre verantwortlich für die Durchführung oder Delegierung folgender Aufgaben:  

  • Überwachung der Datenschutz-Compliance mit geltenden Gesetzen;  
  • sicherstellen, dass der Verantwortliche Maßnahmen zur Einhaltung der Compliance entwickelt, implementiert und regelmäßig überprüft;  
  • Schulungen der Mitarbeiter;  
  • Bearbeitung von Beschwerden im Zusammenhang mit der Datenverarbeitung;  
  • Bearbeitung von Datenpannen.  

Die Aufgaben der verantwortlichen Person des Senior Managements unterscheiden sich nach dem Gesetzesentwurf nicht wesentlich von den Aufgaben, die der Datenschutzbeauftragte nach der EU-DS-GVO übernimmt oder übernehmen kann. Der wesentliche Unterschied ist also die Zugehörigkeit zum Senior Management.  

Damit dürfte die Unabhängigkeit bzw. die Neutralität der verantwortlichen Person in Frage stehen, denn als Teil des Senior Managements hat sie, im Gegensatz zu einem unabhängigen oder gar externen Datenschutzbeauftragten, wohl ein erhebliches Interesse daran, Datenverarbeitungen ohne größere Hürden zu ermöglichen. Auch wenn die verantwortliche Person ihre Aufgaben an andere fähige Personen des Unternehmens delegieren kann, so besteht doch die Befürchtung, dass künftig die ein oder andere Datenverarbeitung aufgrund des Interesses des Unternehmens eher durchgewunken wird, als wenn ein externer Datenschutzbeauftragter beraten hätte. 

Auch im Hinblick auf die Konsumenten sollen Hürden genommen und Verarbeitungen vereinfacht werden.  

Opt-Out-Verfahren statt Opt-In-Verfahren bzgl. Cookies 

Die Zustimmung zur Cookies-Nutzung auf Websites soll von dem derzeitigen Opt-In-Verfahren in ein Opt-Out-Verfahren umgewandelt werden. Dies solle Nutzern helfen, sich nicht durch zahlreiche Zustimmungsbanner klicken zu müssen und dadurch mögliche Frustration verhindern. Ähnlich wie bei dem Deutschen Verfahren „PIMS“ („Personal Information Management System“) nach dem TTDSG, soll es zudem eine generelle Verwaltungsmöglichkeit und Übersicht über die Datenverarbeitung in den Browser-Einstellungen geben, sodass eine Einwilligung auf jeder einzelnen Website überflüssig werde.  

Soft-Opt-In für Marketing-Maßnahmen durch nicht-kommerzielle Organisationen 

Eine weitere Änderung sieht das neue Gesetzesvorhaben im Rahmen des sog. „Soft-Opt-In“ vor. „Soft-Opt-In“ ermöglicht Direktwerbung an bestehende Kunden zu senden, die dem nicht unbedingt ausdrücklich zugestimmt haben. Bisher war diese Möglichkeit des Marketings nicht-kommerziellen Organisationen verwehrt, nun soll eine Erweiterung diesbezüglich stattfinden. 

Gemeinsames Vorhaben von UK und USA, aber Sanktionen für Datenschutzverstöße wie in der EU 

Bemerkenswert ist auch ist ein geplantes Vorhaben des Vereinigten Königreichs in Kooperation mit den USA. Die beiden Länder gaben in einem gemeinsamen Statement im Juli 2022 bekannt, dass sie den Zugriff auf Daten, welche strafrechtlich relevant sind, zwischen den Staaten erleichtern möchten. Ziel sei es, schwere Kriminalität zu bekämpfen, aber gleichzeitig die demokratischen Standards zu wahren. 

Annäherungen an die Europäische Union gäbe es nach dem Gesetzesentwurf jedoch in Sachen Sanktionen. Das derzeitige Maximum von £ 500.000 soll auf bis zu 4% des Jahresumsatzes eines Unternehmens oder max. £17.5 Mio. erhöht werden. Dies entspricht den vergleichbaren Regelungen der EU-DS-GVO in Art. 83. 

Neue Regelungen in der Schweiz 

Im Gegensatz zum Vereinigten Königreich regelt die Schweiz die Dinge hingegen positiv. Das neue Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) der Schweiz soll am 01.09.2023 in Kraft treten. Die wichtigste Neuerung umfasst die Forderung nach erhöhter Transparenz und Stärkung der Rechte der betroffenen Personen.  

Ausweitung der Informationspflichten gegenüber Betroffenen 

Die erhöhte Transparenz soll unter anderem durch eine Erweiterung der Informationspflichten gewährleistet werden. Diese sind vergleichbar mit den Pflichten aus Art. 13/14 EU-DS-GVO. Ab September nächsten Jahres soll nun auch eine Informationspflicht für die Verarbeitung jeglicher personenbezogenen Daten gelten. Bisher galt dies nur für die Verarbeitung besonders schützenswerter Daten und die Erstellung von Persönlichkeitsprofilen. Außerdem soll die betroffene Person von der verantwortlichen Stelle darüber informiert werden, wenn eine Entscheidung ausschließlich auf automatisierter Verarbeitung beruht. Zusätzlich soll die betroffene Person auch fordern können, dass eine Einzelentscheidung von einer natürlichen Person überprüft werden soll. Eine Einwilligung soll auf jeden Fall bei sog. „Profiling mit hohem Risiko“ notwendig sein. 

Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten 

Vergleichbar mit der aus der EU-DS-GVO bekannten Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten, sollen auch nach dem neuen Schweizer DSG alle Datenverarbeitungen vom Verantwortlichen Auftragsbearbeiters (in der EU-DS-GVO Auftragsverarbeiter) dokumentiert werden („Verzeichnis der Bearbeitungstätigkeiten“). Sinngemäß enthalten die Verzeichnisse dieselben Inhalte und Informationen wie sie aus Art. 30 EU-DS-GVO bereits bekannt sind.  

Gesetzliche Regelung der Rolle des Auftragsverarbeiters & Auftragsverarbeitungsvereinbarung 

Die Rolle des Auftragsbearbeiters ist dabei neu und entspricht dem klassischen Auftragsverarbeiter im Sinne der EU-DS-GVO. Die Verarbeitung darf an einen Auftragsbearbeiter nur vertraglich oder durch Gesetz übertragen werden.

Eine weitere Übertragung der Verarbeitung durch den Auftragsbearbeiter an einen Dritten muss vorab durch den Verantwortlichen genehmigt werden. In der DSV finden sich ergänzende Regelungen zu dem dann erforderlichen Vertrag zwischen dem Verantwortlichen und Auftragsbearbeiters.

Die verpflichtenden Inhalte stimmen im Wesentlichen mit den Anforderungen der EU-DS-GVO überein, z.B.: Kategorien der Personendaten sowie der betroffenen Personen; Art und Zweck der Bekanntgabe von Personendaten („Zweck der Verarbeitung“), Datentransfers in weitere Staaten, Empfänger oder Kategorien von Empfänger (bspw. Unter-Auftragsbearbeiter), Anforderungen an Aufbewahrung, Löschung und Vernichtung der Daten, Verpflichtung angemessene Maßnahmen zur Einhaltung der vertraglichen Klauseln.  

Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung 

Hinzu kommt – ebenfalls in Anlehnung an die EU-DS-GVO – die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Auch hier entsprechen die schweizerischen Regelungen im Wesentlichen denen des Art. 35 EU-DS-GVO.  

Erhöhung der Sanktionen für Datenschutzverstöße 

Hier hält es die Schweiz wie die UK: Die Sanktionen für Verstöße sollen verschärft werden. Sie erreichen aber bei weitem nicht das Niveau der auf EU-Ebene geregelten Sanktionen. Zwar ist die Rede von „privaten Personen“, jedoch dürfen hier nicht Privatpersonen darunter verstanden werden.

Vielmehr sind hierunter die juristischen Personen des Privatrechts der Schweiz zu verstehen, denn das DSG findet Anwendung auf private Personen und Bundesorgane. Für etwaige Pflichtverletzungen können schweizerische Unternehmen künftig also mit Bußen bis zu 250.000 Franken belegt werden.

Dieser Höchstsatz gilt insoweit für sämtliche mögliche Verfehlungen, also insbesondere Verletzung Informations-, Auskunfts- und Mitwirkungspflichten sowie von Sorgfaltspflichten (hier auf Antrag) und Verletzungen der beruflichen Schweigepflicht sowie bei Missachtung von Verfügungen.

Bei dem derzeitigen Wechselkurs (Stand 26.09.2022) entsprächen 250.000 Franken in etwa 261.977,50 €. Im Vergleich zu den EU-DS-GVO Höchstsätzen von 10 Millionen bzw. 20 Millionen Euro also nur ein Bruchteil.  

Gebührenpflichtige Unterstützung des EDÖB 

Auffällig ist hingegen, dass im Gegensatz EU-DS-GVO oder bspw. dem deutschen Bundesdatenschutzgesetz, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte („EDÖB“) Gebühren für bestimmte Leistungen verlangen. Zum Beispiel für: Stellungnahmen zu einem Verhaltenskodex, Genehmigungen von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften, Konsultation aufgrund einer Datenschutz-Folgenabschätzung, Beratung in Fragen des Datenschutzes.

Hier bleibt nur zu hoffen, dass die Gebührenforderungen am Ende nicht zu einem Hindernis für den Datenschutz und die Einhaltung durch die schweizerischen Unternehmen werden. 

Fazit 

Während das Vereinigte Königreich einen eher unternehmensfreundlichen Kurs einschlägt, passt sich die Schweiz mehr den konsumentenfreundlichen Regelungen der EU an und nimmt viele Bestimmungen der EU-DS-GVO in das neue DSG auf.  

Die wesentlichen Änderungen bzw. Angleichungen sollen anhand der nachfolgenden Tabelle veranschaulicht werden.

 

Vergleichstabelle

EU-DS-GVO

Vereinigtes Königreich

Schweiz

Art. 5 I lit. b) 

Grundsatz der Zweckbindung 

Erweiterung um Faktoren, die beachtet werden sollen, wenn ein neuer Zweck hinzukommen soll 

Art. 6 Abs. 1 f) 

Rechtmäßigkeit der Verarbeitung 

Abwägung des Verantwortlichen, ob Interessen an Verarbeitung personenbezogener Daten die Rechte der betroffenen Personen überwiegen 

Liste von berechtigten Interessen, für deren Verarbeitung das Erfordernis der Abwägung entfällt 

Direktmarketing

„Soft-Opt-In“ nun auch für nicht-kommerzielle Organisationen 

Art. 13/14  

Informationspflichten

Abschaffung von Informationspflichten ggü. Betroffenen bzgl. automatisierter Entscheidungsfindung

Informationspflicht nun auch für Verarbeitung jeglicher personenbezogenen Daten

Art. 27 

Ernennung eines EU-Vertreters 

Anforderung aus Art. 27 EU-DS-GVO wurde gestrichen (Paragraf 13 DPDI) 

Wegfall der Pflicht der Ernennung eines Datenschutzbeauftragten für (kleine) Unternehmen 

Benennung eines Vertreters in Schweiz, wenn Verantwortliche nicht in Schweiz ansässig 

Art. 28 

Auftragsverarbeitung 

Auftragsbearbeiter und Vertrag zur Auftragsbearbeitung 

Art. 32 

Technische und organisatorische Maßnahmen (TOMs) 

Verankerung von TOMs 

Art. 35, 36 

Datenschutzfolgenabschätzung 

Wenn Verarbeitung wahrscheinlich zu hohem Risiko für Einzelnen führt 

Anforderung einer vorherigen Konsultation abgeschafft, ersetzt durch freiwilligen Konsultationsprozess (Paragraf 17, 18 DPDI) 

Datenschutzfolgenabschätzung

Art. 83  

Geldbußen 

Im Fokus Unternehmen 

Bis zu 20 Mio. € oder 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens 

Erhöhung der Bußgelder 

Derzeitiges Maximum bei £ 500.000  

Annährung an EU-DSGVO 

Bis zu 4% des Jahresumsatzes oder £17.5 Mio. 

 

Verschärfung der Sanktionen 

Aber nicht vergleichbar mit Höhe der Geldbußen aus DSGVO 

Bis zu 250.000 Franken 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

DS-GVO Zertifizierung von IT-Produkten und Dienstleistungen

DS-GVO Zertifizierung

Wir erklären Ihnen zusammengefasst den Vorgang einer DS-GVO-Zertifizierung für digitale Produkte und Dienstleistungen.

Stand Januar 2022

DS-GVO Zertifizierung für IT-Produkte und Dienstleistungen

Einleitung 

Dieses Jahr werden erste Stellen für die Zertifizierung von IT-Produkten und –Dienstleistungen akkreditiert. Diese Zertifizierung basiert auf der Datenschutzgrundverordnung und soll sicherstellen, dass digitale Produkte und Dienstleistungen datenschutzkonform umgesetzt wurden. Dafür wurde eine einheitliche Grundlage für ein europäisches Akkreditierungs- und Zertifizierungsverfahren geschaffen. 

Die Einrichtung einer DS-GVO-Zertifizierung wurde bereits seit 2016 immer wieder diskutiert, jedoch wurde man sich bisher nicht einig über die formalen und technischen Voraussetzungen. Diese Uneinigkeit wurde nun verwunden und man erwartet erste Zertifikatsausstellungen in der ersten Jahreshälfte. 

Doch wo erhält man für seine Produkte und Dienstleistungen oder sein Unternehmen die entsprechenden Zertifikate und was sind die notwendigen Voraussetzungen. 

Welche Voraussetzungen muss man für den Erhalt eines Zertifikats erfüllen? 

Haben Sie ein digitales Produkt oder eine digitale Dienstleistung, welches DS-GVO-konform zertifiziert werden soll, können Sie sich künftig an eine entsprechende Zertifizierungsstelle wenden.

Dafür stellen Sie einen Antrag für das Produkt oder die Dienstleistung, welche Sie zertifizieren lassen wollen. Im Rahmen der Überprüfung durch die Zertifizierungsstelle müssen kurz zusammengefasst folgende Angaben vom Antragssteller vorgelegt werden: 

  1. Beschreibung des Zertifizierungsgegenstands
  2. Angaben über die Verarbeitungsvorgänge u.a. hinsichtlich des Zwecks, des Empfängers oder welche Art von Daten verarbeitet werden 
  3. Angabe, ob personenbezogene Daten als Verantwortlicher oder als Auftragsverarbeiter verarbeitet werden 
  4. Angaben über ein Drittlandstransfer.

Im Anschluss erfolgt das Zertifizierungsprüfverfahren. Dieses Verfahren stellt eine datenschutzrechtliche Überprüfung dar, die geeignet sein muss, die ordnungsgemäße Umsetzung datenschutzrechtlicher Anforderungen sowie die Wirksamkeit technisch-organisatorischer Maßnahmen für den Zertifizierungsgegenstand festzustellen und zu belegen.

Dies erfolgt durch Inspektion aller relevanten Geschäftsprozesse, Dokumentenprüfungen, technischen und juristischen Analysen oder Vor-Ort-Begehungen. 

Sofern nicht gesondert geprüft und zugelassen, gilt die Zertifizierung zunächst nur deutschlandweit. 

Hinsichtlich der Kosten lässt sich bisher kein genauer Wert abzeichnen, da es maßgebend auf den Umfang des Prüfungsverfahren ankommt. Dies hat zugleich unmittelbar Auswirkungen auf die Dauer der Bearbeitung. 

Wie lange das Zertifikat wirksam ist, wurde nicht konkret benannt. Beachtet man die bisherigen Abläufe im Rahmen von Zertifizierungen nach der DS-GVO dann gilt gem. Art. 42 Abs.7 DS-GVO das Zertifikat für drei Jahre und kann unter denselben Bedingungen auch wieder verlängert werden. 

Welche Anforderungen werden an die Zertifizierungsstellen gestellt? 

Damit der zuvor erläuterte Zertifizierungsprozess vorgenommen werden kann, muss sich die Zertifizierungsstelle akkreditieren lassen. Der Akkreditierungsprozess einer Zertifizierungsstelle läuft gem. Art. 42, 43 DS-GVO ab und umfasst sechs Prüfungsphasen.

In Deutschland prüft die Deutsche Akkreditierungsstelle (DAkks) mit der entsprechenden Landesdatenschutzbehörde eingegangene Anträge und nimmt bei Erfüllung aller Prüfungsphasen sowie unter Berücksichtigung der Einschätzung des europäischen Datenschutzausschusses (EDSA) eine Akkreditierung vor.

In NRW haben bereits mehrere Unternehmen diesen Akkreditierungsprozess beantragt und fast vollständig durchlaufen, sodass bald einige Zertifizierungsstellen ihre Arbeit aufnehmen können. 

Fazit – Braucht man das? 

Für ein Unternehmen kann sich die Zertifizierung im Rahmen von Kundengewinnung und Werbemaßnahmen durchaus vorteilhaft auswirken. Die betroffenen Personen erhalten somit einen schnellen Überblick über das Datenschutzniveau einschlägiger Produkte oder Dienstleistungen. 

Durch eine Zertifizierung wird somit das Vertrauen von Kunden in das Produkt schneller gewonnen als ohne. Denn man erhält nicht nur einen Datenschutznachweis auf dem Papier, sondern es wird auch gewährleistet, dass die technischen Voraussetzungen datenschutzkonform eingerichtet wurden. 

Andererseits bedeutet es natürlich mehr Arbeit und mehr Kosten. Zwingend erforderlich ist eine Zertifizierung nicht. Daher ist es eine Frage der Abwägung seitens des Unternehmens, ob dieser Weg beschritten wird oder eben nicht. Bei kleineren oder mittelgroßen Unternehmen ist eine Abwägung zwischen Kosten und Nutzen einer Zertifizierung besonders ausschlaggebend, da diese in der Regel hohe Zertifizierungskosten nicht aufwenden können. Daher soll dieser Umstand im Zertifizierungsverfahren besonders berücksichtigt werden gem. Art. 42 Abs.1 S.2 DS-GVO. 

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN