Diese Grundsätze der Datenschutz-Grundverordnung sollten Sie kennen

Ein neuer Beitrag auf www.digitalwave.at von Lukas Feiler

Die neue Datenschutz-Grundverordnung definiert zentrale Grundsätze für die Verarbeitung von Daten. In unserem zweiten Videoblog erfahren Sie, welche Sie kennen sollten.

Ungekürzte Langfassung des Interviews

Wenn ich es richtig verstanden habe, dann definiert die Datenschutz-Grundverordnung gleich zu Beginn Grundsätze, die generell für das Thema Datenschutz gelten sollen. Was sind denn die wichtigsten, die man als Unternehmen einmal gehört haben sollte?

Lukas Feiler: Der wichtigste Grundsatz ist jener der Rechtmäßigkeit: Daten dürfen nur zu legitimen Zwecken verarbeitet werden. Das bedeutet insbesondere, dass eine Rechtsgrundlage nach der Datenschutz-Grundverordnung identifiziert werden muss und man auch sonst im Rahmen der Datenverarbeitung keine sonstigen Normen — insbesondere Normen des Arbeitsrechts — verletzen darf.

Ein weiterer Grundsatz, der an dieser Stelle zu nennen ist, ist der Grundsatz der Zweckbindung: Das bedeutet, dass man schon am Beginn der Erhebung der Daten eindeutige Zwecke definieren muss, für die die Daten in weiterer Folge verarbeitet werden, und sich dann tatsächlich bei der Verarbeitung daran halten muss. Das heißt, man darf die Daten auch nicht für andere Zwecke verarbeiten, außer die neuen Zwecke sind tatsächlich kompatibel zu den ursprünglich definierten, also inhaltlich ganz nahe verwandt, oder aber die Betroffenen haben dazu ihre Einwilligung erteilt.

Grundsatz der Transparenz: Grundrecht auf informationelle Selbstbestimmung

Gibt es auch zum Stichwort Transparenz grundsätzliche Anmerkungen, die die Datenschutz-Grundverordnung Unternehmen mitgibt?

Lukas Feiler: Auch das ist ein ganz zentraler Grundsatz, den die Verordnung hier aufstellt: Der Betroffene soll stets die Information haben, was mit seinen Daten passiert. Das knüpft an dem ursprünglichen Verständnis von Datenschutz als „Grundrecht auf informationelle Selbstbestimmung“ an, selbst zu entscheiden, was mit den Daten passiert. Und das setzt voraus, überhaupt zu wissen, was mit den Daten passiert. Entsprechend sieht die Grundverordnung auch eine Fülle von relativ detailliert geregelten Informationspflichten gegenüber Betroffenen vor.

Grundsätze für Techniker: Minimierung, Begrenzung und Integrität der Daten

Daneben habe ich auch ein paar Grundsätze gefunden, wo ich den Eindruck hatte, dass der Adressat davon eher die Technikabteilung ist: Minimierung der Daten, Datenrichtigkeit, Begrenzung der Daten, Integrität der Daten.

Lukas Feiler: Ja, der erste Aspekt der Datenminimierung bedeutet, dass man immer nur so viele Daten erheben und verarbeiten darf, wie für den definierten Zweck erforderlich ist. Und, da haben Sie vollkommen recht, hier sind sehr oft die Techniker gefragt. Sie müssen sicherstellen, dass nicht im Zweifel einfach alles erfasst und protokolliert wird, sondern man sich darauf beschränken, was wirklich benötigt wird. Und wenn man mal die Daten erfasst hat, darf man sie auch nur solange gespeichert halten, wie es der Zweck erforderlich macht. Danach sind sie zu löschen.

Ein weiterer Grundsatz, den Sie angesprochen haben, ist der der „Integrität und Vertraulichkeit“, man könnte auch von „Datensicherheit im weitesten Sinne“ sprechen. Hier ist wiederum die Technik gefordert, entsprechende IT-Sicherheit zu gewährleisten und Vertraulichkeit, Integrität und auch Verfügbarkeit der Daten entsprechend zu schützen. Dazu gehören kryptographische Maßnahmen, dazu gehören aber auch allgemeine Maßnahmen der IT-Sicherheit, wie eine professionelle Systemadministration oder eine Firewall zu betreiben.

Wichtigster Grundsatz: Erforderlichkeit einer Rechtsgrundlage

Der erste und wohl wichtigste Grundsatz, den sie angesprochen haben, war die Erforderlichkeit einer Rechtsgrundlage. Beim Lesen Ihres Buches habe ich den Eindruck gewonnen: Hier ist die EU ein bisschen österreichisch unterwegs: Es ist alles verboten, außer es ist doch ausnahmsweise explizit erlaubt.

Lukas Feiler: Ja, das ist tatsächlich richtig, es gilt in der Datenschutz-Grundverordnung das Verbotsprinzip: Jegliche Verarbeitung personenbezogener Daten ist untersagt, außer es gibt einen Erlaubnistatbestand. Wenn man eine Datenverarbeitung durchführen will, ist es daher sehr wichtig, sich ganz konkret anzuschauen: Was wäre denn eine Rechtsgrundlage für diese Datenverarbeitung? Wenn ich keine finden kann, dann darf ich die Verarbeitung nicht vornehmen. Das heißt, man muss hier die Juristen schon frühzeitig ins Boot holen, weil man sonst unter Umständen viel zu spät draufkommt: Das, was man hier machen will, geht in dieser Form gar nicht.

Grundverordnung erweitert sensible Daten

Eine Unterscheidung, die mir aus dem österreichischen Datenschutzgesetz durchaus vertraut ist, habe ich auch in der Datenschutz Grundverordnung wieder gefunden, nämlich die Unterscheidung zwischen normalen personenbezogenen Daten und „sensiblen Daten“ wie ethnische Herkunft, sexuelle Orientierung, weltanschauliche Aspekte etc. Gibt es für diese spezielle Grundsätze?

Lukas Feiler: Die Grundsätze gelten genauso für „sensible Daten“ bzw. „besondere Kategorien personenbezogener Daten“, wie sie die Verordnung auch nennt. Aber in den Details ist die Verordnung bei sensiblen Daten wesentlich strenger. Diese sensiblen Daten sind bestimmte Datenkategorien die, so hat es die Erfahrung gezeigt, sehr häufig dazu missbraucht werden, um Menschen zu diskriminieren. Daher zählen eben die ethnische Zugehörigkeit, das religiöse Bekenntnis, die sexuelle Orientierung, Gesundheitsdaten oder die politische Überzeugung zu den sensiblen Daten.

Seit der Datenschutz-Grundverordnung gehören auch genetische Daten dazu. Denn aufgrund der Genetik kann man leicht statistische Aussagen über potenzielle Krankheitsbilder treffen, die Menschen in der Zukunft entwickeln könnten. Daher will man auch hier restriktiv sein.

Der letzte Bereich, der ebenfalls mit der Datenschutz-Grundverordnung zu den sensiblen Daten hinzugekommen ist, sind biometrische Daten wie beispielsweise ein Fingerabdruck oder aber auch ein Gesichtsbild, soweit es zur Identifizierung einer Person eingesetzt wird. Das bedeutet: Ganz alltägliche Fotos werden plötzlich zu sensiblen Daten, sobald sie zur Identifikation von Personen eingesetzt werden.

In der Praxis wird es wohl sehr häufig darum gehen, als Rechtsgrundlage die Einwilligung der betroffenen Person einzuholen. Ändert sich in diesem Bereich etwas zum Status-quo in Österreich?

Eingeschränkte Einwilligung: Sind Gratis-Dienste bedroht?

Lukas Feiler: Ja, man wird grundsätzlich etwas strenger, was die Anforderungen an eine wirksame Einwilligung anlangt. Sie muss nach wie vor eine informierte, freie Entscheidung für den konkreten Fall sein. Aber genau, wenn es um die Frage der Freiheit der Entscheidung geht, enthält die Datenschutz-Grundverordnung einige Bestimmungen, die sehr zu denken geben.

Gratis Internet-Dienste wie ein kostenloses E-Mail-Konto oder ein soziales Netzwerk werden immer beliebter. Eine datenschutzrechtliche Einwilligung, um so einen Dienst in Anspruch nehmen zu können, ist aber laut Verordnung nur so weit wirksam, wie sie notwendig ist, um diesen Dienst zu erbringen. Eine enge Auslegung dieser Bestimmung könnte zu einer Gefährdung dieser Gratis-Dienste werden. Denn die Unternehmen verdienen sehr wohl Geld damit, indem sie personenbezogene Werbung auf diesen Diensten schalten.

Wie diese Bestimmung auszulegen ist, wird uns schlussendlich irgendwann einmal der Europäische Gerichtshof sagen. Aber ich glaube, man wird schon argumentieren können, dass bei der Frage der Notwendigkeit einer Einwilligung nicht nur auf die technische, sondern auch auf die wirtschaftliche Notwendigkeit abgestellt werden muss. Denn ohne personenbezogene Werbung ist ein solcher Dienst schlicht nicht rentabel und müsste daher eingestellt werden. Insofern würde ich werbebasierten Internet-Geschäftsmodellen noch nicht ganz auf Wiedersehen sagen, sondern bin hier durchaus noch optimistisch.

Das wäre eine dramatische Umwälzung des Internets, so wie es uns jetzt entgegentritt.

Lukas Feiler: So ist es — und ich glaube, das ist ein ganz exzellentes Beispiel dafür, dass man bei der Konzeption der Verordnung, nicht immer bis zum Ende durchgedacht hat, was das in der Praxis bedeuten wird. Man wird hier schlussendlich in der Auslegung ein bisschen etwas von dem nachholen müssen, was man besser bereits bei der Konzeption der Verordnung überlegt hätte.

Wie Einwilligungen auch 2018 noch gelten

Sind alle Einwilligungen, die Unternehmen vor dem 25. Mai 2018 eingeholt haben, mit Geltung der Datenschutz-Grundverordnung hinfällig? Oder können sie jetzt schon die Systeme umstellen, um die Zustimmungen weiter nutzen zu können?

Lukas Feiler: Die Grundverordnung ist hier relativ streng. Sie sagt, dass alte Einwilligungen nur dann fortgelten, wenn sie damals bereits die Anforderungen der Verordnung erfüllt haben. Wir sind in Österreich in dieser Hinsicht glücklicherweise in einer relativ angenehmen Position. Die Anforderungen an eine wirksame datenschutzrechtliche Einwilligung waren bereits nach geltendem Recht so streng, dass in den allermeisten Fällen eine solche Einwilligung alle Anforderungen der Datenschutz-Grundverordnung erfüllt. Daher gelten grundsätzlich die alten Einwilligungen sehr wohl fort.

Präsentation herunterladen: http://www.digitalwave.at/praesentation-datenschutz-grundverordnung/

Weitere Videoblogs zur Datenschutz-Grundverordnung