Die steigende Bedeutung von Datenschutz und IT-Sicherheit für die Wirtschaft sind spätestens seit dem Wirkungsbeginn der Datenschutz-Grundverordnung (DS-GVO) auch im Bereich der Landwirtschaft und dem Agribusiness deutlich spürbar. Im Rahmen des letzten Network Digital Livestock (NDL) Digital Agribusiness Leader Workshop wurde der Schutz personenbezogener Daten als Erfolgsfaktor fürs Agribusiness der Zukunft beleuchtet. Einer Kurzdarstellung der wesentlichen Inhalte des Whitepapers widmet sich der nachfolgende Beitrag.
WELCHE PERSONENBEZOGENEN DATEN GIBT ES IM AGRIBUSINESS?
Gemäß Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Die DSGVO geht in für die personenbezogene Daten zugrunde liegenden Informationen von einem sehr weiten, weil unbeschränkten Verständnis des Informationsbegriffs aus. Erfasst werden bekanntlich alle Informationen aus denen unmittelbar die Identität einer natürlichen Person hervorgeht, aber auch solche Angaben durch die allein die Identifizierung (also die Wiedererkennung) zwar selbst nicht unmittelbar möglich ist, eine entsprechende Identifizierung aber mittels Verknüpfung mit weiteren Informationen hergestellt werden kann. Personenbezogener Daten in der Fütterungsberatung können Futteranalysen, Rationen, MLP und Melkdaten, Kontaktdaten, Gesprächsnotizen und Nachrichten, Bestellhistorien und viele mehr sein. Wichtig ist eine exakte Differenzierung. Nicht all zu selten werden personenbezogene Daten mit den für Unternehmen sensiblen Daten gleichgesetzt. Dies ist allerdings nicht immer zutreffend.
WELCHE GRUNDSÄTZE GELTEN FÜR DIE DATENVERARBEITUNG?
Die DS-GVO enthält in Art. 5 Abs. 1 Grundsätze für die Verarbeitung personenbezogener Daten, an denen sich jeder Datenverarbeitungsvorgang messen lassen muss. Zu diesen Grundsätzen zählen Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.
Dies bedeutet u.a., dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und grundsätzlich nicht für andere Zwecke weiterverarbeitet werden dürfen. Außerdem dürfen nicht mehr personenbezogene Daten erhoben und verarbeitet werden als es für den bestimmten Zweck notwendig und rechtlich zulässig ist. Ist der Zweck der Datenverarbeitung entfallen, dürfen personenbezogene Daten nicht mehr verarbeitet werden. Danach dürfen Sie allenfalls für den Zeitraum von gesetzlich vorgeschriebenen Aufbewahrungspflichten – von den Daten, die noch genutzt werden dürfen, getrennt – gespeichert oder aufbewahrt werden.
Weiter müssen personenbezogene Daten so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Hierzu wurden geeignete technische und organisatorische Maßnahmen ergriffen, die zwingend einzuhalten sind. Der aktuelle Ransomware-Angriff auf AGCO-Werke zeigt anschaulich, welche Auswirkungen derartige Bedrohungen haben können. So führte der Angriff auf den Mutterkonzern auch bei dem Landtechnik-Hersteller Fendt zu einem Produktionsstillstand.
WIE WIRD DIE EINHALTUNG DER DATENSCHUTZRECHTLICHEN BESTIMMUNGEN KONTROLLIERT?
Die Einhaltung der datenschutzrechtlichen Bestimmungen wird dreifach kontrolliert:
– Selbstkontrolle (Datenschutzorganisation der verantwortlichen Stelle): Die verantwortliche Stelle trägt dafür Sorge, dass die Abläufe im Unternehmen vollumfänglich den datenschutzrechtlichen Anforderungen entsprechen sowie die technischen und organisatorischen Maßnahmen für die Gewährleistung eines dem Schutzbedarf der verarbeiteten personenbezogenen Daten angemessenen Datenschutzniveaus zur Verfügung stehen. Hierfür hat sie in bestimmten Fällen einen betrieblichen Datenschutzbeauftragten zu bestellen. Weiterhin muss sie u.a. dafür Sorge tragen, dass alle Beschäftigten des Unternehmens zum richtigen Umgang mit personenbezogenen Daten geschult werden.
– Eigenkontrolle (betroffene Personen üben ihre Rechte aus): Einer betroffenen Person (die natürliche Person, deren personenbezogene Daten durch die verantwortliche telle verarbeitet werden) stehen die in den Art. 12 bis Art. 22 DS-GVO niedergelten Rechte zu. Neben dem Recht auf Löschung personenbezogener Daten (Art. 17 DS-GVO) stellt das Auskunftsrecht (Art. 15 DS-GVO) das in der Praxis wohl relevanteste Betroffenenrecht dar. Jede betroffene Person kann Auskunft über die Verarbeitung ihrer personenbezogenen Daten verlangen. Gegebenenfalls ist der betroffenen Person hierfür eine Kopie ihrer personenbezogenen Daten bereitzustellen, wobei dies jedoch nicht die Rechte von anderen Personen beeinträchtigen darf. Werden innerhalb der verantwortlichen Stelle keine personenbezogenen Daten der auskunftsbegehrenden Person verarbeitet, ist auch dies der betroffenen Person mitzuteilen. Außerdem steht betroffenen Person gemäß Art. 77 DS-GVO ein Recht zur Beschwerde bei einer Datenschutzaufsichtsbehörde zu, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt. Darüber hinaus besteht die Möglichkeit nach Art. 82 DS-GVO zivilrechtliche Schadenersatz Ansprüche geltend zu machen.
– Fremdkontrolle (staatliche Kontrolle): Verstöße gegen datenschutzrechtliche Bestimmungen können strafrechtliche Sanktionen nach sich ziehen und sind zudem gemäß Art. 83 und Art. 84 DS-GVO bußgeldbewährt und können mithin von der jeweils zuständigen Datenschutzaufsichtsbehörde in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sanktioniert werden.
FAZIT
Die Einhaltung und Umsetzung der datenschutzrechtlichen Bestimmungen macht auch vor der Landwirtschaft bzw. dem Agribusiness keinen Halt. Um betroffenen verantwortlichen Stellen eine Hilfestellung zu geben, ist der Download eines Whitepapers auf der Seite des NDL in Deutsch und Englisch möglich.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
