DATENSCHUTZ DURCH TECHNIKGESTALTUNG UND DATENSCHUTZFREUNDLICHE VOREINSTELLUNGEN

Nach Art. 25 DS-GVO (Datenschutz-Grundverordnung) hat der Verantwortliche hinreichende technische und organisatorische Maßnahmen umzusetzen, um eine Gewährleistung der datenschutzrechtlichen Grundsätze durch eine entsprechende Technikgestaltung sowie durch datenschutzfreundliche Voreinstellungen zu erreichen. Insbesondere im Rahmen von Nachfragen durch Auftraggeber sieht sich der Verantwortliche häufig mit der Frage konfrontiert, wie innerhalb der verantwortlichen Stelle eine Umsetzung der Anforderungen aus Art. 25 DS-GVO konkret erfolgt. Der Beitrag stellt den Umfang sowie notwendige und zu empfehlende Maßnahmen zur Verwirklichung der Anforderungen dieser Norm dar.


NORMADRESSATEN

Die Anforderungen aus Art. 25 DS-GVO richten sich grundsätzlich an den Verantwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO und somit an sämtliche öffentliche sowie nicht-öffentliche Stellen, welche personenbezogene Daten in eigener Verantwortlichkeit verarbeiten. Dementsprechend bezieht sich die Normierung ausdrücklich nicht auf Auftragsverarbeiter oder sonstige Anbieter von Produkten und Dienstleistungen, sofern sie nicht selbst als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO tätig werden. Dennoch ist festzuhalten, dass Auftragsverarbeiter und sonstige Anbieter von Produkten und Dienstleistungen die Auswirkungen des Art. 25 DS-GVO zumindest mittelbar betreffen können.

Art. 28 Abs. 1 DS-GVO setzt hinsichtlich der Auftragsverarbeitung beispielsweise voraus, dass Verantwortliche ausschließlich mit solchen Auftragsverarbeitern zusammenarbeiten, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt […].“ Der Erwägungsgrund 78 zur DS-GVO sieht weiterhin vor, dass Hersteller von Produkten, Diensten und Anwendungen zumindest ermutigt werden, die entsprechenden Anforderungen umzusetzen. Abgestellt wird hierbei auf eine Durchgriffswirkung der rechtlichen Verpflichtung des Verantwortlichen und daraus resultierender Nachfragen datenschutzkonformer Produkte und Dienstleistungen gegenüber den Anbietern. Dies kann durch die Verantwortlichen beispielsweise mittels expliziter vertraglicher Regelungen oder Anforderungen im Rahmen von Ausschreibungen konkret gefordert werden.


MÖGLICHKEITEN ZUR UMSETZUNG DATENSCHUTZFREUNDLICHER TECHNIKGESTALTUNG

Zunächst ist zu betonen, dass Art. 25 Abs. 1 DS-GVO konkret fordert, dass eine Umsetzung entsprechender Maßnahmen zur Gewährleistung des Datenschutzes durch Technikgestaltung bereits zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung, das heißt grundsätzlich bereits vor der Aufnahme der jeweiligen Verarbeitung personenbezogener Daten zu erfolgen hat. Diesbezüglich empfiehlt sich bei der Einführung neuer Verarbeitungstätigkeiten neben der Gewährleistung der weiteren Anforderungen aus der DS-GVO auch in Bezug auf Art. 25 DS-GVO die frühestmögliche Einbeziehung des Datenschutzbeauftragten.

Die Formulierung des Art. 25 Abs. 1 DS-GVO stellt zunächst allgemein auf die Umsetzung geeigneter technischer sowie organisatorischer Maßnahmen ab. Weiterhin wird lediglich eine beispielhafte Benennung der Pseudonymisierung zur Erreichung des Grundsatzes der Datenminimierung vorgenommen. Aus Erwägungsgrund 78 zur DS-GVO ergeben sich jedoch weitreichendere Anforderungen: Gemäß Satz 2 sollte der Verantwortliche interne Strategien festlegen, „die insbesondere den Grundsätzen des Datenschutzes […] Genüge tun.“ Dementsprechend sollte der Verantwortliche vor Aufnahme der Verarbeitung dokumentiert festlegen, durch welche konkreten Funktionalitäten und Prozesse die jeweiligen Grundsätze nach Art. 5 Abs. 1 DS-GVO sichergestellt werden können.

Demnach ist beispielsweise anzuführen, dass durch Bereitstellung von Informationspflichten die Transparenz, durch Festlegung eines Berechtigungskonzeptes die Zweckbindung, durch Verschlankung von Systemen die Datenminimierung, durch Festlegung von Meldeprozessen die Richtigkeit, durch Installation einer Löschroutine die Speicherbegrenzung sowie durch Verwendung von Signaturen die Integrität gewährleistet werden. Im Ergebnis muss eine umfassende Darstellung der Gewährleistung der datenschutzrechtlichen Grundsätze dokumentiert nachvollziehbar erkennbar sein. Insofern kann dies auch im Rahmen einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO oder der voranzustellenden Risiko-/Schwellenwertanalyse erfolgen.

Darstellungen weiterer möglicher umzusetzender technischer und organisatorischer Maßnahmen ergeben sich darüber hinaus aus den Arbeitspapieren der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) sowie aus den Guidelines 4/2019 des Europäischen Datenschutzausschusses (EDSA).


KRITERIEN UMZUSETZENDER MAßNAHMEN

Nach der Formulierung des Art. 25 Abs. 1 DS-GVO haben die umzusetzenden technischen und organisatorischen Maßnahmen den Stand der Technik, die Implementierungskosten sowie die näheren Umstände der Verarbeitung sowie der sich möglicherweise hieraus ergebenden Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Insoweit muss der Verantwortliche sicherstellen, dass die Ausgestaltung der Verarbeitungstätigkeit aktuellen Leitlinien von Aufsichtsbehörden oder Fachverbänden berücksichtigt, entsprechend der (objektiven) wirtschaftlichen Leistungsfähigkeit des Verantwortlichen verhältnismäßige Maßnahmen realisiert werden sowie etwaige potenzielle Schadenseintritte entsprechend ihren Eintrittswahrscheinlichkeiten und der Schwere des jeweiligen Risikos zu erörtern und abzusichern sind. Auch diesbezügliche Kriterien können in die vorbenannte Risiko-/Schwellenwertanalyse Eingang finden.

Im Ergebnis hat der Verantwortliche hinsichtlich der zu erwartenden Risiken der Verarbeitung wirtschaftlich und technisch angemessene sowie für den effektiven Schutz personenbezogener Daten geeignete Maßnahmen und Prozesse umzusetzen. Dem Verantwortlichen ist hierbei ein umfangreicher Beurteilungsspielraum beizumessen. Dies stellt ihn jedoch nicht grundsätzlich von der Pflicht frei, auf marktübliche Produkte oder Dienstleistungen zu verzichten, sofern ein datenschutzkonformer Einsatz nicht vollumfänglich möglich ist. Im Zweifelsfall ist durch den Verantwortlichen zu prüfen, ob durch Vornahme zusätzlicher Maßnahmen dennoch eine Gewährleistung der datenschutzrechtlichen Grundsätze möglich ist oder gegebenenfalls Alternativen existieren. Erfolgt dies nachweislich nicht, liegt seitens des Verantwortlichen unter Umständen ein fehlerhafter Ermessensgebrauch vor, welcher durch die Aufsichtsbehörden entsprechend beanstandet und sanktioniert werden kann.


UMFANG DATENSCHUTZFREUNDLICHER VOREINSTELLUNGEN

Grundsätzlich setzt Art. 25 Abs. 2 DS-GVO voraus, dass seitens des Verantwortlichen durch entsprechende technische und organisatorische Maßnahmen gewährleistet wird, dass der Umfang der zu verarbeitenden Daten entsprechend des Verarbeitungszwecks auf das absolut erforderliche Minimum reduziert wird. Erreicht werden kann dies, wie auch teilweise in Art. 25 Abs. 2 Satz 2 DS-GVO aufgeführt wird, durch eine Reduzierung der erhobenen personenbezogenen Daten (z.B. durch Reduzierung von Pflichtangaben), einen gemäßigten Umfang der Datenverarbeitung (z.B. durch Verzicht auf Profilbildung), die Festlegung von Speicherfristen (z.B. automatisierte Deaktivierung oder Löschung von inaktiven Nutzenden) sowie eine Beschränkung der Zugänglichkeit (z.B. Einrichtung eines Zugriffskonzeptes). Dabei ist gemäß Art. 25 Abs. 2 Satz 3 DS-GVO zu berücksichtigen, dass derartige Maßnahmen insbesondere dazu geeignet sein müssen, personenbezogene Daten ohne zusätzliches Eingreifen der betroffenen Person vor der Zugänglichmachung gegenüber einem unbestimmten Personenkreis zu schützen. Ändert die betroffene Person jedoch bewusst derartige datenschutzfreundliche Voreinstellungen, ist der Verantwortliche nicht zum Zurücksetzen der Einstellungen verpflichtet.


NACHWEIS DER UMSETZUNG

Wie aus den bisherigen Ausführungen deutlich hervorgeht, lassen die Anforderungen des Art. 25 DS-GVO erheblichen Raum für Argumentationen. Insoweit besteht das Risiko, dass einander entgegenstehende Interessen sowie Rechtsunsicherheiten zu einer unzureichenden Anwendung und einem mangelhaften Nachweis der in Art. 25 DS-GVO dargelegten Anforderungen führen. Dementsprechend gibt Art. 25 Abs. 3 DS-GVO zugleich über genehmigte Zertifizierungsverfahren nach Art. 42 DS-GVO einen entsprechenden Faktor zum Nachweis der entsprechenden Anforderungen an die Hand.

Darüber hinaus empfiehlt sich für Verantwortliche die Festlegung von verbindlichen Leitlinien und internen Strategien, insbesondere zur Gewährleistung der datenschutzrechtlichen Grundsätze sowie deren Nachweis. Weiterhin kann an bestehende Dokumentationen angeknüpft und eine Darstellung potenzieller Risiken und etwaiger Abhilfemaßnahmen im Rahmen einer Risiko-/Schwellenwertanalyse, einer Datenschutz-Folgenabschätzung oder dem Verzeichnis der Verarbeitungstätigkeiten erfolgen.


FAZIT

Zusammenfassend ist festzuhalten, dass es sich bei den Anforderungen aus Art. 25 DS-GVO um eine besonders weitreichende und teilweise schwer zu fassende Thematik handelt. Verantwortliche sollten die Problematik in Abstimmung mit dem Datenschutzbeauftragten zwingend umfassend erörtern sowie notwendige und auf die Verarbeitungstätigkeiten abgestimmte technische und organisatorische Maßnahmen treffen. Zuvor verbindlich festgelegte Leitlinien können insbesondere dabei helfen, die eigentliche Zielsetzung nicht aus dem Blick zu verlieren.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mitgliedschaften des Dresdner Instituts für Datenschutz