Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Passend zum Jahreswechsel betreten wir neues Terrain: Kapitel IV der DS-GVO – „Verantwortlicher und Auftragsverarbeiter“ – beginnt mit Abschnitt 1 „Allgemeine Pflichten“ und führt uns durch Artikel, die jede/r Datenschützer/in bestens kennt. Aber vielleicht gibt es auch hier auf den zweiten Blick Neues zu entdecken?
Art. 24 mit der schwurbeligen Überschrift „Verantwortung des für die Verarbeitung Verantwortlichen“ lohnt eine genaue Besichtigung nur in Absatz 1. Die Absätze 2 und 3 gehören in die Rubrik „Streichungspotenzial“. Sie sind inhaltsleer und überflüssig. Vielleicht gerade deshalb zuerst dazu:
Absatz 2
Dieser Absatz verlangt mit großem Ernst, dass der Verantwortliche geeignete Vorkehrungen trifft, wenn sie angemessen sind. Das muss er schon nach Absatz 1. Grund für Absatz 2 ist wahrscheinlich, dass der Gesetzgeber Artikel mit mehreren Absätzen schöner findet.
Absatz 3
Auf den darauffolgenden Absatz trifft dasselbe zu: Nichts würde sich verändern, wenn er in der DS-GVO fehlte. Wer sich Verhaltensregeln oder Zertifizierungsverfahren unterwirft, die nach Art. 40 und 42 der DS-GVO genehmigt werden, außerdem (wichtig!) diese Regeln und Verfahren dann auch einhält, der hat wahrscheinlich einige Pflichten als Verantwortlicher erfüllt. Das ist einerseits selbstverständlich und hilft andererseits in der Praxis nicht weiter, weil: Ob die Verhaltensregeln oder Zertifizierungsverfahren wirklich eingehalten werden, muss man eben doch prüfen. Und selbst wenn sie nachweisbar eingehalten werden, ist damit noch nicht die Erfüllung sämtlicher Pflichten nachgewiesen.
Absatz 1
Absatz 1 ist der Kern von Artikel 24:
- Der Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO muss geeignete technische und organisatorische Maßnahmen umsetzen, damit die Verarbeitung personenbezogener Daten nachweisbar DS-GVO-konform erfolgt. Der Gesetzgeber hat auch gleich noch ein halbes Dutzend Kriterien mitgeliefert für die Beurteilung der Frage, welche Maßnahmen nötig sind. Berücksichtigt werden sollen Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken.
- Satz 2 stellt klar, dass die Maßnahmen geprüft und aktuell gehalten werden müssen. Berufserfahrene Datenschützer haben dazu immer wieder den PDCA-Zyklus gezeigt bekommen und schlimmstenfalls anderen gezeigt. Wer davon noch nichts gehört hat, benutze die Suchmaschine seiner Wahl.
Mit dem ausdrücklichen Bezug auf „unterschiedliche Eintrittswahrscheinlichkeiten und Schwere der Risiken“ enthält Absatz 1 Satz 1 eine wichtige und sinnvolle Regel: Datenschutzmaßnahmen sollen nicht Ressourcen vergeuden, sondern im angemessenen Rahmen bleiben. Natürlich lässt sich lange und heftig darüber streiten, was im Einzelfall risikoangemessen ist. Aber klar ist jedenfalls, dass nicht jede denkbare Sicherungsmaßnahme erfolgen muss. Auch im Datenschutz gilt die Regel: Nicht so sicher wie möglich, sondern so sicher wie nötig.
In der Praxis werden aus den beiden Faktoren Eintrittswahrscheinlichkeit und Schwere des Risikos dann oft Matrizen gebastelt, z. B.: Eintrittswahrscheinlichkeit niedrig, unbekannt und hoch sowie Schwere geringfügig, merklich und existenziell ergibt ein Feld mit neun Kästchen. Ähnliche Risikobewertungen finden sich in der IT- und Informationssicherheit. Leider ist in den seltensten Fällen eine eindeutige Quantifizierung möglich (z. B. von x E-Mails mit sensiblen Daten werden y E-Mails versehentlich an falsche Empfänger zugestellt, mit erheblichen aber nicht existenziellen Folgen für die Betroffenen). Möglich und ausreichend ist aber fast immer, dass fachkundige Personen (z. B. diejenigen Menschen, die eine Datenverarbeitung durchführen) sich auf eine gemeinsame Risiko-Einschätzung verständigen und diese begründen.
Sinnvoll ist ganz oft auch der in Art. 35 Abs. 9 DS-GVO für die Datenschutzfolgenabschätzung vorgesehene Weg: Betroffene oder deren Interessenvertreter beteiligen. Und oft sind ja auch die datenverarbeitenden Personen selbst von der Bearbeitung betroffen, beispielsweise die Personal- und IT-Abteilung entwickelt ein Verfahren zur digitalen Übermittlung der Gehaltsabrechnungen an die Beschäftigten. Die dabei tätigen Mitarbeiter werden eine realistische Meinung haben, wie sehr es schmerzt, wenn die eigene Gehaltsabrechnung dem Kollegen zugeht.
Immer wieder begegnet man in der Praxis übertriebenen Abstufungen, teils unfreiwillig komisch (z. B.: Eintrittswahrscheinlichkeit ganz klein, klein, eher klein, eher groß, groß und ganz groß). Gute Argumente und Möglichkeiten, mehr als drei Stufen zu trennen, sind mir bisher nicht begegnet.
Die Verantwortlichen sollen Art, Umfang, Umstände und Zwecke der Verarbeitung in den Blick nehmen. Etliches davon fließt in die Risikobewertung ein. Bei sehr umfangreichen Verarbeitungen erhöht sich meist das Fehlerrisiko. Bei „verinselten“ IT-Anwendungen ohne Netzanbindung sind viele Risiken minimiert. Und manches ist wichtig für die Frage, wie viel Rest-Risiko erlaubt ist, z. B. bei gesetzlich zwingend vorgeschriebenen Verarbeitungen.
Dann bleibt noch zu beachten, dass die „geeigneten technischen und organisatorischen Maßnahmen“ nicht nur eine gesetzeskonforme Verarbeitung sicherstellen sollen, sondern überdies den entsprechenden Nachweis. Deshalb gehört z. B. auch ein Zugriffsprotokoll bei Datenbanken mit sensiblen Inhalten zu den technischen und organisatorischen Maßnahmen nach Art. 24 Abs. 1 DS-GVO.
Sind wir bald da?
So weit, so einfach. Art. 24 Abs. 1 Satz 1 DS-GVO enthält aber noch ein sehr schwieriges Grundsatzproblem des Datenschutzes überhaupt. Wir können es nur kurz anschauen und wandern dann weiter – bei einem Spaziergang wird es nicht zu lösen sein:
Wenn der Verantwortliche Risiken abschätzen und geeignete Schutzmaßnahmen treffen soll, muss er die Verarbeitung natürlich kennen und beherrschen. Genau dies ist in der Praxis aber meist nicht der Fall. Ganz oft (fast immer) werden IT-Verfahren eingesetzt, ohne dass der nach der DS-GVO Verantwortliche die Verfahren wirklich kennt und beherrscht. – Bitte nicht die übliche Antwort dann darf er die Verfahren nicht einsetzen. Ein Problem verschwindet nicht, wenn man es verbietet.
Wenn Dachdeckermeister X mit dem Firmen-Lkw durch die Stadt fährt, darf er sich auf die letzte Hauptuntersuchung verlassen und muss den Lkw nicht selbst technisch prüfen. Für das IT-Verfahren seiner Lohnbuchhaltung soll aber geradestehen. Irgendetwas ist da im Datenschutzrecht noch unausgereift. Letztlich geht es vielleicht um die Grenze zwischen der Verantwortung des Softwareanbieters und des Softwarenutzers. Für Gesundheits- und Umweltschäden gibt es Regeln zur Produkthaftung. Wieso nicht auch für Datenschutzverletzungen?
Auch Verantwortliche, die sich tatsächlich Mühe geben sind mit der Verantwortung nach Art. 24 DS-GVO derzeit häufig überfordert. Das hat in den letzten Jahren die Sympathiehürde für den Datenschutz nicht gerade reduziert. Ein besseres Konzept ist noch nicht gefunden.
Vielleicht 2026? Ihnen alles Gute fürs neue Jahr!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
