Raus aus der DSGVO-Panik

Der Stichtag der europäischen Datenschutz-Grundverordnung (DSGVO), der 25. Mai 2018, rückt unaufhaltsam näher. Dabei wartet mit der Umsetzung der neuen datenschutzrechtlichen EU-Vorgaben eine Menge Arbeit auf Verlage. Gleichzeitig besteht aber auch die Chance, mit einer sorgfältigen Umstellung auf die DSGVO ein solides rechtliches Fundament für neue, datenintensive Geschäftsmodelle zu gießen.

Von Dr. Flemming Moos, Rechtsanwalt, Fachanwalt für Informationstechnologierecht,
Osborne Clarke, Hamburg

Obwohl die Datenschutz-Grundverordnung (DSGVO) schon im Mai 2016 mit zweijähriger Übergangsfrist in Kraft trat, haben sich viele Unternehmen noch nicht ausreichend mit ihr beschäftigt. Dabei findet die DSGVO als europäische Verordnung unmittelbare Anwendung auf jedes Unternehmen, das personenbezogene Daten innerhalb der Europäischen Union oder mit Bezug zu EU-Bürgern verarbeitet. Dies betrifft also im Grunde jeden deutschen Zeitschriftenverlag.

Zwar war die Rechtslage auch bisher schon streng, aber die kommende DSGVO bringt einige Neuerungen bei den  umfangreichen Pflichten – kein Wunder also, dass viele Unternehmen in Anbetracht der kurzen verbleibenden Umsetzungsfrist überfordert sind. Das gilt vor allem für solche Firmen, die bisher den Datenschutz stiefmütterlich behandelt haben. Doch Wegducken hilft nicht: Eine sorgfältige Umstellung ist schon alleine deshalb zwingend angeraten, weil die Aufsichtsbehörden Verstöße gegen die DSGVO mit Bußgeldern von bis zu 20 Mio. Euro ahnden — bzw. bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens fällig werden.

Um solchen wirklich schmerzhaften Sanktionen effektiv vorzubeugen, steht im Zentrum eines jeden DSGVO-Umsetzungsprojekts die Etablierung eines umfassenden Datenschutzmanagementsystems wie es die erste Abbildung (s. Grafik) darstellt.

Leitbild für das Datenschutz-Managementsystem

Das Leitbild für das betriebliche Datenschutzmanagementsystem besteht aus sechs Elementen: 1.) Datenschutzorganisation, 2.) Interne Prozesse und Verfahren, 3.) Rechtmäßige Datenverarbeitung, 4.) Technologie und Sicherheit, 5.) Richtlinien, Verträge und Dokumente, 6.) Nachweisbarkeit und Dokumentation. Was bedeutet dies nun konkret? Gehen wir die einzelnen Punkt durch.

 

Eine Datenschutzorganisation einführen

Strukturiertes Vorgehen erleichtert die mit der DSGVO zusammenhängenden innerbetrieblichen Aufgaben

Die DSGVO fordert allgemein von Unternehmen, technische und organisatorische Maßnahmen umzusetzen, um die Einhaltung aller datenschutzrechtlichen Vorgaben sicherzustellen. Der organisatorische Aspekt sollte – in Abhängigkeit vom Umfang der Verarbeitungstätigkeiten – vor allem dadurch umgesetzt werden, dass eine Datenschutzorganisation eingerichtet wird.

Für die Zuordnung der Pflichten nach der DSGVO gilt es zunächst zu klären, in welchen Verarbeitungssituationen der Verlag als datenschutzrechtlich Verantwortlicher handelt. Entscheidet er z. B. über das „Ob“ und „Wie“ der Datenverarbeitungstätigkeiten? Oder ist er nur Auftragsverarbeiter, verarbeitet also personenbezogene Daten nur im Auftrag und unter Weisung einer anderen Stelle? Gibt es Standort übergreifende Datenverarbeitungen? Wenn ja, wo werden die Entscheidungen über die Datenverarbeitung getroffen?

Was die personelle Organisation angeht, gilt es, persönliche Zuständigkeiten zuzuweisen und datenschutzrechtliche Pflichten zu delegieren. Zwar liegt die Verantwortung für Datenschutzverstöße (inkl. entsprechender Haftung) bei der Unternehmensleitung. Durch eine entsprechende Compliance-Struktur kann und sollte die Zuständigkeit für die Einhaltung der Vorgaben jedoch an einzelne, jeweils inhaltlich für die jeweilige Datenverarbeitung zuständige Mitarbeiter übertragen werden. Eine hierarchische Zuordnung könnte so aussehen, dass Fragen der materiellen Rechtmäßigkeit an Prozess- bzw. Informations-Eigner delegiert werden, Mitarbeiter der mittleren Management-Ebene ihrerseits übernehmen dann prozessübergreifende Pflichten (bspw. die Sicherstellung der Betroffenenrechte). Datenschutzexperten unterstützen wiederum als interne Beratungsinstanz zusätzlich.

Die DSGVO sieht (in Verbindung mit dem neuen Bundesdatenschutzgesetz) auch weiterhin die Benennung eines Datenschutzbeauftragten unter anderem für Verlage mit mehr als zehn ständig mit der Datenverarbeitung befassten Mitarbeitern vor. Dieser überwacht die betriebliche Einhaltung der Datenschutzvorschriften. Datenschutzrechtliche Pflichten können ihm hingegen nicht auferlegt werden, weil er verlagsintern unabhängig agieren muss und dabei zur Vermeidung von Interessenskonflikten nicht selbst über die Gestaltung und Einhaltung des Datenschutzes entscheiden darf.

Interne Prozesse und Verfahren aufsetzen bzw. überarbeiten

Ein maßgeblicher Unterschied der DSGVO zum bisherigen Recht besteht darin, dass deutlich mehr interne
Geschäftsprozesse und -verfahren implementiert werden müssen.

Grundlegend, aber nicht neu, ist die Verpflichtung von Verantwortlichen und Auftragsverarbeitern, ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen. Sie müssen ebenso hierfür Prozesse schaffen, die Richtigkeit, Aktualität und Vollständigkeit dieses Verzeichnisses garantieren. Dieses Verarbeitungsverzeichnis bildet bereits am Anfang des DSGVO-Umsetzungsprojekts eine gute Grundlage dafür, den Status-Quo im Verlag zu ermitteln. Bei Datenverarbeitungsvorgängen, die ein hohes Risiko für die Interessen der betroffenen Personen bergen, sind Verantwortliche des Weiteren verpflichtet, eine sogenannte Datenschutz-Folgenabschätzung durchzuführen.

Daneben gilt es noch weitere Prozesse zu implementieren. Sie dienen dazu, die eingesetzten Auftragsverarbeiter und den IT-Beschaffungsprozess datenschutzrechtlich zu überprüfen sowie Rechte der betroffenen Personen (z. B. das Auskunfts-, Berichtigungs-, Löschungs-, Widerspruchs- und neuerdings auch das Datenübertragbarkeitsrecht) zu garantieren. Und es geht  noch weiter: Es muss ein Datenpannenmanagement eingeführt werden, die Verlagsmitarbeiter müssen regelmäßig geschult werden. Auch das Datenschutzmanagementsystem muss regelmäßig überprüft werden und es gilt ein Auditverfahren für technische und organisatorische Maßnahmen zu absolvieren.

Neben den gesetzlich ausdrücklich vorgesehenen Prozessen helfen Verlagen auch unterstützende Prozesse wie zuverlässige Verfahren zur Erkennung von relevanten Datenverarbeitungsvorgängen und Datenlöschungsprozesse.

Die Rechtmäßigkeit der Datenverarbeitung überprüfen

Wie schon nach der alten Rechtslage gilt auch unter der kommenden DSGVO für die Verarbeitung personenbezogener Daten ein so genanntes Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn die jeweilige betroffene Person in die Datenverarbeitung eingewilligt hat oder das Gesetz die Datenverarbeitung ausdrücklich erlaubt.

Die für Zeitschriftenverlage praxisrelevanten Grundlagen für eine Datenverarbeitung unter der DSGVO dürften neben der Einwilligung des Betroffenen die gesetzlichen Erlaubnistatbestände zur Erfüllung eines Vertrags bzw. einer rechtlichen Verpflichtung und/oder zur Wahrung der berechtigten Interessen des Verlags oder eines Dritten sein.

Bei der Profilerstellung von betroffenen Personen, bei der Verwendung von Wahrscheinlichkeitswerten über ein bestimmtes zukünftiges Verhalten einer natürlichen Person (Profiling) sowie bei Verarbeitung personenbezogener Daten Minderjähriger gelten strengere Zulässigkeitsregelungen. Besondere Kategorien personenbezogener Daten (unter anderem Gesundheitsdaten) dürfen regelmäßig nur auf Grundlage einer Einwilligung der betroffenen Person verarbeitet werden.

Bei Übermittlungen personenbezogener Daten an außerhalb der EU ansässige Empfänger (z. B. US-amerikanische Anbieter von Newsletter-Diensten, Datenanalyse-Tools oder Apps/Webportalen zum Verkauf von Zeitschriften) müssen Verlage zusätzliche Anforderungen an Drittlandsdatentransfers beachten. Auch für die Verarbeitung von personenbezogenen Daten zu einem weiteren Zweck – wie beispielsweise die  Analyse, die Zusammenführung oder der Verkauf von Kundendaten – hat der Verordnungsgeber verschärfte Anforderungen eingeführt.

Die Transparenz der Datenverarbeitung sicherstellen

Bereits zum Zeitpunkt der Datenerhebung unterliegen Verlage ausführlichen Informationsverpflichtungen gegenüber den betroffenen Personen. Dazu gehören neben dem Namen und den Kontaktdaten des Verlags insbesondere auch die Verwendungszwecke, die Rechtsgrundlagen für die Verarbeitung inklusive berechtigter Interessen des Verlags, etwaige Empfänger der Daten und eine Mitteilung, falls der Verlag beabsichtigt, die Daten an einen Empfänger außerhalb der EU zu übertragen.

Die IT- und Datensicherheit gewährleisten

Verlage sind unter der DSGVO auch dazu verpflichtet, spezielle technische und organisatorische Maßnahmen zur Sicherstellung der IT- und Datensicherheit zu implementieren. Welche Maßnahmen konkret eingesetzt werden müssen, hängt von dem Stand der Technik, den Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie von der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ab.

Zu den IT- und Datensicherheitsmaßnahmen gehören zum Beispiel die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Ebenso müssen dauerhafte Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Datenverarbeitung ergriffen werden.

Wichtig sind zudem Backup- und Recovery-Möglichkeiten. Und die DSGVO fordert ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen gefordert.

Neu in der kommenden DSGVO ist die ausdrückliche Verpflichtung zur Beachtung und Implementierung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Data Protection by Design/ by Default). Um dem nachzukommen, können Verlage beispielsweise einen automatisierten Datenlöschungsprozess, einen zentralen Überblick über alle gespeicherten personenbezogenen Daten und die Pseudonymisierung bestimmter Daten einführen.

Rechtlichen und operativen Rahmen schaffen

Mit Richtlinien, Handlungsanweisungen, Prozessbeschreibungen, Mustern und anderen Dokumenten sollte ein rechtlicher und operativer Rahmen für die Einhaltung der DSGVO geschaffen werden. Ihre Funktion ist es, Regeln festzulegen, Zuständigkeiten zuzuweisen und Hilfestellung zu geben, nach denen die Mitarbeiter zu handeln haben. Auch werden die Beschäftigten primär auf diesem Wege über ihre Rechte und Pflichten informiert.

In jeden Fall sollte eine umfassende Datenschutz-Richtlinie aufgesetzt werden als zentrale Anweisung für den Umgang mit personenbezogenen Daten durch den Verlag und insbesondere die Mitarbeiter. Ihren Inhalt bilden das Datenschutzmanagementsystem, Grundsätze für die Datenverarbeitungstätigkeiten des Verantwortlichen und allgemeine Datenschutzmaßnahmen (z. B. die Datenschutz-Folgenabschätzung oder wie Anfragen von betroffenen Personen zu bearbeiten sind).

Bereits bestehende Muster (z. B. Einwilligungserklärungen für Newsletter oder Gewinnspiele, Datenschutzerklärungen und Auftragsverarbeitungsverträge) müssen an die neuen Vorgaben der
DSGVO angepasst werden.

Dokumentation gemäß Nachweis- und Rechenschaftspflichten

Unternehmen sind nach der DSGVO verpflichtet, die Beachtung der datenschutzrechtlichen Grundsätze umfassend nachweisen können. Um dies erfüllen zu können, müssen sie geeignete technische und organisatorische Maßnahmen zur Dokumentation implementieren. Verlage sind gut beraten, ein System zur Erleichterung der Beweisführung zu errichten.

Die datenschutzrechtlichen Grundsätze sollten in den Datenschutz-Richtlinien und anderen Dokumenten des Unternehmens festgehalten und die Mitarbeiter zu deren Einhaltung verpflichtet werden. Außerdem muss jeder Ablauf, der die Verarbeitung von personenbezogenen Daten umfasst, einen eigenen (dokumentierten) Zwischenschritt vorsehen, in dem die Rechtmäßigkeit der relevanten Verarbeitung überprüft wird. Nicht vergessen werden darf die Dokumentation des DSGVO-Umsetzungsprojekts inklusive dessen Ergebnisse.

Neue Themen, neue Aufgaben

Trotz der Vielzahl an Neuerungen durch die DSGVO muss kein Verlag in Panik geraten. Umgekehrt ist es allerdings auch falsch, stoisch ihr Wirksamwerden zum 25. Mai 2018 abzuwarten. Besser ist es, die verbleibende Zeit effektiv zu nutzen. Da hilft es, bei der Umsetzung Schwerpunkte zu setzen, die wirklich relevanten Risiken zu identifizieren und zu beseitigen.

Neben der DSGVO droht mit der geplanten europäischen E-Privacy-Verordnung eine eventuell noch größere datenschutzrechtliche Herausforderung für Zeitschriftenverlage. Sie würde die DSGVO zeitlich nachgelagert ergänzen. Bisher liegen für die E-Privacy-Verordnung rund um den Online-Datenschutz allerdings nur Entwürfe der EU-Kommission und des EU-Parlaments vor. Ein endgültiger Entwurf des EU-Rats steht noch aus und wird in der zweiten Hälfte 2018 erwartet. Die letztendliche Verabschiedung nach den Trilog-Verhandlungen wird frühestens zu Ende 2018 und ein Wirksamwerden ca. ein Jahr später erwartet.

Sollte die E-Privacy-Verordnung jedoch gemäß den Plänen der Kommission und des Parlaments verabschiedet werden, drohen journalistischen Medien laut einer aktuellen Umfrage des Verbands Deutscher Zeitschriftenverleger (VDZ) ein Umsatzverlust von über 30 % im digitalen Werbegeschäft. Der Parlamentsentwurf sieht nämlich z. B. ein Einwilligungserfordernis für Cookies und generell eine Einschränkung des Nutzer-Trackings vor.

Datenschutzrechtliche Fragen reichen über den schlichten Compliance-Aspekt längst hinaus und betreffen auch in der Verlagsbranche mittlerweile den Kernbereich der (digitalen) Geschäftsmodelle der Zukunft. Die Anpassung an die Anforderungen der DSGVO bildet dabei die unverzichtbare Grundlage für künftige datengetriebene Geschäftsmodelle aller Verlage. ●

Dieser Artikel erschien bereits in der impresso 1_2018 (März 2018).

 

2018-05-25T08:12:59+00:00 19. April 2018|

impresso