DB: Unternehmen passen ihre Geschäftsprozesse derzeit an die neue DSGVO an. Was bedeutet dies in der Praxis, wo sehen Sie den meisten Handlungsbedarf? Welche Umsetzungshinweise können Sie geben?
Giovanni Brugugnone: Unternehmen in Deutschland haben den Vorteil, dass das BDSG bereits seit Jahren hohe Anforderungen an eine funktionierende Datenschutzorganisation stellt. Dennoch gehen mit der DSGVO neue Anforderungen, insbesondere in den Bereichen Informations-, Dokumentations- und Nachweispflichten, einher.
So müssen Verantwortliche (Controller) sowie Auftragsverarbeiter (Processor) zukünftig den Nachweis der Einhaltung datenschutzrechtlicher Vorgaben erbringen. Bisher oblag dieser Nachweis demjenigen, der einen Datenschutzverstoß monierte.
Eine umfassende Datenschutz-Governance im Lichte der DSGVO umfasst künftig somit nicht nur Prozesse zur Einhaltung rechtlicher Vorgaben bei jeder einzelnen Verarbeitung personenbezogener Daten, sondern auch Maßnahmen, die Verantwortlichen sowie Auftragsverarbeitern den Nachweis der Einhaltung einschlägiger Spielregeln ermöglichen. Diese „Accountability“ entfaltet, gerade vor dem Hintergrund der deutlich verschärften Bußgeldvorschriften, massive Auswirkungen auf Unternehmen.
Umso mehr ist es von Bedeutung, Prozesse nachvollziehbar zu strukturieren und einzelne Verarbeitungstätigkeiten fortlaufend zu dokumentieren. In direktem Zusammenhang hiermit steht die Datenschutz-Folgenabschätzung mit ihrem risikobasierten Ansatz. Aber auch wenn eine Datenschutz-Folgenabschätzung als nicht erforderlich angesehen wird, müssen die Gründe für deren Nichtausführung dokumentiert werden. Eine der größten Herausforderungen in der Praxis ist die mangelnde Rechtssicherheit im Umgang mit der DSGVO – insbesondere z.B. bei der Beurteilung der Notwendigkeit einer Datenschutz-Folgenabschätzung. Zum Einstieg in die Thematik empfehlen sich die Veröffentlichungen der französischen Datenschutzaufsichtsbehörde CNIL, sowie der Leitfaden des Bitkom.
DB: Wie lassen sich Vorgaben wie privacy by design und privacy by default umsetzen? Hätten Sie dazu ein Beispiel?
Giovanni Brugugnone: Angenommen, Ihr Unternehmen entwickelt ein vernetztes Produkt (IoT, Internet of Things), wie etwa einen Kühlschrank, der in der Lage ist, festzustellen, wann ein Produkt aufgebraucht ist bzw. voraussichtlich aufgebraucht sein wird und über eine App oder einen Bildschirm die Option bietet, das entsprechende Produkt online nachzubestellen. Privacy by Design bedeutet hier, dass die zugrunde liegende Technik datenschutzfreundlich gestaltet wird, also es dem Endkunden möglich ist, den „vernetzen“ Kühlschrank auch ohne diese Funktionalität, somit „offline“, zu nutzen, so dass der Kühlschrank keinerlei Daten über Inhalt und Verbrauch erhebt. Privacy by Default hingegen bezieht sich auf standardmäßig datenschutzfreundliche Voreinstellungen des jeweiligen Produktes. In unserem Beispiel würde das bedeuten, dass der Kühlschrank bei Inbetriebnahme zunächst „offline“ betrieben wird und der Nutzer diesen aktiv auf „online“ setzen müsste. Auch sollten im Sinne der Datensparsamkeit nur solche Daten erhoben werden, die für den jeweiligen Zweck, also hier z.B. „Nachbestellen von einzelnen Produkten“, zwingend erforderlich sind. Dieser einfache Ansatz ist auf eine Vielzahl anderer vernetzter Produkte, Softwarelösungen oder auch auf Apps übertragbar.
DB: Welche Hilfestellungen geben die Datenschutz-Aufsichtsbehörden?
Giovanni Brugugnone: Das Datenschutzrecht ist insbesondere mangels höchstrichterlicher Rechtsprechung bisweilen sehr stark von den Auffassungen der Aufsichtsbehörden geprägt. Aufgrund der teils sehr vagen Formulierungen in der DSGVO werden Konkretisierungen durch die Aufsicht zukünftig weiter zunehmen, so dass den Aufsichtsbehörden eine immer stärkere Beratungsfunktion zuteil wird. Diese Aufgabe nehmen die mir bekannten Datenschutz-Aufsichtsbehörden sehr gerne an und stehen neben ihrer gesetzlich zugewiesenen Funktion auch als Sparringspartner bei Auslegungsfragen zur Verfügung. Auch wenn die Beratung durch Aufsichtsbehörden sowie veröffentlichte Interpretations- und Orientierungshilfen wie etwa die im Rahmen der Datenschutzkonferenz (DSK, Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) veröffentlichten Kurzpapiere zur DSGVO keine Rechtsverbindlichkeit haben, stellen diese Handreichungen essentielle Werkzeuge für die Interpretation der DSGVO dar. Die Kurzpapiere der DSK decken aktuell nur wenige Themenfelder ab, werden aber in den kommenden Wochen kontinuierlich um weitere Themen erweitert und liefern wertvolle Hinweise zur Zielerreichung der DSGVO-Compliance. Ein zusätzlicher Vorteil dieser DSK Kurzpapiere liegt insbesondere darin, dass diese im Konsens aller deutschen Datenschutzaufsichtsbehörden veröffentlicht werden und Deutschland im Rahmen des Kohärenzverfahrens, also der europäischen Abstimmungsprozesse, wie auch Frankreich eine prägende Rolle einnehmen werden. Ein Überblick zu den aktuellen Kurzpapieren findet sich etwa auf der Webseite der Datenschutzaufsicht Baden-Württemberg.
DB: Oft ist für die Verwendung von personenbezogenen Daten die Einwilligung des Betroffenen erforderlich. Welche Anforderungen sind zu beachten und wie sollten Unternehmen hier klugerweise vorgehen?
Giovanni Brugugnone: Einwilligungen erfordern eine eindeutige Handlung, mit der der Betroffene freiwillig, also ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich bekundet, mit der Verarbeitung seiner personenbezogenen Daten einverstanden zu sein. Zukünftig wird somit Opt-in das Mittel der Wahl sein, während Opt-out-Lösungen unzulässig werden. Auch werden Einwilligungen grundsätzlich unwirksam sein, sofern zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen ein klares Ungleichgewicht besteht. Das neue Kopplungsverbot bestimmt, dass Verantwortliche ihre Leistungserbringung nicht mehr davon abhängig machen dürfen, dass die betroffene Person in Datenverarbeitungen einwilligt, die für die Erfüllung dieses Vertrags nicht erforderlich sind. Bereits bestehende Einwilligungen behalten ihre Gültigkeit, soweit diese den DSGVO-Anforderungen genügen. Beruhen derzeit Datenverarbeitungen auf Einwilligungen, sind Unternehmen gut beraten, die bestehenden Einwilligungen auf die neuen Erfordernisse hin zu überprüfen.
DB: Wie sehen Sie das Thema Legal Tech Tools zur Einhaltung von datenschutzrechtlichen Bestimmungen und in Unternehmen allgemein?
Giovanni Brugugnone: Legal Tech Tools werden mehr und mehr Einzug in Unternehmen finden. Die Generierung von maßgeschneiderten, datenschutzkonformen Einwilligungserklärungen oder das Hervorheben von Abweichungen zu eigenen Datenschutzklauseln im Rahmen von Legal Risk Assessments ist bereits heute Bestandteil solcher Tools. Sie bieten Kostenvorteile und entlasten die Rechtsabteilungen in zeitlicher Hinsicht. Legal Tech Tools werden zukünftig daher eine Erleichterung darstellen, eine rechtliche Beratung aber nicht ersetzen können.
