Aktuelles

Urteile, Vorfälle, Kommentierungen...
403/16 Privacy by design und privacy by default

403/16 Privacy by design und privacy by default

Von Thomas Waetke 11. Oktober 2016

Ich hatte schon darüber berichtet, dass es eine neue Datenschutz-Grundverordnung (DSGVO) gibt, die ab Mai 2018 in Kraft treten wird. Es gibt (mindestens) zwei gewichtige Gründe, sich alsbald mit dem Thema Datenschutz auseinanderzusetzen und zu prüfen, ob man ggf. hiervon betroffen sein könnte:

Es wird eine Verbandsklagebefugnis geben, d.h. nicht nur Einzelpersonen müssen bei einem Verstoß klagen, sondern auch die Verbände wie die Wettbewerbszentrale oder der Verbraucherschutz können klagen.

Wettbewerber können bei Verstoß eine kostenpflichtige Abmahnung aussprechen. Abgesehen davon, dass schon die erste Abmahnung teuer werden kann, führt sie dazu, dass man sich zur Unterlassung künftiger Verstöße verpflichten muss; im Wiederholungsfall droht dann eine empfindliche Vertragsstrafe.

Die DSGVO selbst sieht ziemlich heftige Sanktionen vor, so z.B. muss das Unternehmen je nach Verstoß bis zu 2 bzw. 4 % seines Jahresumsatzes oder bis zu 10 bzw. 20 Millionen Euro als Strafe zahlen. Die EU möchte damit explizit Unternehmen zwingen, sich intensiver mit dem Schutz fremder Daten zu beschäftigen.

Das heißt: Wer meint, das Thema sei nicht wichtig, könnte dafür unangenehm teuer zur Kasse gebeten werden.

Man sollte auch nicht erst kurz vor dem Mai 2018 beginnen, das Thema anzugehen. Je nach Konstellation kann es nämlich durchaus aufwendig werden, sein Geschäftsverhalten an die DSGVO anzupassen.

privacy by design & privacy by default

Ein Beispiel: In Artikel 25 DSGVO werden die sog. “privacy  by design” bzw. “data protection by design” und “privacy by default” bzw. “data protection by default” installiert.

So heißt es Artikel 25 Absatz 1 DSGVO:

“Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.”

Und Absatz 2:

“Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.”

Das bedeutet, dass das Thema Datenschutz in Produktionsprozesse für die verschiedensten Techniken und Maßnahmen schon frühzeitig eingebunden werden muss. Man denke hier bspw. an Geräte mit Internetzugangsmöglichkeiten, Browser,  aber auch Gewinnspiele,  Software mit Login-Zugang für Nutzer usw.

Baldiges Handeln notwendig

Die Anforderungen an die zu treffenden Maßnahmen bewältigt man nicht “mal eben so”, daher sollte man damit alsbald anfangen – denn ab 25. Mai 2018 ist damit zu rechnen, dass findige Abmahner, Wettbewerber oder Verbände aktiv nach Rechtsverstößen suchen werden.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Privacy blue: © Weissblick - Fotolia.com