Was in Ihrer Schulzeit ein guter Ratschlag war, ist auch relevant, wenn es um Konformität mit der Datenschutz-Grundverordnung (DSGVO) geht: Machen Sie Ihre Hausaufgaben, weil Ihre Zensur davon abhängt. Bei der DSGVO gehört es zu Ihren Hausaufgaben, Maßnahmen für den Datenschutz durch Technikgestaltung zu entwickeln, umzusetzen und sicherzustellen, dass diese Richtlinien kommuniziert werden und dem Management bekannt sind.
„Gute Notizen und meine Hausaufgaben machen“: Das war der erste Gedanke, der mir durch den Kopf schoss, als ich die im letzten Monat veröffentlichte Leitlinie über DSGVO-Strafzahlungen las. Das haben die EU-Behörden zu dem Thema zu sagen:
„Diese Bestimmungen stellen keine Zielverpflichtung dar, sondern führen Verpflichtungen bezüglich der Methoden ein, d. h. der für die Verarbeitung Verantwortliche muss die notwendigen Beurteilungen vornehmen und angemessene Schlussfolgerungen ziehen. Danach muss die Aufsichtsbehörde die Frage beantworten, inwieweit der Verantwortliche unter Berücksichtigung der Art, des Zwecks oder des Umfangs der Verarbeitung im Hinblick auf die ihnen durch die Verordnung auferlegten Verpflichtungen ‚das getan hat, was von ihm erwartet werden konnte‘.“
Die genannte Aufsichtsbehörde ist die früher als Datenschutzbehörde bezeichnete Stelle, die für die Durchsetzung der DSGVO im jeweiligen EU-Land zuständig ist. Wenn die Aufsichtsbehörde im Zusammenhang mit einer DSGVO-Beschwerde über eine Strafzahlung entscheiden soll, muss sie den Verantwortlichen (das Unternehmen, das die Daten sammelt) also fragen, ob er seine Hausaufgaben gemacht hat – „was von ihm erwartet werden konnte“.
In dieser Richtlinie sind weitere Faktoren vorgesehen, die sich auf die Höhe von Strafzahlungen auswirken, z. B. die Anzahl der betroffenen Personen, die Schwere des Schadens („Risiken für Rechte und Freiheiten“), die Kategorien der betroffenen Daten sowie die Bereitschaft zur Zusammenarbeit und Unterstützung der Aufsichtsbehörde. Man könnte argumentieren, dass einiges davon nicht mehr Ihrer Kontrolle unterliegt, sobald die Hacker die erste Verteidigungslinie durchbrochen haben.
Aber was Sie kontrollieren können, ist der Aufwand, den das Unternehmen in sein Schutzprogramm zur Einschränkung von Sicherheitslücken gesteckt hat.
Ich muss außerdem daran denken, was uns Sue Foster, Fachanwältin für Datenschutz bei Hogan Lovell, in unserem Interview darüber erzählt hat, wie wichtig das „Vorzeigen der geleisteten Arbeit“ ist. Mit einer weiteren Analogie zum Schulleben erklärte Frau Foster, dass man gute „Teilnoten“ bekommen kann, wenn man nach einem Vorfall den Behörden zeigen kann, dass man Schutzvorkehrungen eingeführt hat.
Sie sagte auch voraus, dass wir weitere Leitlinien erhalten würden – und genau das ist die Funktion des oben erwähnten Dokuments: Es erklärt, welche Faktoren bei der Verhängung von Strafzahlungen im zweistufigen System der DSGVO berücksichtigt werden – in dem entweder 2 % oder 4 % der globalen Erträge verlangt werden.
Die Leitlinie enthält auch sehr praxisrelevante Anweisungen im Bezug auf Compliance. Da sich viele Unternehmen bereits auf bestehende Datenschutzstandards wie ISO 27001 verlassen, sind die EU-Aufsichtsbehörden bereit, die Einhaltung dieser Standards positiv zu bewerten.
„… alle „Best Practice“-Verfahren oder -Methoden sollten gebührend berücksichtigt werden, sofern sie existieren und angewendet werden. Industriestandards sowie Verhaltensregeln des jeweiligen Tätigkeitsbereichs oder Berufs sollten unbedingt berücksichtigt werden. Die Verhaltensregeln können Hinweise auf den Kenntnisstand über die verschiedenen Methoden geben, mit denen auf die typischen Sicherheitsprobleme im Zusammenhang mit der Verarbeitung eingegangen werden kann.“
Wer das Kleingedruckte in der DSGVO lesen möchte, kann sich auf Artikel 40 („Verhaltensregeln“) berufen. Kurz gesagt heißt es, dass Normenverbände ihre Sicherheitskontrollen, z. B. PCI DSS, dem European Data Protection Board (EDPB) zur Genehmigung vorlegen können. Wenn ein Verantwortlicher dann einer offiziell genehmigten „Verhaltensregel“ folgt, kann dies die Aufsichtsbehörde von der Einleitung weiterer Maßnahmen – einschließlich der Verhängung von Bußgeldern – abhalten, solange der Normenverband, z.B. der PCI Security Standards Council – über einen eigenen Überwachungsmechanismus zur Überprüfung der Einhaltung seiner Standards verfügt.
Aufgrund dieser speziellen DSGVO-Leitlinie sind diejenigen, die ihre Hausaufgaben gemacht haben und PCI-Konformität nachweisen können, sehr viel besser für den Umgang mit den EU-Aufsichtsbehörden aufgestellt.
Die DSGVO geht allerdings noch einen Schritt weiter. Sie hält auch einen Weg für eine Zertifizierung von Verantwortlichen hinsichtlich ihres Umgangs mit Daten offen.
Im Endeffekt sind die Aufsichtsbehörden (durch Artikel 40) befugt, den Betrieb eines Verantwortlichen als mit der DSGVO konform zu zertifizieren. Die Aufsichtsbehörde kann auch andere Normenverbände für die Erteilung derartiger Zertifizierungen akkreditieren.
In jedem Fall wird die Zertifizierung nach einem Zeitraum von drei Jahren ablaufen, worauf das jeweilige Unternehmen seine Zertifizierung erneuern muss.
Es sollte erwähnt werden, dass diese Zertifizierung vollständig freiwillig erfolgen wird. Sie wird jedoch offenkundig für viele Unternehmen sehr vorteilhaft sein. Die Absicht dieser Regelung besteht darin, die vorhandenen Datenschutzstandards der Privatwirtschaft zu nutzen und Unternehmen einen praxisorientierten Ansatz für ihre Konformität mit den technischen und administrativen Auflagen der DSGVO zu bieten.
Das EDPB wird voraussichtlich auch an Endverbraucher gerichtete Zertifizierungszeichen und -siegel und ein Register für zertifizierte Unternehmen entwickeln.
Für weitere Informationen über die DSGVO-Zertifizierung werden wir auf weitere Mitteilungen der Behörden warten müssen.
Auf kurze Sicht werden Unternehmen, die bereits Strukturen für Konformität mit PCI DSS, ISO 27001 oder anderen Datenschutzstandards eingerichtet haben, eine bessere Ausgangsposition hinsichtlich der Gefahr von DSGVO-Strafzahlungen haben.
Und in allernächster Zeit könnte das „Europäische Datenschutzsiegel“ ein sehr begehrtes Element für Unternehmenswebsites werden.
Wollen Sie Ihre Strafzahlungen infolge der DSGVO minimieren? Varonis hilft bei der Umsetzung zahlreicher Datenschutzstandards. Erfahren Sie mehr!