DA+

Aufsatz : Technische Herausforderungen in der DS-GVO – Im Spannungsfeld zwischen Prüfungen und Sanktionen : aus der RDV 2/2017, Seite 53 bis 63

Lesezeit 38 Min.

Die Unternehmen stecken in der Zwickmühle. Auf der einen Seite gibt es wenige detaillierte Vorgaben zur Umsetzung der DS-GVO, und auf der anderen Seite drohen bei der Nichteinhaltung der DS-GVO immense Bußgelder, die sich nur durch funktionierende IT-gestützte Maßnahmen im Unternehmen reduzieren lassen

I. Ausgangslage: DS-GVO und rechtliche Bewertungen in der Informationstechnik

Aus der Perspektive einer Aufsichtsbehörde sind bei der Bearbeitung von Eingaben der Bürgerinnen und Bürger bzw. Prüfungen der Aufsichtsbehörden die folgenden Artikel für eine datenschutzrechtliche Bewertung der Informationstechnik – von der juristischen Zunft oft kurz als „Technik“ bezeichnet – wesentlich. Mit diesem Fokus sind die Entwicklung, der Betrieb, die Wartung und die Weiterentwicklung von IT-Infrastrukturen mit Aspekten der Netze bzw. Hardware, Software, wie auch Software-basierte Dienste technisch zu prüfen. Die nachfolgenden Ausführungen legen den Schwerpunkt auf die drei Bereiche Sicherheit in der Verarbeitung nach Art. 32 DS-GVO, Zertifizierung und Akkreditierung nach Art. 42, 43 DS-GVO und die Datenschutzfolgenabschätzung nach Art. 35 DS-GVO (s. Abb. 1).

Die technischen Herausforderungen in der DS-GVO, wie in Abb. 1 dargestellt, ergeben sich möglicherweise aus divergierenden Interpretationen, welche Zusammenhänge zwischen den genannten Artikeln bestehen. Dazu sind sowohl die Schnittflächen als auch mögliche Umläufe über die Spitzen im Dreieck zu betrachten, die sowohl im als auch entgegen dem Uhrzeigersinn erfolgen können. Wenn nur die Art. 32 und 35 DS-GVO vor dem Hintergrund der Prüfungen durch behördliche oder betriebliche Datenschutzbeauftragte oder durch die zuständige Aufsichtsbehörde betrachtet würden, kann es zu Konflikten kommen, und zwar besonderes dann, wenn in der Situation der Prüfung bereits durchgeführte Zertifizierungen – vorgelegt in Form von Zertifikaten, Siegeln oder Prüfzeichen – zu berücksichtigen sind (Art. 42 und 43 DS-GVO).

Eine Eingabe ist immer unter dem allgemeinen Grundsatz zu prüfen, dass die Verarbeitung und Nutzung personenbezogener Daten verboten ist, soweit sie nicht durch die DSGVO oder eine andere Rechtsvorschrift ausdrücklich erlaubt oder angeordnet ist oder der Betroffene dazu schriftlich seine Einwilligung erklärt hat[1]. An diesem Grundsatz ändert sich nichts. Wenn anschließend die erwachsenden Anforderungen für die Verarbeitung von personenbezogenen Daten aus Sicht der IT bewertet werden, dann ist eine andere Priorisierung der betrachteten Artikel erforderlich als in der Reihenfolge, in der sie in der DS-GVO aufgeführt sind.

Zunächst sind in Tabelle 1 die Artikel in der Reihenfolge genannt, wie sie auch in der DS-GVO stehen. Das entspräche einem Umlauf entgegen dem Uhrzeigersinn, beginnend im oberen Dreieck.

Tabelle 1: Artikel in der DS-GVO mit ausdrücklich technischer Bewertung

Insgesamt ist ein Wandel in der Darstellung von bisher technischen und organisatorischen Maßnahmen festzustellen. Diese Veränderungen ergeben sich auch aus der Stärkung der Betroffenenrechte und Auskunfts- und Informationspflichten (Art. 12 bis Art. 15), die im Detail hier nicht erörtert werden können. Genauso wenig lassen sich im Rahmen der vorliegenden Betrachtung die Art. 16 bis Art. 22 DS-GVO diskutieren.

Der Fokus liegt auf aktualisierten Rahmenbedingungen für IT-Dienste. Im Allgemeinen gibt es diverse Beschreibungen, was einen IT-Dienst auszeichnet. Im Folgenden soll davon ausgegangen werden, dass ein IT-Dienst eine Einheit bildet, so dass entsprechend festgelegter (Fach-)Verfahren oder dokumentierter Geschäftsprozesse für eine oder mehrere Personen bzw. Kunden eine IT-gestützte Leistung erbracht wird. Diese Herangehensweise lässt sich aus den Rahmenbedingungen in der heutigen IT-Entwicklung begründen.

II. Rahmenbedingungen und unterschiedliche Lesarten aus der Perspektive der IT-Entwicklung

Mit der Entwicklung, dem dauerhaften Betrieb, der Wartung bzw. Weiterentwicklung von IT-Plattformen, dem Angebot von IT-Diensten oder dem Vertrieb von IT-Produkten ergeben sich unterschiedliche Lesarten der in Tabelle 1 genannten Artikel in der DS-GVO. Hinzu kommt die Betrachtung derselben Artikel aus der Sicht der Aufsichtsbehörde.

1. Rahmenbedingungen aus der Perspektive der IT-Entwicklung

Seit den 1980er Jahren, der ersten so genannten SoftwareKrise, gibt es in der Software-Entwicklung das Bestreben, die Kompliziertheit von Software nachvollziehbar zu gestalten und durch testgetriebene Entwicklungsverfahren frühzeitig Fehler aufzudecken, um einem möglichen, in der Regel kostenintensivem Schaden vorzubeugen. Dem Ansatz ist inhärent, dass mit Tests nur Fehler aufgedeckt, aber niemals vermieden werden können. Wenn über diese Methoden von Qualitätssicherung gesprochen wird[2], ist immer zu berücksichtigen, dass die ersten Verfahren aus dem militärischen Bereich stammen, speziell im Bereich der Luft- und der Raumfahrt entstanden sind und schließlich von anderen Organisationen und Unternehmen übernommen wurden.

Mit Einführung der Qualitätssteigerung von SoftwareProdukten geht eine Wechselwirkung von Schadensvermeidung, um entstehende Kosten im Haftungsfall zu senken, und gleichzeitig der Senkung von Entwicklungskosten für IT-Systeme einher[3]. Damit haben sich die Inhalte in der Informatik verändert, so dass die Informatik in den 1990er Jahren mehr zu einer Ingenieursdisziplin wurde.

Wenn heute über datenschutzrechtliche Bewertungen aus Sicht der IT gesprochen wird, geht es selten um einzelne Berechnungsverfahren bzw. die algorithmische Darstellung von Operationen auf und mit personenbezogenen Daten, sondern um eine komplexe Struktur, die gemäß eines Baukastenprinzips von Funktionsbausteinen einer umfassenden IT-Infrastruktur dient. Jeder Baustein innerhalb der IT-In frastruktur kann aus einem oder mehreren IT-Systemen bestehen, die in der Regel nachgenutzt oder weiterentwickelt werden. Solche Bausteine haben jeweils eine identifizierte Funktion. Die Verkettung von solchen Funktionsoder Systembausteinen erfolgt über Schnittstellen. Jeder Schnittstelle kann potenziell ein Datenfluss zugeordnet werden.

Etwas vereinfacht gesprochen, ist in der Qualitätssicherung ein IT-Produkt im Fokus, das in bester Weise einem Qualitätsstandard genügen soll, um hierbei konkret das „Ist“ und das „Soll“ für ein entsprechendes Produkt zu vergleichen, das mindestens dem gesetzten Standard entspricht. Spätestens seit den 2000er Jahren kommt kein ITKonzern mehr ohne ein Qualitätsmanagement (QM) aus. Innerhalb des QMs geht es mehr um eigene, qualitätssichernde, ggf. der IT-Entwicklung angepasste Verfahren[4]. Besonderes Augenmerk wird dabei auf Wechselwirkungen zwischen Qualitätssichten gelegt, die auch in der Norm ISO 9126 festgehalten sind. In der Norm ISO 9126 wird unterschieden zwischen interner Qualität (Merkmale des einzelnen Produkts), externer Qualität (Merkmale, die ein Software-Produkt besitzt, wenn es ausgeführt wird, wobei der Nachweis oft durch Tests erfolgt) und Gebrauchsqualität (Merkmale, wenn das Produkt von Endverbraucherinnen und Endverbrauchern in deren Umgebung verwendet wird). Um ein solches QM zu etablieren und die dazugehörigen Prozesse i.d.R. als Querschnittsaufgabe über den gesamten IT-Produktentwicklungszyklus durchzuführen[5], sind die dazugehörigen QM-Verfahren selbst IT-gestützt. Mit einem Qualitätsmanagement-System (QMS) sollen diese Verfahren also leichter zu handhaben[6], zu steuern, nachzuvollziehen sein und ggf. bei Nicht-Erfolg oder im Schadensfall nicht nur einem Audit, sondern auch Revisionen unterliegen. Ein QMS muss revisionssicher sein. Gebräuchliche Qualitäts management-Verfahren und deren angepasste Modelle in der IT sind, wie bereits erwähnt, CMMI oder auch die ISO 9000-Familie. Wenn eine Anleitung zur Umsetzung der Verfahren und der jeweiligen IT-gestützten Prozesse gesucht wird, ist es besser, sich TSP, ITIL[7] oder auch ISO 12207/15288 an zusehen. Dabei ist zu beachten, dass jede dieser Empfehlungen Aufwand erfordert, um Anpassungen in der eigenen Entwicklung und im Betrieb durchzuführen. In der öffentlichen Verwaltung oftmals das erweiterte V-Modell mit der Bezeichnung (XT V-Modell) gesetzt.

Solche Querschnittsaufgaben, zu denen das QM in jedem Fall gehört, hat den Verantwortlichen wie auch den Auftragsverarbeitern die Wahrnehmung eröffnet, dass trotz QMS-gestützter Kontrolle immer wieder Situationen eintreten, in denen technische Ansätze allein keine Lösung sind. Weitere Vorkehrungen, die ebenso einzuhalten sind, lassen sich u.a. nach wie vor durch organisatorische Maßnahmen treffen. Besonders solche Maßgaben finden sich in der DSGVO in Art. 40 Verhaltensregeln.

2. Lesart: IT-Entwicklungen in einem dauerhaftem IT-Betrieb

Wie im ersten Abschnitt beschrieben, wird in den seltensten Fällen heute ein IT-System „from scratch“, d.h. vollständig neu entwickelt. Die meisten IT-Plattformen bestehen aus mehreren IT-Systemen, die zu einer IT-Plattform integriert werden, um einen umfassenderen Ablauf (Workflow) bereitzustellen; d.h. es gibt bestehende und laufende IT-Systeme, die weiterzuentwickeln sind. Neue IT-Dienste entstehen aus Komponenten, die weiterentwickelt oder zumindest in anderer Weise miteinander verbunden werden.

Die für solche Entwicklungen Verantwortlichen sowie für den IT-Betrieb zuständigen Personen werden sich zuerst fragen, was zu tun ist, um eine datenschutzkonforme Funktionstüchtigkeit zu gewährleisten, die gleichzeitig – vielleicht auch vorwiegend – der Verfügbarkeit der IT-Plattform oder integrierten IT-Systeme dient. Des Weiteren werden sie sich an den Anforderungen der Datensicherheit orientieren, um Vertraulichkeit und Datenintegrität bestmöglich zu erzielen. Ihr Blick wird also zuerst auf den Art. 32 DS-GVO, Sicherheit der Verarbeitung, fallen.

Um die Implementierung von Informations- und Auskunftsrechten in und durch die IT zu unterstützen, empfiehlt es sich, rechtzeitig den Art. 25 DS-GVO, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, einzubeziehen. Denn wenn diese Aspekte nicht in der Designphase der (Weiter-)Entwicklung berücksichtigt sind, dann lassen sie sich nur schwierig im Nachhinein implementieren – oder nur unter sehr hohen, zusätzlichen Kosten. Gleichzeitig ist im Erwägungsgrund 78 zu Art. 25 DS-GVO erläutert: „Um die Einhaltung der Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (engl. ‚data protection by design‘) und durch datenschutzrechtliche Voreinstellungen (engl. ‚data protection by default‘) Genüge tun“. Die genannten Anforderungen an Strategien und an zu ergreifende Maßnahmen werden bei der Frage nach Zertifizierungen wieder aufgegriffen (Art. 42 DS-GVO).

Bei Weiterentwicklungen sind möglicherweise Kriterien aus der Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO zu berücksichtigen, die eine Datenschutz-Folgenabschätzung bei ggf. vorheriger Konsultation (Art. 36 DS-GVO) der zuständigen Aufsichtsbehörde erforderlich machen. Aus dem technischen Blickwinkel (Art. 35 Abs. 1 DS-GVO) leiten sich die Kriterien aus der Form der Verarbeitung ab, „insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung“. Ein wesentliches Ergebnis der Datenschutz-Folgenabschätzung sind die Bewertungen,

  • ob die Verarbeitung personenbezogener Daten „ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat und
  • ob es „ähnliche Verarbeitungsvorgänge mit ähnlich hohem Risiko“ gibt, für die „eine einzige Abschätzung vorgenommen werden“ kann.

Zu klären ist, inwieweit eine andere, bereits bestehende Abschätzung dieser Art wiederverwendet werden kann.

Die IT-Verantwortlichen werden immer eine DatenschutzFolgenabschätzung durchführen müssen (Art. 32 Abs. 2 DSGVO),

  • wenn das [Berechnungs-]Verfahren „eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen einschließlich Profiling gründet […]“;
  • wenn eine „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 oder von personenbezogenen Daten über strafrechtliche Verteilungen und Straftaten gemäß Art. 10“ oder
  • wenn die „systematische Überwachung öffentlich zugänglicher Bereiche“ zu betrachten sind.

Die Zuständigen in der IT Entwicklung müssen zur Datenschutz-Folgenabschätzung beitragen. Denn die Datenschutz-Folgenabschätzung (Art. 32 Abs. 7 lit. a und b) muss u.a.

  • „eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen“ enthalten und
  • es muss „eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck“ vorgenommen werden.

Selbst wenn keine Datenschutz-Folgenabschätzung erforderlich ist, weil die genannten Kriterien, insbesondere das hohe Risiko für die Beeinträchtigung der Persönlichkeitsund Freiheitsrechte auszuschließen sind, sind die zuletzt genannten Anforderungen an eine Verfahrensbeschreibung zu stellen. Eine solche Beschreibung ist ebenso zentral wie im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO; d.h. die Gemeinsamkeiten sind die Benennung der Zwecke der Verarbeitung (Abs. 1 lit. b) und eine Beschreibung der Kategorien betroffener Personen und der Kategorien der personenbezogenen Daten (Abs. 1 lit. c).

Mit dem in Art. 30 DS-GVO geforderten Verzeichnis von Verarbeitungsvorgängen ist auch ggf. eine Auftragsdatenverarbeitung zu dokumentieren[8].

Wie bereits dargestellt, kann jeder Schnittstelle potenziell ein Datenfluss zugeordnet werden. Aus der Perspektive der IT-Entwicklung müssen sich die Verantwortlichen spätestens auch in der Designphase fragen, an welchen Orten bzw. in welchen Ländern ihre IT-Plattform bereits läuft oder laufen wird. Daher ist ggf. die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen abzuwägen[9]. Eine ausführlichere Beschreibung dieser Anforderungen muss wegen ihrer Komplexität aus diesem Artikel ausgeschlossen werden.

Wenn der IT-Dienst einen gewissen Reifegrad erreicht hat und der (sich zumeist in Zyklen wiederholende Weiter-)Entwicklungsprozess erfolgreich abgeschlossen ist[10], dann liegt es oftmals nah, diesen Dienst zertifizieren zu lassen oder auch in ein IT-Produkt zu überführen, das dann ggf. zertifiziert werden könnte.

Tabelle 2: Ausführungsreihenfolge für die Weiterentwicklung aus dem laufenden IT Betrieb

In Tabelle 2 ist die vorausgegangene Darstellung zusammengefasst. Das entspricht erneut einem Umlauf im Dreieck in Abb. 1 entgegen dem Uhrzeigersinn, wobei wieder im oberen Dreieck begonnen wird.

3. Lesart: seltene IT-Entwicklungen „from scratch“ oder vollständige Neu-Entwicklungen

Bei vollständigen Neu-Entwicklungen wird zuerst die neue Idee im Zentrum stehen, was geleistet werden soll, auch wenn bis zum fertigen IT-Produkt mehrere Entwicklungszyklen durchlaufen werden. Daher ist in diesem Fall mit einer Datenschutz-Folgenabschätzung zu beginnen. Des Weiteren haben die Sicherheit der Verarbeitung und der Datenschutz durch Technikgestaltung (Art. 32) oftmals gleiche Wertigkeit (Art. 25). Die Motivation, die Sicherheit in der Verarbeitung zu betrachten, lässt sich einfach begründen, denn die eigene Investition soll entsprechenden Nutzen bringen. Insbesondere hat für Unternehmen der Datenschutz durch Technikgestaltung einen ebensolchen Mehrwert. Denn ist ein Datenleck im Prozess aufgetreten oder ist ein IT-Produkt korrumpiert, dann ist oftmals das Renommee einer Organisation oder eines Unternehmens beschädigt und über einen langen Zeitraum kaum wieder herzustellen. Ein möglicher Ansatzpunkt hierfür ist, die gestärkten Betroffenenrechte der DS-GVO heranzuziehen.

Geänderte Rahmenbedingungen der etwa letzten zwei Jahrzehnte sind zu diskutieren. Im Gegensatz zu Forschungsvorhaben an Hochschulen sind Neu-Entwicklungen in Unternehmen und Konzernen seltener geworden. Inzwischen sind unternehmerisch-organisierte „Think Tanks“ weniger Abteilungen in größeren Konzernen, sondern Ausgründungen in kleinere Firmen. Die Firmen sind Konsortien, an denen sich Unternehmen höchstens noch beteiligen. Auch Forschungen im Bereich der Grundlagen sind weniger im staatlichen Umfeld zu suchen. In beiden Fällen ist die Struktur des digitalen Binnenmarkts entscheidend, die eine solche Verlagerung des Kostenrisikos erlaubt. Für kleinere und mittelständische Betriebe und Unternehmen sieht die DS-GVO in großen Teilen datenschutzrechtliche Erleichterungen vor. Die Verzeichnisse der Verarbeitung sind laut Erwägungsgrund 13 im Umfang deutlich reduziert, und Unternehmen mit weniger als 250 Mitarbeitern müssen keinen betrieblichen Datenschutz beauftragten haben. Auch wenn die Begründung für diese Entscheidungen darin liegt, die Kleinstunternehmen, die kleinen und mittelständischen Unternehmen nicht mit datenschutzrechtlichen Anforderungen überlasten zu wollen, bietet sich hier eine gewisse Lücke. Daher ist auch unter diesem Aspekt der Datenschutz-Folgenabschätzung eine weitreichende Bedeutung beizumessen.

Im Übrigen kann der Argumentation der vorausgegangenen Lesart gefolgt werden, und es ergibt sich Tabelle 3. Die Lesart entspricht einem Umlauf im Uhrzeigersinn, wobei bei der Datenschutzfolgenabschätzung begonnen wird (Abb. 1)

Tabelle 3: Ausführungsreihenfolge für tatsächliche Neuentwicklungen

4. Lesart: Controlling in einem größeren Unternehmen oder Konzern mit angeschlossenem Marketing

Das Controlling in einem größeren Unternehmen oder einem Konzern ist eine Führungsaufgabe, in der Planung, Steuerung und Kontrolle und damit auch die Daten des Rechnungswesens für alle anderen Bereiche zusammenlaufen. Selbstverständlich beinhaltet das Controlling eine betriebswirtschaftliche Bewertung mit Leistungs- und Kostenrechnungen, um ggf. Geschäftsabläufe ziel- und ergebnisorientiert zu optimieren. Dem gegenüber steht bei Veränderungen von Prozessen zur Weiterentwicklung – auch von IT-Produkten – eine Risikobewertung, so dass planvoll Entwicklungen koordiniert werden können. Basierend auf einer Risikoanalyse wird über – wenn vorhanden – vorausgegangene Leistungs- und Kostenrechnungen abgeschätzt, ob zu erwartende Resultate unter gesellschaftlichen Rahmenbedingungen und mit einem verbleibendem Restrisiko akzeptabel und vertretbar sind.

Über die Betrachtung des Restrisikos wird ein mögliches Scheitern einkalkuliert. Mit dem Scheitern kann ein Schadensfall verbunden sein, für den das Unternehmen für die durchgeführte Entwicklung oder das eingeführte Produkt zu haften hat. Der mit der DS-GVO stärker ins Zentrum gerückte Begriff des Risikos unter Berücksichtigung einer Eintrittswahrscheinlichkeit in den Erwägungsgründen 76 und 77 lehnt sich sehr dicht an eine solche Risikoabwägung an.

Wenn ein Unternehmen für eine IT-gestützte Entwicklung oder ein IT-Produkt das Risiko aus Unternehmenssicht klein halten will, dann wird es Möglichkeiten suchen zu belegen, dass die Gefahren für natürliche Personen durch die Verarbeitung personenbezogener Daten so gering wie möglich gehalten wurden. Je nach Reifegrad der IT-gestützten Entwicklung, des IT-Dienstes oder des IT-Produktes wird angestrebt werden, ein Zertifikat zu erlangen, das belegt, dass eine entsprechend datenschutzkonforme Verarbeitung durchgeführt wird. Zertifikate geben den Anreiz, die Verantwortung und mögliche Haftungsfragen auf andere zu verlagern (und sich ein ruhiges Gewissen zu kaufen).

Die Führungsaufgabe aus dem Controlling könnte so interpretiert werden, dass in Bezug auf die technische Umsetzung der IT-gestützten Entwicklungen, IT-Dienste oder IT-Produkte die Resultate den Zertifikaten, Siegeln oder Prüfzeichen genügen müssen, die eine datenschutzkonforme Verarbeitung testieren. Diese Resultate eines zu entwickelnden IT-Dienstes oder IT-Produkts wiederum müssen ihrerseits nicht zwingend zur Durchführung einer Datenschutz-Folgenabschätzung führen. Denn, wie oben schon ausgeführt, sind IT-Dienste oder IT-Produkte zumeist keine Neu-Entwicklungen, sondern letztlich Weiterentwicklungen. Insbesondere der Art. 25 DS-GVO legt eine Zertifizierung in Abs. 3 nah[11].

Wenn dem Controlling ein Marketing für ein IT-Produkt angeschlossen sein sollte, dann wird diese Abteilung ebenso den Mehrwert in den Zertifikaten, Siegeln oder Prüfzeichen sehen, über die potenzielle Kunden gewonnen werden können. Mit Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DS-GVO) ließe sich möglicherweise eine weitere Marketing-Strategie entwickeln. – Die Entwicklung einer solchen Öffnung hängt aber sehr stark davon ab, inwieweit die Kundinnen und Kunden selbst – als IT (nach-)nutzende Unternehmen oder als Privatpersonen – diese einfordern und bereit sind, als Privatpersonen dafür zu bezahlen. Zertifizierungen sind gemäß Art. 42 Abs. 3 DS-GVO freiwillig, müssen aber „über ein transparentes Verfahren zugänglich sein“.

Aus Kostengründen sind die Möglichkeiten der Auftragsverarbeiter zu berücksichtigen und damit ggf. auch auf die Betrachtung der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen zu führen, wobei auch in diesem Fall Auftragnehmer gesucht werden, die die entsprechenden Zertifizierungen, z.B. für Cloud-Lösungen, bereits erworben haben. Das Unternehmen selbst strebt keine eigene Speicherlösung mehr für die IT-gestützte Entwicklung an oder verkauft sie durch die lizenzierte Version des IT-Produkts gleichzeitig mit.

Nur der Art. 32DS-GVO mag mehr in den Fokus des Controlling rücken, um die eigenen Unternehmenswerte – mehr gegenüber anderen Konkurrenten, weniger im Interesse der Betroffenen – zu schützen[12].

Daraus ergibt sich folgende, reduzierte und in der Reihenfolge stark veränderte Tabelle 4, die darstellt, wie eine Ausführungsreihenfolge für ein Controlling zur Weiterentwicklung für eine Entwicklung in der IT aussähe, die zu zertifizieren ist. Mit Rückschau auf die Abb. 1 bedeutet das, dass das Dreieick erneut gegen den Uhrzeigersinn durchlaufen wird. In diesem Fall wird in der rechten unteren Ecke begonnen und über die obere Spitze gegangen. Wie beschrieben, kann es fraglich sein, ob eine Datenschutzfolgenabschätzung durchgeführt wird.

Eine fehlende Datenschutzfolgenabschätzung ist als kritisch anzusehen, insbesondere wenn es sich tatsächlich um die Entwicklung und den Einsatz von neuen Technologien handelt. Bei neuen Entwicklungen ist am ehesten davon auszugehen, dass sie tatsächliche technologische Innovationen herbeiführen.

Tabelle 4: Ausführungsreihenfolge für ein Controlling zur Weiterentwicklung für ein IT-Produkt

5. Lesart: Zertifizierung

Im BDSG und in den Landesgesetzen führen Zertifizierungen ein Schattendasein[13], werden „eher stiefmütterlich“[14] behandelt. Art. 42 Abs. 1 DS-GVO richtet eine ausdrückliche Förderverpflichtung an die Mitgliedsstaaten, die Aufsichtsbehörden, den Europäischen Datenschutzausschuss (EDSA) und die Kommission, insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und –prüfzeichen, die dazu dienen nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen und Auftragsverarbeitern eingehalten wird.

In Art. 42 DS-GVO sind einige, wenige Informationen zu Rahmenbedingungen und zur Durchführung einer Zertifizierung beschrieben. Nach Art. 42 Abs. 2 DS-GVO dienen Zertifizierungen, Siegel und Prüfzeichen als Nachweis, dass die Verarbeitung von personenbezogenen Daten datenschutzkonform durchgeführt wird. Das Ergebnis einer Zertifizierung ist ein Zertifikat, ein Siegel oder ein Prüfzeichen, die von einer i.S.d. Art. 43 DS-GVO akkreditierten Zertifizierungsstelle ausgestellt werden. Das Zertifikat, das Siegel wie auch das Prüfzeichen sollen gewährleisten, dass Verantwortliche oder Auftragsverarbeiter – auch in Drittstaaten mit vergleichbarem Datenschutzniveau – datenschutzkonform arbeiten. Eine Zertifizierung muss zu einem festgelegten Zeitpunkt stattfinden und spätestens nach drei Jahren wiederholt werden.

Wenn an der Ordnungsmäßigkeit eines Zertifikats Zweifel bestehen, kann die Aufsichtsbehörde zu jedem Zeitpunkt das Zertifikat für ungültig erklären bzw. einziehen. Dann ist allerdings eine neue Prüfung erforderlich[15].

Neben der schon erwähnten Freiwilligkeit und Zugänglichkeit von Zertifikaten, Siegeln oder Prüfzeichen (Art. 42 Abs. 3) muss gemäß Abs. 1 „den besonderen Bedürfnissen von Kleinstunternehmen und mittleren Unternehmen […] Rechnung getragen“ werden. Für Klein- und mittelständische Unternehmen wird erneut bzgl. dieser Frage auf den Art. 40 verwiesen. Die dort geregelte Alternative zu den i.d.R. sehr zeitaufwändigen und damit auch kostenintensiven Zertifizierungen ist die Selbstverpflichtung. Nach Art. 40 Abs. 1 DS-GVO fördern die Mitgliedsstaaten, die Aufsichtsbehörden, der EDSA und die Kommission die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.

Der Begriff der Zertifizierung gemäß Art. 42 DS-GVO lässt im Moment großen Spielraum für Interpretationen. Eine wesentliche Frage ist offen: Was ist zu zertifizieren?

Im Rahmen der IT-Entwicklung bieten sich mindestens drei Ansätze, die sich direkt aus den bereits beschriebenen Lesarten ableiten lassen. Dazu gehört das Zertifizieren

  • eines IT-Produkts,
  • eines IT-Entwicklungsprozesses für einen IT-Dienst, oder auch
  • eines eigenen Datenschutzmanagement-Prozesses, der in den Entwicklungsprozess eines IT-Produkts oder eines ITDienstes zu integrieren ist.

In Erwägungsgrund 100 wird darauf verwiesen, „den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen [zu] ermöglichen“[16].

Wenn ein IT-Produkt zertifiziert wird, dann ist davon ausgehen, dass eine bestimmte Version dieses Produkts einer datenschutzrechtlichen Prüfung zu einem festgelegten Zeitpunkt innerhalb eines standardisierten Verfahrens unterzogen wird. Je nach Einsatzgebiet und konkreter Anwendung werden die Anforderungen bis zu einem gewissen Grad variieren, wie z.B. bei Verschlüsselungen von personenbezogenen Daten, wenn ein Verschlüsselungswerkzeug zertifiziert ist[17].

Wenn ein IT-Entwicklungsprozess für einen IT-Dienst zertifiziert werden soll, dann ist anzunehmen, dass ein nachvollziehbares, dokumentiertes, am besten standardisiertes Verfahren mit entsprechenden Kriterien zum Nachweis einer datenschutzkonformen Verarbeitung im Verlauf der Entwicklung realisiert sind. Dieser Ansatz scheint praktikabel unter Berücksichtigung der gängigen Anforderungen an ein QM, in das die Anforderungen und Kriterien für eine datenschutzkonforme Verarbeitung zu integrieren und als Querschnittsaufgabe fortwährend oder zumindest in regelmäßigen Abständen für jede Version eines IT-Dienstes zu prüfen sind. Im Rahmen von datenschutzrechtlichen Audits wäre eine entsprechende Kontrolle möglich.

Datenschutzrechtliche Dokumentationspflichten lassen sich ebenso im QM erfüllen.

Unter diesem Blickwinkel ist ein Datenschutzmanagement ein integraler Bestandteil innerhalb des Qualitätsmanagements. Wenn das Ziel der IT-Entwicklung eine Zertifizierung, ein Siegel oder ein Prüfzeichen ist, dann deutet die Beschreibung der Rahmenbedingungen aus der Perspektive der Informationstechnik weniger auf die Zertifizierung eines konkreten IT-Produkts hin, eher vielleicht auf diejenigen eines IT-Dienstes oder gar eines Datenschutzmanagements (DSM) bzw. eines dazugehörigen DatenschutzmanagementSystems (DSMS).

Sowohl die (Fach-)Verfahren in Organisationen und Geschäftsprozesse in Unternehmen als auch die Verfahren, die in der DS-GVO beschrieben sind, sind in IT-gestützten Prozessen abzubilden, die von QM-Maßnahmen begleitet sind. Diese Prozesse müssen sowohl organisatorisch als auch technisch ineinandergreifen, wenn eine datenschutzkonforme Verarbeitung gewährleistetet werden soll.

Die Zukunft kann dann in der Zertifizierung von DSMVerfahren und dazugehörigen Systemen liegen.

In jedem Fall sind Zertifizierungen, unabhängig davon ob ein Zertifikat, ein Siegel oder ein Prüfzeichen vergeben wird, ein gewisser Vorgriff auf eine Prüfung, die ansonsten z.B. bei einer Beschwerde durch die zuständige Aufsichtsbehörde durchzuführen ist. Deshalb ist zu klären, wie sich erteilte Zertifikate, Siegel oder Prüfzeichen in der Situation einer Prüfung durch die Aufsichtsbehörde zu bewerten sind.

III. Die Aufsichtsbehörde

Ein kleiner, wenn doch ein Trost für die Verantwortlichen und die Auftragsverarbeiter dürfte sein, dass die „technischen Herausforderungen“ auch für die Aufsichtsbehörden eine Herausforderung darstellen. Die Grundverordnung nimmt die Aufsichtsbehörden hinsichtlich der „technischen“ Herausforderungen klar in die Pflicht. Mit der DS-GVO haben sich das Aufgabenspektrum und die damit einhergehenden Befugnisse der Aufsichtsbehörden erheblich erweitert[18].

Die zuständige Aufsichtsbehörde (Art. 55, 56 DS-GVO[19]) bewegt sich bei der Prüfung von den Fällen, die dem Anwendungsbereich der Datenschutzgrundverordnung unterliegen, im Rahmen der ihr zugewiesenen Aufgaben nach Art. 57 DS-GVO, den Befugnissen nach Art. 58 DS-GVO sowie der Befugnis, die die Mitgliedsstaaten auf Basis der Öffnungsklausel in Art. 58 Abs. 6 DS-GVO durch Rechtsvorschriften vorsehen.

a) Aufgaben (Art. 57 DS-GVO)

Die Aufsichtsbehörde ist nach Art. 57 Abs. 1 DS-GVO in ihrem Hoheitsgebiet verpflichtet, sie „muss“, die Anwendung der Verordnung überwachen und durchsetzen[20]. Wie ist das „muss“ zu verstehen?

Der EWG 123 erläutert hierzu[21], das die Aufsichtsbehörden die Anwendung der Bestimmungen dieser Verordnung überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen sollten, um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern.

Der Aufgabenkatalog präzisiert in Art. 57 Abs. 1 lit. b-v DS-GVO die Aufgaben, die die Aufsichtsbehörde wahrnehmen muss. Darunter sind auch einige Aufgaben, die mit den zuvor dargestellten technischen Herausforderungen im Kontext stehen.

Art. 57 lit. k DS-GVO fordert die Aufsichtsbehörde auf, eine Liste der Verarbeitungsarten zu erstellen und zu führen, für die gemäß Art. 35 Abs. 4 eine Datenschutz-Folgenabschätzung durchzuführen ist. Nähere Erläuterungen zur Aufgabe der Aufsichtsbehörde ergeben sich aus Art. 35 DSGVO. Nach Abs. 4 erstellt die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge, für die gemäß Abs. 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem EDSA[22]. Darüber hinaus kann die Aussichtsbehörde einen Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss. Interessant ist die Wortwahl in Abs. 4 und Abs. 5. Während nach Abs. 4 die Behörde eine Liste erstellt, „kann“ sie eine Liste i.S.d. Abs. 5 erstellen. Im Sinne des Abs. 4 erwarten die Verantwortlichen und Auftragsverarbeiter von den Aufsichtsbehörden eine solche Positiv-Liste und können das dem Wortlaut nach auch. Dahin gegen ist die Negativ-Liste nach Abs. 5 eher als ein „freiwilliger Service“ der Aufsichtsbehörden einzustufen. Ob letzterer faktisch realisierbar ist, scheint eher fraglich. Im Zusammenhang mit den „technischen Herausforderungen“ bleibt aber festzuhalten, dass ein Verantwortlicher oder Auftragsverarbeiter zumindest für sich prüfen sollte, ob die für ihn zuständige Aufsichtsbehörde auf dem zuvor genannten Weg Informationen für ihn bereithält. Dazu gehört aber auch die Sichtung der vom EDSA gem. Art. 70 Abs. 1 lit. t i.V.m. lit. y DS-GVO veröffentlichten Beschlüsse der Aufsichtsbehörden, die durch das Kohärenzverfahren nach Art. 64 DS-GVO gelaufen sind. Der Ausschuss gibt nämlich im Kohärenzverfahren eine Stellungnahme ab, wenn die zuständige Aufsichtsbehörde be absichtigt, eine der Maßnahmen in Art. 64 Abs. 1 lit a-f DS-GVO zu erlassen. Darunter gehört nach lit. a auch der Entwurf eines Beschlusses, wenn der der Annahme einer Liste der Verarbeitungsvorgänge dient, die der Anforderung einer Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 4 DS-GVO unterliegen.

Weiterhin hat die Aufsichtsbehörde in Bezug auf die geplante Verarbeitung den Verantwortlichen zu beraten (Art. 57 Abs. 1 lit. l DS-GVO). Aus Art. 36 Abs. 2 DS-GVO geht hervor, dass der Verantwortliche sich zwecks vorhergehender Konsultation an die Aufsichtsbehörde wenden kann. Wenn sich beispielsweise aus der Datenschutz-Folgenabschätzung gem. Art. 36 Abs. 1 DS-GVO ergeben hat, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung trifft, unterbreitet die Aufsichtsbehörde dem Verantwortlichen dann innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Art. 58 DS_GVO genannten Befugnisse ausüben[23], auf die später noch einzugehen sein wird. Der Zeitraum von acht Wochen kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde hat den Verantwortlichen oder ggf. den Auftragsverarbeiter über die Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung zu unterrichten[24]. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat[25].

Die Einhaltung dieser Fristen wird den Aufsichtsbehörden einiges abverlangen. Hier können Fragen der Personalausstattung, Urlaubszeiten etc. Relevanz entfalten.

Nach Art. 57 Abs. 1 lit. m DS-GVO muss die Aufsichtsbehörde die Ausarbeitung von Verhaltensregeln gemäß Art. 40 Abs. 1 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Art. 40 Abs. 5 bieten müssen, Stellungnahmen abgeben und sie billigen. Diese Stellungnahme hat zu enthalten, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist, und sie genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende Garantien bietet (Art. 40 Abs. 5 DS-GVO). Nach Art. 40 Abs. 6 DS-GVO kann der Verantwortliche oder Auftragsverarbeiter nicht nur bei seinem Verband erfragen, sondern sich auch bei der Aufsichtsbehörde darüber informieren, ob Verhaltensregeln bereits genehmigt sind. Zumindest die Verhaltensregeln, die nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedsstaaten gerichtet sind, sind von der Aufsichtsbehörde in ein Verzeichnis aufzunehmen und zu veröffentlichen. Darüber hinaus ist aber auch zu prüfen, ob die Kommission genehmigte Verhaltensregeln bekannt gegeben hat bzw. durch den EDSA genehmigte Verhaltensregeln in dem Register veröffentlich worden sind (Art. 40 Abs. 10 und 11 DS-GVO).

Im Zusammenhang mit der Zertifizierung und der Akkreditierung nimmt die Grundverordnung die Aufsichtsbehörden in Art. 57 Abs. 1 lit. n,o,p,q DS-GVO in die Pflicht.

Nach lit. n hat die Datenschutzaufsicht die Einführung von Datenschutzzertifizierungs-Mechanismen und von Datenschutzsiegeln und –prüfzeichen nach Art. 42 Abs. 1 DSGVO anzuregen und die Zertifizierung nach Art. 42 Abs. 5 DS-GVO zu billigen. Dadurch wird das unter anderem an die Aufsichtsbehörden gerichtete Petitum in Art 42 Abs. 1 Satz 1 DS-GVO bekräftigt.

Des Weiteren ist die Aufsichtsbehörde nach Art. 57 Abs. 1 lit. o DS-GVO verpflichtet, die nach Art. 42 Abs. 7 DS-GVO erteilten Zertifizierungen regelmäßig zu überprüfen. Was unter regelmäßig zu verstehen ist, ergibt sich aus Art. 42 Abs. 7 DS-GVO. Nach Art. 42 Abs. 7 Satz 1 DS-GVO wird die Zertifizierung einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Werden die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt, wird die Zertifizierung durch die Zertifizierungsstellen nach Art. 43 DS-GVO oder durch die zuständige Aufsichtsbehörde widerrufen, Art. 42 Abs. 7 Satz 2 DS-GVO.

Die Kriterien für die Akkreditierung einer Zertifizierungsstelle gemäß Art. 43 DS-GVO müssen durch die Aufsichtsbehörde abgefasst und veröffentlicht werden (Art. 57 Abs. 1 lit. p DS-GVO). Erste Hinweise zu den Akkreditierungskriterien ergeben sich aus Art. 43 Abs. 2 DS-GVO.

Nach Art. 57 Abs. 1 lit. q DS-GVO muss die Aufsichtsbehörde die Akkreditierung einer Zertifizierungsstelle nach Art. 43 DS-GVO vornehmen. Hier ist der nationale Gesetzgeber gefragt, sicherzustellen, dass Zertifizierungsstellen von der zuständigen Aufsichtsbehörde und oder der nationalen Akkreditierungsstelle i.S.d. Art. 43 Abs. 2 lit. b DS-GVO akkreditiert werden. In diesem Kontext wird in der Umsetzungsphase zu klären sein, wie sich die Aufsichtsbehörden in Deutschland diesbezüglich aufstellen.

b) Befugnisse (Art. 58 DS-GVO)

Zur Umsetzung der Aufgaben und um die Einhaltung der DSGVO zu prüfen und sichern, hat die Aufsichtsbehörde nach Art. 58 DS-GVO

  • Untersuchungsbefugnisse,
  • Abhilfebefugnisse und
  • Genehmigungsbefugnisse.

Art. 58 DS-GVO regelt die Befugnisse der Aufsichtsbehörden als unmittelbar geltendes Recht und trägt so zur Harmonisierung des Aufsichtshandeln bei. Der Katalog der Befugnisse in der DS-GVO ist weitaus detaillierter als in der Datenschutzrichtlinie, wenn auch nicht abschließend.[26] Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit den geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedsstaaten unparteiisch, gerecht und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein. Dabei sind die Umstände des jeweiligen Einzelfalls zu berücksichtigen, das Recht einer jeden Person ist zu achten, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen sind zu vermeiden.

Jede rechtsverbindliche Maßnahme der Aufsichtsbehörde sollte schriftlich erlassen werden, und sie sollte klar und eindeutig sein. Die rechtsverbindliche schriftliche Maßnahme sollte enthalten:

  • Aufsichtsbehörde, die die Maßnahme erlassen hat
  • Datum, an dem die Maßnahme erlassen wurde
  • die Maßnahme sollte vom Leiter oder ein von ihm bevollmächtigten Mitglied der Aufsichtsbehörde unterschrieben sein
  • Begründung für die Maßnahme – Hinweis auf das Recht auf einen wirksamen Rechtsbehelf [27]

Diese Vorgaben sind ein gemeinsames „europäisches“ Minimum. Zusätzliche Anforderungen nach dem Verfahrensrecht der Mitgliedstaaten werden in Erwägungsgrund 129 ausdrücklich nicht ausgeschlossen. Dass bedeutet, dass man vorsorglich die Augen aufbehalten sollte, ob sich in diesem Segment etwas tut.

Die Befugnisse im Detail vorzustellen, würde den Rahmen sprengen. Aber es ist ratsam, sie aufmerksam zur Kenntnis zu nehmen.

3. Das Sanktionsverfahren

Ebenso verhält es sich mit dem Bereich Sanktionen. Sie enthalten einen doppelten Anreiz, die technischen Herausforderungen der DS-GVO nicht zu verteufeln und ad acta zu legen, sondern sich ihnen mit der im Einzelfall erforderlichen Tiefe zu widmen. Die DS-GVO wartet mit einer Neuerung im Bußgeldbereich auf, die zu einem kleinen Aufschrei geführt hat. An die Stelle des bisherigen Bußgeldrahmens in Höhe von bis zu fünfzigtausend und bis zu dreihunderttausend[28] Euro treten nun Bußgelder, die in Höhe von bis zu 10 Mio. bzw. 20 Mio. Euro oder im Umfang von 2% bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können.

Die Tatbestände sind in Art. 83 Abs. 4, 5 und 6 geregelt. Im Zusammenhang mit den vorhergehenden Ausführungen seien Art. 83 Abs. Abs. 4, Abs. 5 lit. e und Abs. 6 DS-GVO besonders hervorgehoben.

Die Bußgeldvorschriften in Art. 83 Abs. 4 lit. a-b DS-GVO halten die Verantwortlichen und Auftragsverarbeiter, die Zertifizierungsstelle und die Überwachungsstelle dazu an, ihre aus Art. 8, 11, 25 bis 39, 42 und 43, 42 und 43 sowie 41 Abs. 4 resultierenden Pflichten einzuhalten. Verstöße können mit Geldbußen von bis zu 10 Mio. Euro bzw. 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.

Wer eine Anweisung oder eine vorübergehenden oder endgültige Beschränkung oder Aussetzung der Datenübermittlung durch die zuständige Aufsichtsbehörde gemäß Art. 58 Abs. 2 DS-GVO nicht befolgt oder den nach Art. 58 Abs. 1 DS-GVO geforderten Zugang nicht gewährt, muss sogar mit einem Bußgeld von bis zu 20 Mio. Euro bzw. einer Geldbuße in Höhe von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres rechnen.

Ergänzend hierzu sei noch auf Art. 83 Abs. 6 DS-GVO hingewiesen, der eine Sanktionierung der Nichteinhaltung von Anweisungen der Aufsichtsbehörden im Rahmen der Abhilfebefugnisse nach Art. 58 Abs. 2 DS-GVO mit bis zu 20 Mio. Euro bzw. 4 % des zuvor genannten Umsatzes ermöglicht. Die Beweislast liegt beim Verantwortlichen bzw. Auftragsverarbeiter. Er muss im Streitfall nachweisen, dass die anerkannten Prozesse auch eingehalten wurden.

Die gute Umsetzung von und Einhaltung der technischen Anforderungen nach der DS-GVO spielt darüber hinaus eine ganz wesentliche Rolle in der Zumessung der Geldbußen nach Art. 83 Abs. 2 DS-GVO. Sie kann sich Bußgeld mildernd auswirken. Ebenso kann sich ein schlechtes Management auf das Bußgeld verschärfend auswirken.

IV. Die Prüfung

Eine Prüfung startet mit einer Momentaufnahme, insbesondere wenn eine solche Prüfung durch die Eingabe einer Bürgerin oder eines Bürgers durch die Aufsichtsbehörde veranlasst wird. Hier wird sicherlich zuerst die Frage nach dem Stand der Technik in Bezug auf die Sicherheit der Verarbeitung (Art. 32 DS-GVO) gestellt. Dabei ist im Fokus die ggf. aktuelle Beschwerde. Eine Organisation oder ein Unternehmen muss zu der Beschwerde Stellung gegenüber der zuständigen Aufsichtsbehörde nehmen.

Um gegenüber der zuständigen Aufsichtsbehörde zu begründen oder zu untermauern, dass die Beschwerde weniger schwerwiegend oder gar haltlos ist, wird die Organisation oder das Unternehmen bereits erworbene Zertifikate vorweisen. In diesem Zusammenhang ist zu fragen, worauf sich ein Zertifikat, ein Siegel oder ein Prüfzeichen bezieht.

Die Wirksamkeit von Zertifikaten, Siegeln oder auch Prüfzeichen muss nicht immer gewährleistet sein. In den vorausgegangenen Abschnitten wurde diskutiert, wie möglicherweise interne (Qualitäts-)Merkmale, also solche von Unternehmen, und externe (Qualitäts-)Merkmale, also solche der Aufsichtsbehörden, zu verwenden sind, um Datenschutzaktivitäten nachzuverfolgen und prüfbar zu machen. Wenn ein IT-Produkt zertifiziert ist, wird maßgeblich sein, zu welchem Zeitpunkt, d.h. in welcher Version, für welches Einsatzgebiet oder auch für welchen konkreten Anwendungsfall es zertifiziert wurde. Qualitätsgemanagte IT-Entwicklung verläuft, wie in der Lesart aus der Informationstechnik beschrieben, in Zyklen und sollte zur stetigen Verbesserung der IT-Produkte sowie regelmäßig zu neuen Versionen führen, insbesondere dann wenn z.B. ein gravierender Schadensfall, wie ein „Datenleck“ eingetreten ist.

Konsequenterweise müsste also eine Organisation oder ein Unternehmen für jede neue Version eines IT-Produkts eine Re-Zertifizierung vornehmen. Hier stellt sich sofort auch aus Sicht der Organisation oder des Unternehmens die Frage nach Verhältnismäßigkeit in Aufwand und daraus resultierendem Nutzen.

Gleichzeitig kann nicht davon ausgegangen werden, dass die Aufsichtsbehörden jedes Zertifikat, jedes Siegel oder jedes Prüfzeichen einfach so bzw. von vornherein anerkennen, insbesondere nicht, wenn nicht dargelegt werden kann, wann, was, wie und konkret für welchen Einsatz in welchem Anwendungsgebiet geprüft wurde. Innerhalb einer Prüfung ist nachzuweisen, dass das geeignete IT-Produkt eingesetzt wird.

Wenn ein IT-Dienst zertifiziert ist, dann wird die zuständige Aufsichtsbehörde ihren Blick auf die Nachvollziehbarkeit des Ablaufs legen können. Voraussichtlich wird die zuständige Aufsichtsbehörde zuerst nach den Protokollen der internen Audits bzgl. der durchgeführten und kontrollierten Datenschutzaktivitäten fragen, die vom betrieblichen oder behördlichen Datenschutzbeauftragten durchgeführt worden sind. In Anbetracht dessen, dass Zertifizierungen spätestens nach drei Jahren zu einer Re-Zertifizierung führen müssen (Art. 42 Abs. 7 DS-GVO), sind neben den Zertifikaten, Siegeln oder Prüfzeichen die dazugehörigen Prüfprotokolle aus dem Zertifizierungsverfahren sicherlich für die zuständigen Aufsichtsbehörden interessant.

Bisher ist unter der fünften Lesart diskutiert, was möglicherweise zu zertifizieren ist: IT-Produkt, IT-Dienst oder möglicherweise später auch ein Datenschutzmanagement. Die Unterscheidung zwischen Zertifikat, Siegel oder auch Prüfzeichen legt einen weiteren Aspekt nah, wie zu zertifizieren ist. Im Laufe der kommenden Jahre wird sich eine Kategorisierung herausbilden müssen, was es heißt, es handelt sich um ein Zertifikat, ein Siegel oder ein Prüfzeichen. Wenn diese Begriffe aus der Sicht der IT gedeutet werden, dann wird eine Abstufung in Betracht kommen, die Zertifikate als höchste Kategorie und ein Prüfzeichen als vermutlich niedrigste Kategorie einordnet. Mit einer solchen Kategorisierung wären unterschiedliche Prüfkriterien intendiert, die ebenso abgestuft sind. Eine Abstufung von Prüfkriterien bedeutet eine Abstufung von Anforderungen. Wenn datenschutzrechtliche Anforderungen reduziert werden, dann kann das nicht im Sinn der Aufsichtsbehörden sein.

V. Zusammenfassung

Mit der DS-GVO ist ein Regelwerk, die Datenschutzrichtlinie aus dem Jahr 1996, außer Kraft gesetzt worden, das jeweils in nationales Recht eines jeden Mitgliedsstaates umzusetzen war. Die DS-GVO ist unmittelbar anwendbar.

Gleichzeitig ist der DS-GVO schon jetzt anzumerken, wann sie geschrieben wurde. Da der erste umfassende Vorschlag zur DS-GVO vor Januar 2012 veröffentlicht wurde, stammen die zu betrachtenden korrespondieren Referenzen zu den IT-Entwicklungsmodellen aus der gleichen Zeit[29].

Die Bewertung von Qualitätsmanagementsystemen durch standardisierte Verfahren ist in der IT genauso gesellschaftlicher Kritik zu unterziehen wie der Gesetzestext der vorliegenden Grundverordnung. Fünf Jahre sind lang, insbesondere wenn es um die Bereitstellung von (Qualitäts-)Managementsystemen geht, die gerade die Kontrolle unterstützen sollen.

In der Praxis sollte aus Perspektive der Informationstechnik für alle möglichen Zertifizierungsverfahren mindestens gelten,

  •  dass sich die den Zertifizierungsverfahren inhärenten Kriterien an den Anforderungen der datenschutzkonformen Technikgestaltung aus Art. 25 DS-GVO und
  •  in der Praxis aus dem Betrieb, der Wartung und der Weiterentwicklung an den implementierten Prozessen zur S icherheit der Verarbeitung (Art. 32 DS-GVO),
  • wie auch an den Anforderungen einer Datenschutzfolgenabschätzung (Art. 35 DS-GVO) orientieren müssen.

Im Hinblick auf die technischen Herausforderungen empfiehlt es sich, mit dem Aufbau eines Datenschutzmanagements innerhalb des QM und des dazugehörigen Systems zu beginnen.

Mehrheitlich beziehen sich Beschwerden von Bürgerinnen und Bürgern, die besonders einer technischen Bewertung bedürfen, auf einen konkreten IT-Dienst und dessen Anwendung aus persönlicher Perspektive.

Bürgerinnen und Bürger in der Rolle der Anwenderinnen und der Anwender beschreiben ihren Bedarf, was durch die zuständige Aufsichtsbehörde zu prüfen ist, aufgrund der sichtbaren bzw. „erfahrbaren“ Schnittstellen. Eine der sichtbarsten Schnittstellen ist ein Web-Portal, über das Nutzende auf eine IT-Infrastruktur zugreifen und damit eine Web-Anwendung wahrnehmen.

Über ein Web-Portal kann suggeriert werden, dass die Anwenderinnen und die Anwender alle unterliegenden Geschäftsprozesse bzw. Workflows kennen. Die IT-Anwendungen folgen aber nicht den nationalen Grenzen, sondern der Infrastruktur des Internet oder auch der Implementierung von „on-the-top“-Diensten im Web.

Die Aufsichtsbehörden müssen vermitteln, erklären, prüfen und gegenüber Organisationen und Unternehmen entscheiden, ob die Verarbeitung datenschutzkonform ist. Gleichzeitig ist durch die zuständige Aufsichtsbehörde konsequent einzufordern, dass Betroffenenrechte der Auskunfts- und Informationspflichten durch Organisationen und durch Unternehmen selbst realisiert werden.

Die Erklärung, welche personenbezogene Daten für welchen Zweck konkret in zu IT-Plattformen integrierten Systemen verwendet werden, ist im Rahmen der ohnehin bestehenden Auskunftspflicht durch die Verantwortlichen mit Unterstützung der jeweiligen System-Betreibenden und Auftragsverarbeiter zu leisten.

In Zukunft wird noch zu klären sein, ob die von der Grundverordnung geforderten und geförderten technischen Anforderungen im Zusammenhang mit dem Datenschutz geeignet sind, den Bedürfnissen der Bürgerinnen und Bürger auch Rechnung zu tragen.

Julia Stoll Seit August 2015 ist Dipl.-Inform. Julia Stoll Referatsleiterin Informatik beim Hessischen Datenschutzbeauftragten. Nach ihrem Studium an der Technischen Universität Darmstadt war sie mehr als 15 Jahre im Bereich der Software-Entwicklung in Unternehmen und an Hochschulen im In- und Ausland tätig – so in Frankreich, Finnland und in den Niederlanden. Sie interessiert sich besonders für die Wechselwirkungen zwischen IT und gesellschaftlichen Veränderungen.

Maria Christina Rost ist Referentin in der Bußgeldstelle und persönliche Referentin des Hessischen Datenschutzbeauftragten. Vor ihrer Tätigkeit beim HDSB war sie in der Kanzlei des Hessischen Landtags, im Ministerium für Schule und Weiterbildung NRW und als Rechtsanwältin tätig.

[1] S. u.a. Art. 6, 7, 8, 9 und 10 DS-GVO.

[2] Ziele der Qualitätssicherung bei der Übernahme der Verfahren aus dem militärischen Bereich in Unternehmensstrukturen sind u.a.: „Systems for measuring conformance, and educating all employees and suppliers so that quality, corrective action and defect prevention become routine.“ oder auch „Operations so that procedures, products and systems are proven before they are implemented and are then continually examined” in Corsby, P.B.: Quality Without Tears: The Art of Hassle-Free Management, New York 1984.

[3] Ein prägendes Modell der 1990er Jahre ist „Capability Maturity Model Integration (CMMI)“ – erste Veröffentlichungen ab 1991 und heute weiterhin zu finden unter: CMMI for Development, Version 1.3: http://www.sei.cmu.edu/reports/10tr033.pdf (letzter Aufruf: 15.02.2017), Software Engineering Institute (SEI) oder auch im ISOStandard 15504.

[4] Ein sehr populäres, mehrfach aufgelegtes Übersichtswerk aus dem Bereich Software Engineering ist der gleichlautende Buchtitel von Sommerville, I.: Software Engineering. 1982 Addison-Wesley (first published), 2007 Pearson Education 9th Ed.

[5] Typisch ist der PDCA-Zyklus (oder auch Deming-Kreis bzw. StewhartZyklus), mit dem Probleme zu lösen und Verbesserungen herbeizuführen sind: Plan-Do-Check-Act. Dieses zyklische Modell geht schon auf die Betrachtung von W.A. Stewhart: Economic control of quality of manufactured product, New York, 1931 zurück.

[6] Anforderungen an QM und an QMS finden sich in einer Reihe von Standards, wie ISO 9000:2005 Quality management systems – Fundamentals and vocabulary; ISO 9001:2008 Quality management systems – Requirements; ISO 9004:2009 Managing for sustained success of an organization – a quality management approach, und spezieller zugeschnitten in ISO/IEC: 90003:2004 Software engineering – Guidelines for the application of ISO9001:2000 to computer software

[7] IT Infrastructure Library (ITIL) unter www.itil-officialsite.com (letzter Aufruf 15.02.2017 mit re-direct auf https://www.axelos.com/best-practice-solutions/itil); im Standardisierungsprozess mit der letzten Aktualisierung als IT Service Management (ITMS) unter ISO/ IEC 20000-2:2012: ein lesenswertes, etwas älteres, deutschsprachiges Übersichtswerk ist Beims, M.: IT-Service Management in der Praxis mit ITIL 3 – Zielfindung, Methoden, Realisierung, München 2009.

[8] S. hierzu Art. 28 DS-GVO.

[9] S. Kapitel V DS-GVO

[10] Vergleiche den Abschnitt zu Rahmenbedingungen aus der Perspektive der Informationstechnik.

[11] Vergleiche auch den Abschnitt zu Rahmenbedingungen aus Perspektive der Informationstechnik.

[12] Aus der jetzt schon bestehenden Not, die eigenen Unternehmenswerte zu schützen, lassen sich Anforderungen aus dem Bereich der Daten sicherheit und der ggf. kostenintensiveren Entwicklung begründen. Dabei wird vergessen, dass die Datensicherheit ihren Ursprung im Datenschutz hat.

[13] M.w.N. Feik/Lewinski, ZD 2014, 59 ff

[14] Vgl. Spindler, ZD 2016, 407.

[15] S. Art. 42 Abs. 7 DS-GVO.

[16] Vergleiche Zusammenhang zwischen Dienstleistungen und IT-Diensten in Abschnitt Ausgangslage: DS-GVO und rechtliche Bewertungen in der Informationstechnik.

[17] Die Verschlüsselung von Datenbeständen gewährleistet sehr wahrscheinlich Datensicherheit, wenn die Härte bzw. gängigen Qualitätsanforderungen an kryptographische Verfahren berücksichtigt werden. Trotzdem ist nicht in allen Fällen vorgeschrieben, dass die Daten am Speicherort generell zu verschlüsseln sind. Wenn z.B. personenbezogene Daten mit der bisherigen Bewertung eines hohen Schutzbedarfs verarbeitet werden, dann ist davon auszugehen, dass im Schadensfall ein hohes Risiko besteht und dass die Betroffenen in ihren Freiheits- und Persönlichkeitsrechten eingeschränkt sein können. Aber dass muss nicht mit dem Risiko, das zwingend mit der Eintrittswahrscheinlichkeit bewertet wird (Erwägungsgründe 78 und 79), übereinstimmen. In diesem Beispiel ist allerdings davon auszugehen, dass eine Abwägung auf ähnliche und zu ergreifende Maßnahmen führen wird, um sowohl eine mögliche Eintrittswahrscheinlichkeit zu senken, als auch die personenbezogenen Daten zu schützen. Eine solche Maßnahme wäre, dass z.B. die Systemadministratoren auch im Wartungsfall keinen tatsächlichen Zugriff auf die personenbezogenen Daten haben, weil sie auch am Speicherort verschlüsselt sind.

[18] Hullen, in: Plath, BDSG/DS-GVO, Art. 57 DS-GVO, Rn. 1.

[19] EWG 122; 124,125,126,127,128.

[20] Art. 57 Abs. 1 lit. a DS-GVO.

[21] EWG 123, Satz 1.

[22] Vgl. Art. 68 DS-GVO.

[23] Art. 36 Abs. 2 S. 1 DS-GVO

[24] Art. 36 Abs. 2 S. 2 DS-GVO.

[25] Art. 36 Abs. 2 S. 3 DS-GVO.

[26] S. Körffer, in: Paal/Pauly DS-GVO Art. 58 Rn. 2.

[27] EWG 129.

[28] S. § 43 Abs. 3 BDSG.

[29] Ein Übersichtswerk mit Übersetzung in die deutsche Sprache ist Wallmüller, E.: Software Quality Engineering – ein Leitfaden für bessere Software-Qualität, München 2011.