Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Vorsorge ist besser als Nachsorge

Die neue Datenschutzgrundverordnung (DSGVO) regelt den Datenschutz in der EU neu und vereinheitlicht ihn. Das bisherige Bundesdatenschutzgesetz (BDSG) wird an die Vorschriften der DSGVO angepasst. Viele Aspekte des alten BDSG finden sich nun in ähnlicher Weise in der DSGVO wieder. Einige Bereiche des Datenschutzes, u.a. die IT-Sicherheit, haben jedoch erheblich an Bedeutung gewonnen. „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ heißt es jetzt. Was verbirgt sich dahinter?

Was sind die gesetzlichen Grundlagen?
In Art. 24 DSGVO sind Pflichten des für die Datenverarbeitung Verantwortlichen geregelt. Im Bereich des Beschäftigtendatenschutzes ist dies der Arbeitgeber. Er hat, unter Berücksichtigung der konkreten Gefährdung der erhobenen und verarbeiteten Daten, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt. In Art. 25 DSGVO werden dann bestimmte Grundsätze festgelegt,

   - wie Datenverarbeitungen gestaltet sein müssen („Datenschutz durch Technikgestaltung" = „Data
     protection by Design“) und

   - welche technischen Voreinstellungen vorzunehmen sind („Datenschutz durch datenschutzfreundliche
     Voreinstellungen“ = „Data protection by Default“).

Nach Art. 25 Abs. 1 DSGVO hat der Verantwortliche, unter Berücksichtigung des Stands der Technik, geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung, d.h. Ersatz der konkreten Namen durch künstliche Kennungen – zu treffen, um die Datenschutzgrundsätze (bspw. Datenminimierung) wirksam umzusetzen.

Nach Art. 25 Abs. 2 DSGVO muss der Verantwortliche durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass durch Voreinstellung grundsätzlich nur die personenbezogenen Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Ferner besagt Art. 32 DSGVO, dass Arbeitgeber, unter Berücksichtigung

   - des Stands der Technik,
   - der Implementierungskosten,
   - der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung sowie
   - der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte der
     Arbeitnehmer,

geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein dem Risiko angemessenes Schutzniveau hinsichtlich der Datensicherheit zu gewährleisten.

Das konkrete Schutzniveau bestimmt sich also gemäß Art. 25 DSGVO anhand des konkreten Einzelfalls unter Berücksichtigung des aktuellen Stands der Technik, der Kosten und der Gefährdung der zu speichernden Daten. Zudem ist mit Inkrafttreten der DSGVO gemäß Art. 32 Abs. 1 DSGVO das von dem Datenverarbeitungsverfahren ausgehende Risiko einer möglichen Beeinträchtigung von Persönlichkeits- und Freiheitsrechten mit zu berücksichtigen und das ggf. vorhandene Risiko mittels einer Datenschutz-Folgenabschätzung vor Inbetriebnahme zu bewerten.

Was bedeutet „Datenschutz durch Technikgestaltung“?
Datenschutz durch Technikgestaltung (Data protection by Design, Art. 25 Abs. 1 DSGVO) bedeutet, dass bereits bei der Planung und Entwicklung von IT-Systemen die Ziele des Datenschutzes und der Datensicherheit zu berücksichtigen sind. Es geht also darum, die Systeme so zu entwickeln und zu programmieren, dass diese bereits „von Haus aus“ datenschutzfreundlich sind. Dies kann beispielsweise dadurch umgesetzt werden, dass bestimmte Datenverarbeitungen bereits technisch ausgeschlossen werden. Schon bei der Programmierung von Datenverarbeitungsprogrammen oder durch Umprogrammierung im Nachhinein müssen also technische Möglichkeiten des Datenschutzes berücksichtigt werden.

Beispiele
   - Deaktivierung bestimmter Datenverarbeitungsfunktionen, die für den beabsichtigten Zweck nicht
     benötigt werden,

   - Anonymisierung oder Pseudonymisierung der gespeicherten Daten,
   - Verschlüsselung,
   - Authentifizierungsfunktion, um technisch sicherzustellen, dass nur die tatsächlich Berechtigten
     Personen Zugriff auf die gespeicherten Daten haben


Getreu dem Motto „Der beste Datenschutz besteht in der Datenvermeidung“ muss der Arbeitgeber durch diese technische Maßnahmen sicherstellen, dass nur solche Daten erfasst werden können, die für die verfolgten Zwecke der Datenverarbeitung auch wirklich erforderlich sind. Diese Grundsätze sollten bereits bei Auftragserteilung mit vereinbart und durch den Arbeitgeber entsprechend dokumentiert werden.

Beispiel
Bei einem Dienstplanungsprogramm ist bereits im Vorfeld darauf zu achten, dass es technisch so programmiert ist, dass nur die wirklich notwendigen Daten für die Dienstplangestaltung überhaupt erfasst und gespeichert und darüber hinausgehende Daten (bspw. Leistung und Verhalten) erst gar nicht im Dienstplanungsprogramm erfasst werden können. Dies ist bei der Auswahl des Programms zu berücksichtigen. Im Zweifel ist der Arbeitgeber gehalten, sich bei der Auswahl zwischen verschiedenen Dienstplanungsprogramme für das zu entscheiden, das einen höheren Datenschutz gewährleistet.

Was bedeutet „Datenschutz durch datenschutzfreundliche Grundeinstellungen“?
Der Arbeitgeber hat den Schutz von personenbezogenen Daten durch entsprechende datenschutzfreundliche Voreinstellungen (Data protection by Default, Art. 25 Abs. 2 DSGVO) zu gewährleisten. Hierfür muss er durch Programmvoreinstellungen sicherstellen, dass nur solche personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck auch wirklich erforderlich sind.

Nach dem Grundsatz der Datenvermeidung und Datensparsamkeit sind so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Datenschutzfreundliche Voreinstellung verfolgt daher den Zweck, dass sich IT-Systeme durch Voreinstellungen auf das zur Erfüllung des Vertragszwecks erforderliche Maß beschränken. Wesentliche Elemente der Datensparsamkeit sind

   - die Trennung personenbezogener Identifizierungsmerkmale und Inhaltsdaten, d.h. die konkreten Daten
     sollen nicht mit einzelnen Personen verknüpft sein, soweit nicht erforderlich,
   - die Verwendung von Pseudonymen und Anonymisierung sowie
   - die Löschung personenbezogener Daten, sobald diese zur Erreichung des verfolgten Zwecks nicht
     mehr benötigt werden.

Der Unterschied zu Datenschutz durch Technikgestaltung ist (vereinfacht gesagt) der, dass Datenschutz durch Technikgestaltung bereits im Vorfeld vor der Anschaffung der Software ansetzt, während Datenschutz durch datenschutzfreundliche Grundeinstellungen erst zum Zuge kommt, wenn mit einem vorhandenen Datenverarbeitungsprogramm gearbeitet werden soll.

Beispiel
Der Arbeitgeber möchte für die Beschäftigten Diensthandys zur Verfügung stellen.

1.Schritt: Im Rahmen des Datenschutzes durch Technikgestaltung stellt sich die Frage, welches der zur Verfügung stehenden Modelle er anschafft. Dies ist abhängig vom Zweck der Diensthandys: Geht es nur um die telefonische Erreichbarkeit, wird ein ganz normales Handy ausreichen. Sollen jedoch auch dienstliche E-Mails empfangen werden, wird er sich für ein internetfähiges Handy (Smartphone) entscheiden müssen. Es gilt: Der Arbeitgeber muss sich unter Berücksichtigung des beabsichtigten Zweckes für das Modell entscheiden, was aufgrund seiner technischen Möglichkeiten die geringste Gefahr für die persönlichen Daten der Beschäftigten darstellt.

2. Schritt: Im Rahmen des Datenschutzes durch datenschutzfreundliche Grundeinstellungen hat der Arbeitgeber dann darauf zu achten, dass lediglich die Funktionen am Handy aktiviert sind, die für den beabsichtigten Zweck tatsächlich auch erforderlich sind. Ist über das Handy eine GPS-Ortung möglich oder das Auslesen der Telefondaten, sind vor Nutzung der Diensthandys diese Funktionen zu deaktivieren bzw. der Personenkreis zu beschränken, der Zugriff auf diese Daten nehmen kann.

Was bedeutet dies für Betriebsräte?
Datenschutz durch technische Maßnahmen erlangt also durch die neue DSGVO einen noch höheren Stellenwert als bislang. Darauf sollten sich Betriebsräte einstellen und bestehende Betriebsvereinbarungen vor allem unter dem Gesichtspunkt der Grundsätze des Datenschutzes durch Technikgestaltung und der datenschutzfreundliche Grundeinstellungen überarbeiten und neu verhandeln.

Praxistipp
Betriebsräte sollten mit Blick auf die Datenschutz-Grundverordnung gegenüber dem Arbeitgeber fordern, dass die Grundsätze des Datenschutzes (zugeschnitten auf die konkrete betriebliche Situation) technisch in die verwendeten Programme integriert werden und künftig nur solche Programme ausgewählt werden, die die Grundsätze des Datenschutzes berücksichtigen.

Es empfiehlt sich diesbezüglich zunächst Kontakt zum betrieblichen Datenschutzbeauftragten aufzunehmen und bei Bedarf einen technischen Sachverständigen sowie anwaltliche Unterstützung hinzuzuziehen. Wir beraten Sie gern in diesen Fragen.

Rechtsanwalt Stephan Puhlmann