Erste DSGVO-Urteile vollstreckt: Warum Datenschutz jetzt auf die Agenda von Entscheidern gehört
Lesezeit: 3-4 Minuten
Ihre Mehrwerte: "Bis zu 20 Mio. EUR Bußgelder je Verstoß“, „Revolution im Datenschutz“, „Das Haftungsrisiko für Entscheider der Zukunft“, „Scharfes Schwert gegen Facebook & Co.“ – es geistern viele Überschriften zur EU-DSGVO umher, welche am 25.5.2018 in Kraft trat. Wir wollen Ihnen im folgenden Artikel einen bündigen Überblick zu den Anforderungen der EU-DSGVO und ihrer Bedeutung für die Unternehmenscompliance sowie die daraus folgenden (privaten) Haftungsrisiken von Entscheidern geben. Des Weiteren werden mögliche Versicherungsoptionen (z.B. D&O Versicherung, "DSGVO Versicherung" und Cyber Versicherung) thematisiert, um Ihr Unternehmen "DSGVO-ready" aufzustellen.
Darüber hinaus haben wir für unsere Mandanten ein kostenloses Webinar am 06.02.2018 veranstaltet. Themen waren hier:
- die wesentlichen Aspekte der EU-DSGVO
- praxisnahe Tipps für Umsetzungsprojekte
- Haftungsrisiken für das Unternehmen und persönliche Haftungsrisiken von Entscheidern sowie Absicherungskonzepte (DSGVO-Versicherungskonzept)
Die Referenten im Webinar waren der renommierte Experte für Informationstechnologierecht Dr. Lutz Keppeler (Rechtsanwalt bei Heuking Kühn Lüer Wojtek) und D&O- & Cyber Crime-Spezialist und Rechtsanwalt Boris Prochazka (MRH Trowe Financial Lines Versicherungsmakler und verantwortlich für unser DSGVO Versicherungsteam). Sie finden den Mitschnitt unter dem Fachartikel. Zusätzlich senden wir Ihnen gerne die Unterlage des Webcasts zu. Dieser können Sie sowohl die wesentlichen Aspekte der EU-DSGVO entnehmen, also auch Hinweise zu Umsetzungsprojekten sowie Erfahrungen eines auf DSGVO-spezialisierten Versicherungsmaklers bei der Erstellung von DSGVO-Versicherungskonzepten.
Sie haben Fragen oder benötigen ein DSGVO-Versicherungskonzept? Schreiben Sie uns an
Die EU-DSGVO steht vor der Tür:
Warum Datenschutz jetzt auf die Agenda von Entscheidern gehört
Lesezeit: 3-4 Minuten
Ihre Mehrwerte: Der folgende Artikel gibt Ihnen einen ersten, bündigen Überblick zu den Anforderungen der EU-DSGVO und ihrer Bedeutung für die Unternehmenscompliance sowie die daraus folgenden (privaten) Haftungsrisiken von Entscheidern. Des Weiteren werden mögliche Versicherungsoptionen (z.B. D&O Versicherung und Cyber Versicherung) am Rande thematisiert. Weite Teile sind in Anlehnung des Webcasts von Dr. Lutz Martin Keppeler (Rechtsanwalt und Datenschutzexperte der Wirtschaftskanzlei Heuking Kühn Lüer Wojtek) un Rechtsanwalt Boris Prochazka vom 6.2.2018 verfasst worden. Interessierte können sich die Aufzeichnung des Webcasts unter dem Fachartikel anschauen.
Sie haben schone heute Fragen? Schreiben Sie uns an dsgvo@directors-and-officers-versicherung.com
Autoren: Boris Prochazka und Alexander Trowe (MRH Trowe)
1. Die EU-DSGVO im Vergleich zur bisherigen Rechtslage
Bei vielen deutschen Unternehmen herrscht trotz zweijähriger Übergangsfrist Unsicherheit, ob ihre IT- und Datenverarbeitungsprozesse mit den Anforderungen des neuen EU-Datenschutzregimes (EU-DSGVO) konform sind. Soll die Verordnung des Europäischen Parlaments und Rates in Zeiten von global operierenden "Datenaggregatoren" wie Facebook, Apple, Google und Amazon & Co. doch nicht weniger erreichen, als die Rechte "natürlicher Personen" zu schützen und Gerichte mit entsprechenden Werkzeugen auszustatten, um die Einhaltung durch einen angemessenen Rechtsrahmen sowie empfindliche Strafen sicherstellen zu können. Auch oder gerade wegen der Entwicklung oben genannter Internetkonzerne zu Datenmonopolisten im europäischen Rechtsraum.
Als Folge ist fest davon auszugehen, dass die neue Datenschutzverordnung auch den Umgang von Startup-Unternehmern und Mittelständlern erheblich verändern und bei Zuwiderhandlung zu erheblichen Strafen führen wird. Hier wird es interessant zu beobachten sein, inwiefern bei genannten Unternehmen der Bußgeldrahmen von bis zu 20 Mio. EUR oder 4% des weltweiten Konzernumsatzes ausgeschöpft wird.
DSGVO-Versicherungskonzept noch offen? Schreiben Sie direkt an unsere DSGVO-Experten via: dsgvo@directors-and-officers-versicherung.com
Die folgende Abhandlung soll Entscheidern in Unternehmen:
- eine bündige Übersicht zu den Änderungen an die Hand geben,
- einen Rückblick sowie einen Ausblick auf künftige Rechtsprechung im Datenschutzumfeld wagen
- die persönliche Haftungsthematik von Entscheidern mit Blick auf den neuen Sanktionsrahmen ansprechen und
- Hilfestellung zum Umgang mit der EU-DSGVO sowie den Haftungsrisiken geben
Wir bieten Ihnen zudem an, sich unser Webinar - in Zusammenarbeit mit Dr. Lutz Martin Keppeler (renommierter Datenschutzexperte der Wirtschaftskanzlei Heuking Kühn Lüer Wojtek) vom 6.2.2018 unter dem Fachartikel anzuschauen.
Die folgende Abhandlung soll Entscheidern in Unternehmen:
- eine bündige Übersicht zu den Änderungen an die Hand geben,
- einen Rückblick sowie einen Ausblick auf künftige Rechtsprechung im Datenschutzumfeld wagen
- die persönliche Haftungsthematik von Entscheidern mit Blick auf den neuen Sanktionsrahmen ansprechen und
- Hilfestellung zum Umgang mit der EU-DSGVO sowie den Haftungsrisiken geben
Hier werden die Themen dieser Abhandlung für Sie weiter vertieft und Empfehlungen zu einem EU-DSGVO-Umsetzungsprojekt aus Projekterfahrung gegeben.
1.1. EU-DSGVO: ein kurzer Überblick
Die EU-DSGVO tritt nach einer Übergangsfrist am 25. Mai 2018 endgültig in Kraft. Grundprinzipien der bisherigen Datenschutzregulierung gemäß Bundesdatenschutzgesetz (BDSG) wie z.B. »Zweckbindung«, »Datenminimierung« und »Transparenz« und die damit verbundene Notwendigkeit einer Einwilligung für die betriebliche Datenverarbeitung sind weiterhin im Datenschutz maßgeblich. Gleiches gilt für die Sorgfaltspflicht bei der Übermittlung in Drittstaaten (Stichwort Cloud-Speicherung).
Hieraus wäre es jedoch falsch abzuleiten, dass das EU-DSGVO nur marginale Änderungen mit sich bringt, wie wir im folgenden Abschnitt "Wesentliche Neuerungen der EU-Datenschutzgrundverordnung" aufzeigen werden. Viel wichtiger ist es hieraus als Entscheider das Verständnis abzuleiten, dass bei der Entwicklung des Datenschutzes zwar Bausteine erhalten bleiben, diese jedoch erheblich modifiziert und mit neuen Anforderungen ergänzt wurden. Ferner wurde der bisherigen Bußgeldrahmen – bis zu 300.000 EUR für ein Vergehen (§ 43 Abs. 2 BDSG) - drastisch erweitert.
Begleitend hat der Gesetzgeber - anders als in der Vergangenheit - deutlich kommuniziert von Sanktionen und Bußgeldern künftig Gebrauch machen zu wollen, um auch globale Internetgiganten zur Compliance mit den Datenschutzanforderungen zu bewegen. Dies bedeutet zusammengefasst, dass die EU-DSGVO der Startschuss für ein neues "Regime" im Datenschutz sein kann und dementsprechend in der eigenen Organisation eine ganz andere Bedeutung einzunehmen hat, denn weitere Entwicklungsstufen sind bereits absehbar (siehe hierzu EU-Diskussion um "ePrivacy").
1.2. Rückblick: Datenschutz in den letzten Jahrzehnten
Um die Diskussionen bzgl. des neuen Stellenwerts einordnen zu können, empfiehlt sich ein Blick in den Status quo zum Thema Datenschutz. Der Schutz persönlicher Daten fand mit dem Hessischen Datenschutzgesetz von 1970 weltweit seinen Anfang und nahm mit der Anpassung des Bundesdatenschutzgesetzes in 1990 einen weiteren Meilenstein. Jedoch blieb die Gesetzesgrundlage - wenige Novellierungen ausgenommen - unverändert und spiegelte die in der Zwischenzeit entstandene, datengetriebene Internetökonomie nicht ausreichend wider. Darüber hinaus wurden Zuwiderhandlungen gegen geltendes Datenschutzrecht nur in Ausnahmefällen mit dann sehr geringen Bußgeldern belegt.
Neben der Tatsache, dass in der Vergangenheit nur eine verschwindend geringe Anzahl an Datenschutzverstößen (gewollt) zivilrechtlich verfolgt wurde, sind oben aufgeführte Beispiele auch erst in jüngster Vergangenheit ausgesprochen wurden. Es lässt sich also konstatieren, dass Investitionen in Datenschutz aus wirtschaftlicher Sicht mit Blick auf Bußgeldzahlung in der Vergangenheit nicht zu rechtfertigen waren sowie die Geschäftsführer- bzw. Managerhaftung hieraus sehr überschaubar war. Ein Status, der sich mit dem EU-DSGVO grundsätzlich ändert. Dies wollen wir Ihnen anhand drei wesentlicher Säulen bündig erläutern:
- Schärfung der Grundbegriffe und damit deutliche Ausweitung des Anwendungsfeldes
- Erweiterte Pflichten und damit wesentliche höhere Anforderungen an Compliance als bisher
- Drastisch verschärfter Sanktions- und Bußgeldrahmen
Und dies gestützt durch den klaren Willen der Aufsichtsbehörden diese künftig im Sinne des Datenschutzes von natürlichen Personen umzusetzen und bei Zuwiderhandlungen mit empfindlichen Sanktionen zu ahnden.
2. Grundbegriffe der EU-DSGVO
Mit Anpassung wesentlicher Begriffsdefinitionen wurden die Hürden, um Verletzungen gegen das EU-DSGVO zu begehen, deutlich abgesenkt. Das Anwendungsfeld wiederum deutlich erweitert. Die angepassten Definitionen der Grundbegriffe stellen somit eine der wesentlichen Quellen für eine Datenschutzverletzung dar und sollen im Folgenden kurz auszugsweise vorgestellt werden:
Personenbezogene Daten
sind »alle Informationen«, die sich auf eine natürliche Person beziehen. Ferner gilt dies auch für Informationen, die mithilfe des »aktuellen Technologiestands eine Zuordnung« zu einer natürlichen Person ermöglichen. Hierunter kann zum Beispiel die Nutzung einer Online-Kennung ("IP-Adresse") verstanden werden, die mithilfe weiterer Informationen eine genaue Zuordnung ermöglicht. Als Folge hieraus sind die im späteren Verlauf skizzierten Anforderungen auch auf solche Fälle anwendbar und der Sanktionsrahmen findet bei Nichtbeachtung entsprechend Anwendung.
Es gilt daher zu berücksichtigen:
- Die Güte der Information spielt keine wesentliche Rolle mehr ("alle Informationen")
- Mit Bezug auf den "aktuellen Stand der Technologie" ist nunmehr sichergestellt, dass alle Informationen, die sich zuordnen lassen, unter diese Definition fallen
- Lediglich rein statistische Informationen unterliegen nicht der EU-DSGVO
(Auszug aus Datenschutzverordnung) </p> <p style="text-align: justify;">Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Artikel 4 Abs. 1)</p> <p style="text-align: justify;">Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solch anonymer Daten, auch für statistische oder für Forschungszwecke. (Artikel 1 Abs. 26)</p> <p style="text-align: justify;">In der Originalquelle nachlesen: <a href="http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE">EU-DSGVO </a></p> <p style="text-align: justify;">
Verantwortliche
Zur Erfüllung der EU-DSGVO sind nach der neuen Verordnung »sämtliche natürliche und juristische Person« sowie Behörden oder Einrichtungen verpflichtet, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel einer Datenverarbeitung entscheiden. Hieraus folgt, dass jede Tochtergesellschaft in einem Konzern als separate Einheit zu betrachten ist und daher Entscheider von Tochtergesellschaften nun auch verantwortlich für Datenschutz sind. Haftung im Datenschutz ist somit nicht alleine ein Thema der Holdingfirma. Des Weiteren wird eine Delegation der Haftung durch z.B. Outsourcing an Dienstleister (z.B. Cloud-Betreiber) mit erheblichen Auflagen und Einschränkungen versehen, die eine wirksame Enthaftung beschränken. Künftig ist sowohl eine sorgsame und fachmännische Auswahl eines Dienstleisters nachzuweisen, adäquates Risikomanagement und Controlling des Dienstleisters sowie juristisch klar abgegrenzte Aufgaben- und Haftungsbereiche im Datenschutz.
(Auszug aus Datenschutzverordnung) </p> <p style="text-align: justify;">Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden (Artikel 1 Abs. 7 Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die - insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen - hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen - auch für die Sicherheit der Verarbeitung - getroffen werden, die den Anforderungen dieser Verordnung genügen. Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen (Artikel 1 Abs. 81)</p> <p style="text-align: justify;">In der Originalquelle nachlesen: <a href="http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE">EU-DSGVO</a></p> <p style="text-align: justify;">
Verarbeitung
»Jegliche Handlung«, die sich auf personenbezogene Daten bezieht, ist als Verarbeitung anzusehen. Aus juristischer Sicht kommt künftig der Beurteilung des Vorgangs (Speicherung, Weiterleitung, Nutzung etc.) keine wesentliche Bedeutung mehr zu, sodass alles als Verarbeitung zählt. Eine sehr weite Definition, die eine Vielzahl an Tätigkeiten in den Rechtsraum der EU-DSGVO verschiebt.
(Auszug aus Datenschutzverordnung) </p> <p>"Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. (Artikel 4 Abs. 2)</p> <p style="text-align: justify;">In der Originalquelle nachlesen: <a href="http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE">EU-DSGVO </a></p> <p style="text-align: justify;">
"Die EU-DSGVO stellt den Startschuss in eine neue Zeitrechnung im Datenschutz dar. Während man bislang die traurige Bilanz ziehen konnte, dass sich der Datenschutzverstoß wirtschaftlich häufig gelohnt hat, deutet vieles daraufhin, dass diese Zeit nun vorbei ist."Dr. Lutz Martin Keppeler (Heuking Kühn Lüer Wojtek)
"Die EU-DSGVO stellt den Startschuss an eine neue Zeitrechnung im Datenschutz dar. Während man bislang die traurige Bilanz ziehen konnte, dass sich der Datenschutzverstoß wirtschaftlich häufig gelohnt hat, deutet vieles daraufhin, dass diese Zeit nun vorbei ist."Dr. Lutz Martin Keppeler (Heuking Kühn Lüer Wojtek)
2.1. Erweiterte Pflichten der EU-DSGVO
Neben einer Schärfung der Begrifflichkeiten sind eine Reihe an Änderungen zu berücksichtigen. So statuiert die EU-DSGVO erweiterte Pflichten der Unternehmen in Bezug auf die Verarbeitung (beachten Sie die oben aufgeführte „weite Definition“) der Kundendaten. Diese sind auszugsweise:
Transparenzpflicht
Eine betroffene Person hat ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten. Dieses Recht muss ohne große Hürden und in angemessenen Abständen wahrgenommen werden können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.
Kopplungsverbot
Künftig ist direkt im Datenschutz (EU-DSGVO) ein Kopplungsverbot verankert. Als Beispiel ist ein Onlinehändler denkbar, der in den Bestellprozess die Einwilligung zur Verwendung der Daten für Werbezwecke zwingend integriert. Diese „Kopplung“ ist mit EU-DSGVO kritisch zu sehen, besteht doch künftig das Rechtsrisiko hier im Falle einer strengen Auslegung der Aufsichtsbehörden sanktioniert zu werden. Ergänzend sei hier jedoch angefügt, dass sich das konkrete Verständnis aufgrund einer gewissen Uneindeutigkeit der Verordnung durch die Rechtsprechung herausbilden muss.
Portabilität
Es gibt eine neue Portabilitätsverpflichtung für Daten, die der Betroffene selbst zur Verfügung gestellt hat. Diese müssen in gängigem Format wieder zur Verfügung gestellt werden und ggf. auf Wunsch sogar direkt an Dritte übermittelt werden. Auch hierdurch werden völlig neue Anforderungen an IT-Architekturen gestellt.
Dokumentations- und Berichtspflichten
Ausweitung der Meldepflicht binnen 72 Stunden bei Datenpannen an eine Aufsichtsbehörde auf jeden Vorfall, der ein »Risiko« für die Rechte und Pflichten der Betroffenen darstellt. Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden, wenn sie »voraussichtlich« zu einem »hohen Risiko« führt. Dabei sind zudem die (Mindest-) Anforderungen an den Inhalt einer solchen Meldung (siehe Art.33 Abs. 3 DSGVO) zu beachten. Die Anforderungen an datenverarbeitende Unternehmen wurden in diesem Bezug, im Verhältnis zum Bundesdatenschutzgesetz, also deutlich verschärft. So entfällt künftig die bisherige Einschränkung auf „sensible“ Daten. Um grundsätzlich Rechtssicherheit herzustellen, sollten Unternehmen interne Richtlinien und Verfahren entwickeln, die eine unverzügliche Meldung aller Datenschutzverstöße gewährleisten. Bei Überschreiten der 72 Stunden sind Bußgelder, nur im Falle einer stichfesten Begründung vermeidbar.
Löschpflicht
Die Löschpflicht wird erweitert. So sind Daten, die nicht mehr benötigt werden, zu löschen. Eine große Herausforderung für eine Vielzahl an Systemen, da eine Funktion des automatischen Löschens häufig nicht integriert wurde. Zudem soll die Privatsphäre im Internet mit dem „Recht auf Vergessenwerden“ deutlich geschützt werden. (Hierzu finden Sie weitere Informationen in Artikel 17)
Einwilligung
Die Erteilung der Einwilligung erfordert eine freiwillige, spezifisch informierte und eindeutige Handlung wie z. B. das Anklicken eines Kästchens auf einer Webseite oder die Auswahl technischer Einstellungen bei Online-Services. Keine Einwilligung stellen laut Erwägungsgrund 32 zur EU-DSGVO ein stillschweigendes Einverständnis, standardmäßig angekreuzte Kästchen oder Untätigkeit des Betroffenen dar. Zudem fordert die EU-DSGVO, dass in verschiedene Datenverarbeitungsvorgänge jeweils gesondert eingewilligt werden muss. Andernfalls soll es an der Freiwilligkeit fehlen.
Widerrufsrecht
Die Anforderungen an den Widerruf der Einwilligung wurden für den Betroffenen herabgesetzt. Der Betroffene muss seine Einwilligung »jederzeit« und »ohne Begründung« widerrufen können. Der Widerruf der Einwilligung ist mindestens so einfach zu gestalten wie die Abgabe. Der Betroffene kann insbesondere Datenverarbeitungen zu Zwecken des Direktmarketings, einschließlich der Profilbildung für diese Zwecke, widersprechen.
Beweislastumkehr
Ein weiterer wichtiger Aspekt ist schließlich die Beweislast für Datenschutzverstöße. Bisher musste der Betroffene darlegen, dass ein Datenschutzverstoß vorlag. Nunmehr obliegt es den Unternehmen und deren Entscheider selbst auf Nachfrage nachweisen zu können, dass die Datenverarbeitung rechtskonform war. Diese faktische Beweislastumkehr erhöht die Risiken mit den im folgenden Abschnitt drastisch verschärften Bußgeldern erheblich.
Aufgrund des hohen Interesses an "Cyber Risiken und was dies im Extremfall für Entscheider und deren Haftung bedeutet", haben wir zusammen mit den renommierten D&O-Fachanwalt Dr. Jöster und IT-Fachanwalt Dr. Keppeler die Ausgangs- sowie Rechtslage beleuchtet und einen Quick-Check für Unternehmen und Entscheider hinsichtlich "Cyberhaftung" entwickelt.
Einwilligung
Die Erteilung der Einwilligung erfordert eine freiwillige, spezifisch informierte und eindeutige Handlung wie z. B. das Anklicken eines Kästchens auf einer Webseite oder die Auswahl technischer Einstellungen bei Online-Services. Keine Einwilligung stellen laut Erwägungsgrund 32 zur EU-DSGVO ein stillschweigendes Einverständnis, standardmäßig angekreuzte Kästchen oder Untätigkeit des Betroffenen dar. Zudem fordert die EU-DSGVO, dass in verschiedene Datenverarbeitungsvorgänge jeweils gesondert eingewilligt werden muss. Andernfalls soll es an der Freiwilligkeit fehlen.
Widerrufsrecht
Die Anforderungen an den Widerruf der Einwilligung wurden für den Betroffenen herabgesetzt. Der Betroffene muss seine Einwilligung »jederzeit« und »ohne Begründung« widerrufen können. Der Widerruf der Einwilligung ist mindestens so einfach zu gestalten wie die Abgabe. Der Betroffene kann insbesondere Datenverarbeitungen zu Zwecken des Direktmarketings, einschließlich der Profilbildung für diese Zwecke, widersprechen.
Beweislastumkehr
Ein weiterer wichtiger Aspekt ist schließlich die Beweislast für Datenschutzverstöße. Bisher musste der Betroffene darlegen, dass ein Datenschutzverstoß vorlag. Nunmehr obliegt es den Unternehmen und deren Entscheider selbst auf Nachfrage nachweisen zu können, dass die Datenverarbeitung rechtskonform war. Diese faktische Beweislastumkehr erhöht die Risiken mit den im folgenden Abschnitt drastisch verschärften Bußgeldern erheblich.
Aufgrund des hohen Interesses an "Cyber Risiken und was dies im Extremfall für Entscheider und deren Haftung bedeutet", haben wir zusammen mit den renommierten D&O-Fachanwalt Dr. Jöster und IT-Fachanwalt Dr. Keppeler die Ausgangs- sowie Rechtslage beleuchtet und einen Quick-Check für Unternehmen und Entscheider hinsichtlich "Cyberhaftung" entwickelt.
2.2 Sanktionen und Ihre Haftungsrisiken als Entscheider
Schließlich und für Unternehmen von hoher Relevanz sind die empfindlich verschärften Sanktionsinstrumente der Aufsichtsbehörden, sollen diese doch letztlich Europäische Behörden in die Lage versetzen selbst den Internetgiganten (u.a. Google, Facebook, Apple, Amazon & Co.) mit empfindlichen Bußgeldern zur Compliance bewegen zu können. So gilt künftig bei Verstößen gegen die Bestimmungen der EU-DSGVO, dass Geldbußen von bis zu 4% des weltweiten Jahresumsatzes oder maximal 20 Mio. EUR drohen. Als Basis dient der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person. Auch wird interessant zu beobachten sein, wie die Aufsichtsbehörden mit der Auflage der "Verhältnismäßigkeit" und "Abschreckung" in Artikel 83 Abs. 1 der EU-DSGVO:
"Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist"
umgehen.
Das Bayerisches Landesamt für Datenschutzaufsicht hat bspw. in einem Kurzpapier folgendes verlauten lassen:
Ausblick zu drohenden Bußgeldern: "Aus den Sanktionsvorschriften der DSGVO spricht der deutliche Wille des Gesetzgebers, Datenschutzverstöße konsequent und bei Bedarf auch empfindlich zu ahnden. Dies ist ein deutliches Signal, dass sich eine Inkaufnahme von Datenschutzverstößen nicht lohnt. Unternehmen müssen den Datenschutz daher zwangsläufig noch mehr als bisher in den Fokus ihrer eigenen Aufmerksamkeit nehmen."
Rechtsexperten sehen hier erhebliche Risiken gerade auf Startups und den Mittelstand zukommen, da sich deren Strafmaß im Zweifel im Verhältnis mit oben genannten Internetgiganten bewegen muss.
Die EU-DSGVO stellt daher auch für die Versicherungswirtschaft eine große Herausforderung dar, wird doch mit einer erheblichen Zunahme an Schadenszenarien mit erheblichen Schadenhöhen im Datenschutzumfeld zu rechnen sein. Entscheidern, die im Zweifel im deutschen Rechtssystem mit ihrem Privatvermögen haften (siehe hier "Warum eine D&O-Versicherung sinnvoll ist"), ist daher, schon aus Eigeninteresse, dringend die entsprechende Aufstellung des Risikomanagements in Bezug auf Cyber & Data Security anzuraten. Denn analog anderer Themen des Risikomanagements sind Entscheider (Vorstand, Geschäftsführer, Manager) für die Einhaltung verantwortlich und haften hierfür im Zweifel unbegrenzt mit dem Privatvermögen. Dies gilt nun auch verstärkt für Entscheider von Tochterunternehmen in großen Holdingstrukturen. Hier gilt es o.g. Punkt 1.3 „Verantwortlicher" im Hinterkopf zu behalten, gemäß dem jede juristische Person individuell betrachtet wird und daher keine automatische Delegation der Verantwortung an die Holding stattfindet. Hieraus sollte sowohl ein stärkeres Interesse an den Risikomanagementmaßnahmen im eigenen Tochterunternehmen resultieren, also auch den Risikotransfer durch Versicherungslösungen stärker zu kontrollieren bzw. in die eigenen Hände zu nehmen.
Schadenersatzansprüche, Bußgeldvorschriften und Strafrechtlicher Verfolungsrahmen
Übersicht (hier klicken) </p> <p><strong><u>Schadenersatzansprüche</u></strong></p> <p style="text-align: justify;">Schadenersatzansprüche bemessen sich nach dem Art. 82 EU-DSGVO. Ersatzfähig sind sowohl materieller als auch immaterielle Schäden. Verantwortliche und Auftragsverarbeiter sind Haftende im Sinne der EU-DSGVO. Es besteht jedoch eine Möglichkeit zur Befreiung von der Haftung für beide, wenn sie den Schaden nicht zu vertreten haben. (Siehe hierzu unter "<span>2.2. Erweiterte Pflichten der EU-DSGVO:"</span><em> "Dokumentations- und Berichtspflichten"</em> sowie <em>"Beweilastumkehr"</em>)</p> <p><strong><u>Bußgeldvorschriften</u></strong></p> <ol> <li style="text-align: justify;">Bei <strong>Verstößen</strong> gegen die in Art. 83 Abs. 4 (a-c) EU-DSGVO aufgezählten Pflichten können Bußgelder in Höhe von bis zu <strong>10.000.000,00 EUR</strong> verhängt werden. Handelt es sich um ein Unternehmen, kann die Geldbuße in Höhe von bis zu <strong>2% des weltweiten Jahresumsatzes</strong> des vorangegangenen Geschäftsjahres liegen.</li> <li style="text-align: justify;">Kommt es zu <strong>Verstößen</strong>, die in Art. 83 Abs. 5 (a-e) EU-DSGVO benannt sind, kann die Geldbuße bei bis zu <strong>20.000.000,00 EUR</strong> liegen. Handelt es sich um ein Unternehmen, kann die Geldbuße bei bis zu <strong>4% des weltweit erzielten Jahresumsatzes</strong> des vorangegangenen Geschäftsjahres liegen.</li> <li style="text-align: justify;">Bei <strong>Nichtbefolgung einer Anweisung der Aufsichtsbehörde</strong> im Sinne des Art. 58 EU-DSGVO kann eine Geldbuße in Höhe von bis zu 20.000.000,00 EUR verhängt werden. Handelt es sich um ein Unternehmen, kann die Geldbuße bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Kalenderjahres betragen, Art. 83 Abs. 6 EU-DSGVO.</li> </ol> <p><strong><u>Strafvorschriften</u></strong></p> <p style="text-align: justify;">Die aktuelle Rechtslage bemisst sich nach Art. 84 EU-DSGVO i.V.m. <a href="https://www.datenschutz-wiki.de/BDSG:§_42">§ 42 BDSG</a>. Mit Freiheitsstrafe <strong>von bis zu 3 Jahren</strong> oder <strong>mit Geldstrafe</strong> wird bestraft, wer die in <a href="https://www.datenschutz-wiki.de/BDSG:§_42">§ 42 Abs. 1 Nr. 1-2 BDSG</a> aufgeführten Straftatbestände zu verantworten hat. Mit Freiheitsstrafe von bis zu 2 Jahren oder mit Geldstrafe wird bestraft, wer die in<a href="https://www.datenschutz-wiki.de/BDSG:§_42"> § 42 Abs. 2 Nr. 1 und 2 BDSG</a> verwirklicht.</p> <p style="text-align: justify;">In den <a href="http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE">EU-DSGVO</a> nachlesen</p> <p style="text-align: justify;">
Bei der International Corporation AG, die ausschließlich im tradierten Handel mit Kühlaggregaten für Kernkraftwerke tätig ist, haben Wettbewerber im Nachgang zu den EU-DSGVO Schwachstellen in der Datenschutzerklärung auf der Firmenhomepage entdeckt. Da der Firmenwebsite lediglich die Funktion als "Online-Visitenkarte" zu kam, hatte die International Corporation AG der Website wenig Bedeutung beigemessen. Durch den Hinweis des Wettbewerbers ist sie nun in das Blickfeld der Aufsichtsbehörden geraten und mit einer erheblichen Geldbuße in Höhe von 2 Mio. EUR belegt worden. Auf eine Versicherungslösung konnte nicht zurückgegriffen werden. Der Datenschutzbeauftrage der Firma wurde daraufhin entlassen.
Die Startup GmbH hat gerade ihr 1-jähriges Jubiläum hinter sich. Erfreulicherweise konnte im Vormonat das Jahresziel vorzeitig erfüllt werden, sodass die zwei Geschäftsführerinnen sehr optimistisch in die Zukunft blickten. Am Tag nach dem Jubiläum wird die Startup GmbH jedoch Opfer eines Hackerangriffs, bei dem durch ein bekanntes Einfallstor des CMS-Systems Kundendaten erbeutet werden konnten. Dieses Einfallstor hätte durch ein Update der Firewall-Software verhindert werden können, dies ging jedoch im Tagesgeschehen unter. Als Erpressungen ins Leere laufen, veröffentlichten die Täter die Daten. Da kein Versicherungsschutz vorhanden ist und Bußgelder in sechsstelliger Höhe verhängt wurden, müssen die beiden Geschäftsführerinnen das Unternehmen in die Insolvenz führen.
(Anmerkung: in Deutschland wurden gemäß der Cyber Sicherheitsumfrage 2016 der Allianz für Cyber-Sicherheit 66% der Unternehmen in Deutschland im Zeitraum von 2014-16 angegriffen - 44% hiervon erfolgreich)
Beim IT-Dienstleister der Muster AG wird ein Datenleck entdeckt. Hierbei sind sensible Daten öffentlich geworden. Mangels etablierter Prozesse konnten die Betroffenen nicht rechtzeitig darüber unterrichtet werden (>72 Stunden). Darüber hinaus fehlte zwischen der Muster AG und dem IT-Dienstleister ein auf die EU-DSGVO abgestimmtes Vertragswerk, sodass die Muster AG nicht nur für entstandene Schäden bei den Betroffenen haften, sondern neben einem Imageschaden auch für die Sanktionen in Höhe von 2% des weltweiten Konzernumsatzes aufkommen muss. Der betreuende Versicherungsmakler hatte zudem kein tragfähiges Versicherungskonzept (Zusammenspiel IT-Haftpflicht-, D&O-, Cyber Versicherung) entwickelt, sodass die Muster AG die Schäden komplett tragen muss. Der für die Auswahl des Versicherungsmaklers zuständige CFO, als auch der Abteilungsleiter der Rechtsabteilung müssen daraufhin ihre Posten räumen.
Bei der International Corporation AG, die ausschließlich im tradierten Handel mit Kühlaggregaten für Kernkraftwerke tätig ist, haben Wettbewerber im Nachgang zu den EU-DSGVO Schwachstellen in der Datenschutzerklärung auf der Firmenhomepage entdeckt. Da der Firmenwebsite lediglich die Funktion als "Online-Visitenkarte" zu kam, hatte die International Corporation AG der Website wenig Bedeutung beigemessen. Durch den Hinweis des Wettbewerbers ist sie nun in das Blickfeld der Aufsichtsbehörden geraten und mit einer erheblichen Geldbuße in Höhe von 2 Mio. EUR belegt worden. Auf eine Versicherungslösung konnte nicht zurückgegriffen werden. Der Datenschutzbeauftrage der Firma wurde daraufhin entlassen.
Die Startup GmbH hat gerade ihr 1-jähriges Jubiläum hinter sich. Erfreulicherweise konnte im Vormonat das Jahresziel vorzeitig erfüllt werden, sodass die zwei Geschäftsführerinnen sehr optimistisch in die Zukunft blickten. Am Tag nach dem Jubiläum wird die Startup GmbH jedoch Opfer eines Hackerangriffs, bei dem durch ein bekanntes Einfallstor des CMS-Systems Kundendaten erbeutet werden konnten. Dieses Einfallstor hätte durch ein Update der Firewall-Software verhindert werden können, dies ging jedoch im Tagesgeschehen unter. Als Erpressungen ins Leere laufen, veröffentlichten die Täter die Daten. Da kein Versicherungsschutz vorhanden ist und Bußgelder in sechsstelliger Höhe verhängt wurden, müssen die beiden Geschäftsführerinnen das Unternehmen in die Insolvenz führen.
(Anmerkung: in Deutschland wurden gemäß der Cyber Sicherheitsumfrage 2016 der Allianz für Cyber-Sicherheit 66% der Unternehmen in Deutschland im Zeitraum von 2014-16 angegriffen - 44% hiervon erfolgreich)
Beim IT-Dienstleister der Muster AG wird ein Datenleck entdeckt. Hierbei sind sensible Daten öffentlich geworden. Mangels etablierter Prozesse konnten die Betroffenen nicht rechtzeitig darüber unterrichtet werden (>72 Stunden). Darüber hinaus fehlte zwischen der Muster AG und dem IT-Dienstleister ein auf die EU-DSGVO abgestimmtes Vertragswerk, sodass die Muster AG nicht nur für entstandene Schäden bei den Betroffenen haften, sondern neben einem Imageschaden auch für die Sanktionen in Höhe von 2% des weltweiten Konzernumsatzes aufkommen muss. Der betreuende Versicherungsmakler hatte zudem kein tragfähiges Versicherungskonzept (Zusammenspiel IT-Haftpflicht-, D&O-, Cyber Versicherung) entwickelt, sodass die Muster AG die Schäden komplett tragen muss. Der für die Auswahl des Versicherungsmaklers zuständige CFO, als auch der Abteilungsleiter der Rechtsabteilung müssen daraufhin ihre Posten räumen.
3. Empfehlungen und Fazit
Aufgrund der neuen Anforderungen und der schärferen Sanktionen ist daher eine (erstmalige) intensive Überprüfung der eigenen Prozesse in Bezug auf Datensicherheit geboten. Hierbei ist insbesondere darauf zu achten, dass die Verantwortlichkeiten und Zuständigkeiten der Datenverarbeitung inner- und außerbetrieblich unmissverständlich und jederzeit nachvollziehbar strukturiert sind. Nur so ist das Kriterium der jederzeitigen Nachweisbarkeit rechtskonformer Datenverarbeitung zu erfüllen.
Auch sind fachliche Kenntnisse und Ressourcen im Unternehmen, aber auch bei Dienstleistern zu überprüfen und kritisch bzgl. der Anforderungen zu hinterfragen. Hier ist je nach Ergebnis mittels Training, Rekrutierung oder Auswahl anderer Dienstleister zu reagieren.
Vertragswerke sind zu sichten und auf die Anforderungen der EU-DSGVO anzupassen. So ist eine Anforderung der EU-DSGVO bei der Zusammenarbeit mit Dienstleistern die Aufteilung der Pflichten klar zu benennen. Ist dies nicht erfolgt, so kann das Unternehmen, aber letztendlich auch der Entscheider, für Strafen in Haftung genommen werden, die operativ eigentlich dem Wirkungsfeld des Dienstleisters zuzuordnen sind. Hier gilt, kein Aufwand, ohne Chancen. Im Zuge der notwendigen Vertragsanpassungen und -neugestaltungen ergeben sich Synergieeffekte mit einer Überprüfung und Anpassung der Einkaufskonditionen und Lieferbedingungen. Kosten aus entstandenem Aufwand aus den Vertragsanpassungen durch die EU-DSGVO können bei ausreichendem Potential sogar durch die Optimierung der Einkaufsverträge finanziert werden, wie die Einkaufsexperten von OCM Management Consultants in einem Fachbeitrag darlegen.
Gleiches gilt für die hard- und softwareseitige Dimension (IT-Sicherheit). Neben der automatischen Löschfähigkeit ist auch im Falle einer Anfrage durch Behörden bzw. berechtigte Stellen die Voraussetzungen zu schaffen, unverzüglich und vollständig Auskunft zu personenbezogenen Daten geben zu können. Wo dies technisch noch nicht möglich ist, sollte bis zum Inkrafttreten der EU-DSGVO nachgebessert werden. Gleiches gilt für adäquate Sicherheitsmaßnahmen, um Daten der Kunden entsprechend zu schützen und hier nicht grob fahrlässig zu handeln.
Darüber hinaus sollte die Überprüfung des Risikotransfers Teil der Umsetzungsstrategie EU-DSGVO des Unternehmens sowie nun auch der Entscheidungsträger von Tochterunternehmen sein. Hier gilt es ein zugeschnittenes DSGVO-Versicherungskonzept aus (IT-Haftpflicht-, Cyber-, Vertrauensschaden, Strachrechtschutz-- und D&O Versicherung sowie den derzeit in Diskussion befindlichen "Datenschutz Versicherung") vorzuhalten, um Risiken von der Bilanz des Unternehmens, aber auch der Privathaftung des Geschäftsführers oder Vorstands zu nehmen (ggf. ergänzt um eine Persönliche D&O-Versicherung). Welche Kombination an Versicherungslösung von welchen Versicherungen für Ihr Risiko richtig ist, muss Ihr Versicherungsmakler beantworten (Praxisanmerkung: in unseren DSGVO-Projekten ist es in der Regel ein Mix aus 2-3 Lösungen). Wichtig, prüfen Sie inwiefern sich dieser mit der DSGVO beschäftigen konnte, um dieses Thema in "guten Händen" zu wissen. Darüber hinaus sind wesentliche Aspekte kontinuierlich auf den Prüfstand zu stellen, z.B. wie ist der Umgang in der jeweiligen Sparte mit Sanktionen und Bußgeldern ausgestaltet. Hier ist mit Blick auf die Höhe möglicher Bußgelder in Verbindung mit der Einführung der EU-DSGVO mit erheblichen Anpassungen und Produktveränderungen im Markt zu rechnen, sodass Entscheider zeitnah ihr Versicherungsportfolio kritisch überprüfen sollten.
Auch werden gerade kleinere und mittlere Unternehmen nicht jede Funktion sinnvollerweise selbst aufbauen, sodass Assistance-Leistungen der Versicherungs-/Maklerlösungen (PR- und Rechtsberatung durch kompetente Anwaltsnetzwerke etc.) bedeutend werden können.
Als Fazit stellt die EU-DSGVO für deutsche Unternehmen in Bezug auf den Stellenwert des Datenschutzes eine Revolution dar. Die obigen Ausführungen sollten veranschaulichen, ohne den Anspruch auf Vollständigkeit zu haben, dass die Zeiten stiefmütterlicher Behandlung von Datenschutzbelangen vorbei sind. Die neue Rechtslage, in Kombination mit Stimmen aus Politik und Interessenverbänden sowie der juristischen Seite, deutet auf eine rigorose Ausschöpfung der Überprüfungs- und Sanktionsinstrumente hin. Dieser Ausgangslage sollte sich jeder Entscheider/jede Entscheiderin im strengen deutschen Haftungsregime bewusst sein.
Als Fazit stellt die EU-DSGVO für deutsche Unternehmen in Bezug auf den Stellenwert des Datenschutzes eine Revolution dar. Die obigen Ausführungen sollten veranschaulichen, ohne den Anspruch auf Vollständigkeit zu haben, dass die Zeiten stiefmütterlicher Behandlung von Datenschutzbelangen vorbei sind. Die neue Rechtslage, in Kombination mit Stimmen aus Politik und Interessenverbänden sowie der juristischen Seite, deutet auf eine rigorose Ausschöpfung der Überprüfungs- und Sanktionsinstrumente hin. Dieser Ausgangslage sollte sich jeder Entscheider/jede Entscheiderin im strengen deutschen Haftungsregime bewusst sein.
4. Webcast (Video) zum Anschauen
5. Ihre EU-DSGVO-Experten
Herr Rechtsanwalt Dr. Lutz Martin Keppeler arbeitet bei Heuking Kühl Lüer Wojtek in Köln als Fachanwalt für Informationstechnologierecht. Er berät Mandanten zu allen Fragen des IT- und Datenschutzrechts und ist in diesen Bereichen sowohl außergerichtlich als auch forensisch tätig. Herr Dr. Keppeler arbeitet besonders intensiv an der Schnittelle zwischen Technik und Recht, woraus sich Spezialgebiete wie das IT-Sicherheitsrecht, das Open Source Lizenzrecht und das Datenschutzrecht ergeben. Zu allen genannten Bereichen hält Herr Dr. Keppeler regelmäßig Vorträge und publiziert hierzu.
Herr Rechtsanwalt Boris Prochazka verantwortet bei MRH Trowe den Fachbereich Cyber & Crime und zeichnet sich für MRH Trowes DSGVO-Versicherungskonzept mit seinem Team verantwortlich. Zudem berät Hr. Prochazka Key Accounts im Themenfeld Managerhaftung (D&O Versicherung) und entwickelt nationale und internationale Programme. Zu allen genannten Bereichen hält Herr Prochazka regelmäßig Vorträge und publiziert hierzu.
Sie haben noch Fragen? Bei Ihren Rechtsfragen hilft Ihnen - auch kurzfristig - Herr Dr. Lutz Martin Keppler (l.keppeler@heuking.de) gerne weiter. Für (auch kurzfristige) Fragen zu maßgeschneiderten DSGVO-Versicherungskonzepten (Stichwort: "DSGVO Versicherung") stehen Ihnen wiederum als unabhängiger Versicherungsmakler seitens MRH Trowe (zum Kontaktformular) gerne Rede und Antwort. Wir helfen Ihnen in der Regel innerhalb weniger Stunden und zeigen Optionen und Lösungen auf.