GDFR-EU-min

Schon in einem Jahr (25. Mai 2018) tritt die GDPR (General Data Protection Regulation – Datenschutz-Grundverordnung) in Kraft. Grund genug die Expertin für Datenschutz Aurélie Pols zu bitten uns diese wichtige Bestimmung genauer zu erklären – warum sie entwickelt wurde, welche Verpflichtungen für Unternehmen sie umfasst und welche Auswirkungen sie auf die Wirtschaft und die Verbraucher haben wird.

Aurélie kannst Du uns sagen, wie es zu dieser neuen Bestimmung kam? Wie wurde sie entwickelt?

Die aktuelle Datenschutz-Richtlinie (95/46/EC) stammt aus dem Jahr 1995. Seitdem haben sich die Informationstechnologie und die Möglichkeit Daten zu speichern beträchtlich weiterentwickelt. Das brachte einen Umbruch mit sich wie Einzelne und Organisationen Informationen sammeln, verarbeiten und teilen.

Außerdem hat es sich um eine Richtlinie gehandelt, die in den einzelnen Mitgliedsländern verschieden umgesetzt wurde. Damit ergaben sich Compliance-Probleme für Unternehmen. Die Datenschutz-Grundverordnung wird im Mai 2018 in Kraft treten. Sie behebt solche Probleme teilweise, lässt den Mitgliedsstaaten aber die Möglichkeit wenn nötig eigene Regelungen aufzustellen. Das ist gerade das große Thema: Wie die GDPR in die Gesetzgebung vor Ort passt. Eine der wichtigsten Fragen, die sich aus den Unterschieden ergeben, ist wahrscheinlich das Mindestalter ab dem man seine Zustimmung für die Datennutzung geben kann. Die meisten Länder werden es wahrscheinlich auf 13 herabsetzen und sich damit dem COPPA – Children’s Online Privacy Protection Act (Verordnung zum Schutz der Online-Privatsphäre von Kindern) aus den USA anpassen.

Die GDPR wurde wie keine andere Gesetzgebung in Europa von Lobbyarbeit begleitet. Es gab über 500 Zusätze und es hat seit dem Start der Reform 2012 bis heute gedauert, bis die fertige Fassung vorlag. Alles in allem bringt die GDPR die Rechte der Nutzer zurück ins Ökosystem der Daten. Prinzipien der Verantwortlichkeit und Zugriffsrechte werden gestärkt. Neue Rechte wie das zur Portabilität der Daten kommen hinzu.

Die EU konzentriert sich darauf sicherzustellen, dass die Prinzipien der Charta der Grundrechte der Europäischen Union eingehalten werden. Das gilt für alle und beginnt beim Respekt vor der Privatsphäre und der Familie und reicht über den Schutz persönlicher Daten bis zum Wert der Menschenwürde und der Selbstbestimmung: “Die Würde des Menschen ist unantastbar. Sie ist zu achten und zu schützen”. Ob diese Rechte auch adäquat geschützt werden, wenn Daten aus der EU heraus übertragen werden, hängt von internationalen Verträgen wie dem umstrittenen PrivacyShield-Abkommen ab.

Die GDPR verweist stark auf “persönliche Daten”. Um welche Daten handelt es sich dabei? Wie unterscheidet sich die Definition von „persönlichen Daten” von der, die es in der Gesetzgebung der USA gibt?

Die Gesetzgebung zum Schutz der Privatsphäre kommt immer dann zum Tragen, wenn „persönliche Daten“ verarbeitet werden. Dabei muss man wissen, dass „verarbeiten“ in der GDPR automatisch „sammeln“ mit einschließt. (Artikel 4.2. – Begriffsbestimmungen; Verarbeitung)

Aus Artikel 4.1: Im Sinne dieser Verordnung bezeichnet der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Die GDPR führt auch das Konzept der „Pseudonymisierung“ von Daten ein (Artikel 4.5). Sie bezeichnet

die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

Man sollte dabei beachten, dass der Erwägungsgrund 26 hervorhebt:

Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.

Deshalb gelten die Pflichten für den Datenschutz auch für die Kategorie „pseudonymisierte Daten“, zu denen Cookies und Unique Identifiers gezählt werden (Erwägungsgrund 30).

Was bedeutet das?

Es bedeutet, dass sich die Verarbeitung der Daten nach der Gesetzgebung zum Datenschutz richten muss. Dafür sieht Artikel 6 (über die Rechtmäßigkeit der Verarbeitung) spezielle Mechanismen vor, die verwendet werden um eine rechtmäßige Verarbeitung sicherzustellen: z.B. die betroffene Person willigt ein (Option a) oder die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich (Option f).

Allerdings muss man bei diesen „berechtigten Interessen“ ein wenig vorsichtig sein. Nach wie vor laufen die Verhandlung zur ePrivacy Regulation, dem Sonderrecht, das für den gesamten Digital Analytics-Bereich gilt. Und die aktuelle Fassung dieser Verordnung enthält im vieldiskutierten Artikel 8 keine „berechtigten Interessen“ als hinreichender Grund für eine rechtmäßige Verarbeitung. Das war die schlechte Nachricht. Die gute ist, dass sie eine Ausnahmeregelung für die „Messung von Web Audiences“ (d) enthält.

Die schwammigen und sich nach wie vor verschiebenden Grenzen was als „persönliche Daten“ gilt und wann sie Regelungen unterliegen, spielten vergangenes Jahr auch eine große Rolle, als es um dynamische IP-Adressen ging. Der Europäische Gerichtshof entschied, dass dynamische IP-Adressen unter bestimmten Bedingungen als persönliche Daten behandelt werden sollten. Damit ging man über die bestehende Empfehlung aus dem Jahr 2009 durch die Arbeitsgruppe Artikel 29 hinaus. Sie sagte, dass IP Adressen persönliche Daten sein können.

Werfen wir einen Blick nach Westen über den großen Teich. Die damalige Vorsitzende der Federal Trade Commission, Edith Ramirez erwähnte in einer Rede im August 2016 dass “wir jetzt Daten als persönlich identifizierbar ansehen, wenn sie persönlich zu einer bestimmten Person, einem Computer oder einem Gerät zugeordnet werden können. In vielen Fällen erfüllen dauerhafte Identifikatoren wie Device Identifiers, MAC-Adressen, statische IP-Adressen und die Nummern von Kundenkarten dieses Kriterium.”
Aber anders als in der EU haben die Vereinigten Staaten keine übergreifende Gesetzgebung zur Privatsphäre, die alle Bereiche und Brachen umfasst. Wenn es auf Bundesebene eine Gesetzgebung zum Schutz der Privatsphäre gibt, dann beschränkt sie sich auf bestimmte Bereiche. Die bekanntesten Beispiele dafür sind HIPAA, COPPA, VPPA, etc.
Was Persönlich Identifizierbare Informationen (PII) ausmacht, die Auswirkungen auf die Verpflichtungen zur Compliance haben, entscheidet jeder der 50 US-Staaten unabhängig. PII enthalten im California Privacy Protection Act, CalOPPA, zum Beispiel den Geburtstag, die Höhe, das Gewicht und die Haarfarbe.

Edith Ramirez ist übrigens nicht mehr bei der FTC unter Trump beschäftigt und von 5 Vorstandsstellen sind 3 unbesetzt.

Auf welche Veränderungen sollten Unternehmen sich einstellen, sobald die GDPR in Kraft tritt?

Strafen & Bußgelder: Das Risiko durch den Umgang mit Daten steigt mit der GDPR dramatisch: Von einem absoluten Maximum in Spanien und im Vereinigten Königreich mit einer halben Million Euro, die die aktuelle Richtlinie vorsieht auf 4 % des weltweiten Umsatzes oder 20 Millionen Euro in der GDPR, je nachdem was mehr ist.

Damit kommt ein neuer Begriff in die Diskussion: Daten als Gefahr.

Rechte: Bei der GDPR geht es darum das Gleichgewicht von Verantwortung der Unternehmen, Bürgern und Gesetzgebung neu auszurichten um nach den ganzen technischen Neuerungen (wieder) sicherzustellen, dass jeder adäquat berücksichtigt wird.

Sie enthält neue Rechte und stärkt bestehende in Kapitel III „Rechte der betroffenen Personen“. Diejenigen, die Daten nutzen und verarbeiten, müssen lernen über vertragliche Bindungen hinaus zusammenzuarbeiten um sicherzustellen, dass sie die neuen Anforderungen erfüllen können. Das bringt zum Beispiel Herausforderungen für die Nachverfolgbarkeit der Daten mit sich, besonders wenn die Privatsphäre auch für pseudonymisierte Daten wie Cookies gilt.

Artikel 19 über “Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung” für die Empfänger von Daten bringt eine interessante Herausforderung. Besonders, wenn die GDPR auch für die Online-Webebranche gilt und die ePrivacy Ragulation enthält. Sollte man sich um Identifizierungspunkte in der programmatischen Werbung Gedanken machen? Kann man das durch Standards und Branchenverbände lösen? Zumindest würde man damit einige andere Probleme bei der Messbarkeit und beim Datenschutz angehen können!

Benachrichtigungen über Datenlecks: Auch über die digitale Werbung hinaus sieht man Daten zunehmend als Kapital. Da Daten einen gewissen Wert besitzen, verschwinden sie manchmal oder werden gestohlen – es kommt zu Lecks. Rund um den Globus wurden dafür zunehmend Gesetze erlassen, die natürlich einen Einfluss auf die GDPR hatten. Es dürfen nicht mehr als 72 Stunden vergehen, bis die Aufsichtsbehörde über ein Leck informiert wird. Das zeigt wie wichtig effiziente interne Abläufe sind, damit die Unternehmen alle nötigen Informationen bereitstellen können, die in Artikel 33 beschrieben werden und auch Artikel 34 zu erfüllen – die betroffenen Personen über das Leck zu informieren.

Die GDPR baut auf Best Practices bei der Sicherheit auf – geeignete technische und organisatorische Maßnahmen wie zum Beispiel die Pseudonymisierung – und hat den Datenschutz als grundlegenden Bestandteil. Mit Standard-Verpflichtungen, die in Artikel 25 festgelegt sind. Sie verweist auch auf die Möglichkeit bewährte Zertifizierungs-Maßnahmen zu nutzen. Diese Chance, die die GDPR bietet, nutzen einige Technologie-Anbieter als Geschäftsmodell. Außerdem unterstreicht das die Notwendigkeit für Data Privacy Impact Assessments (DPIAs – Datenschutz-Folgeabschätzungen) überall dort wo laut Artikel 35

eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Aus den Data Protection Autorities (DPAs – Datenschutzbehörden) werden Supervisory Authorities (SAs – Überwachungsbehörden), von denen man sich auch beraten lassen kann.

Um eine effizientere Zusammenarbeit mit diesen Behörden sicherzustellen, werden wie in Artikel 37 beschrieben unter bestimmten Bestimmungen Data Protection Officers (DPOs) eingesetzt.

Das sind nur ein paar der Veränderungen, die die GDPR für die Verantwortlichkeit und Verpflichtungen bringt. Da Daten ganz unterschiedlich verwendet werden, kann man keinen allumfassenden Überblick geben, die sich durch die 99 Artikel und 173 Erwägungsgründe der GDPR ergeben.

Gilt die GDPR nach dem Brexit auch noch für das Vereinigte Königreich?

Da die GDPR im Mai 2018 in Kraft tritt, gilt sie auch für Unternehmen im Vereinigten Königreich.

Abhängig davon, wie die Verhandlungen zum Brexit laufen, sind folgende Szenarien denkbar:

  • Wenn es doch keinen Brexit geben sollte oder das Vereinigte Königreich weiterhin Teil des Europäischen Wirtschaftsraums bleibt, gibt es keine Probleme. Das Vereinigte Königreich wird dann wie Norwegen, Island und Liechtenstein behandelt.
  • Wenn das Vereinigte Königreich wie die Schweiz Teil der EFTA wird, muss man sicherstellen, dass Rechte von EU-Bürgern gleichberechtigt gewahrt bleiben. Dann bräuchte man eine Art PrivacyShield-Abkommen.
  • Dass das Vereinigte Königreich sich komplett von der EU löst und
    1. die GDPR akzeptiert, wie sie ist. Das ist unwahrscheinlich, hängt aber davon ab ob und wie die bisherigen Richtlinien der EU umgeschrieben werden. Wenn die GDPR übernommen wird, muss daran nichts geändert werden und jeder ist glücklich;
    2. eine Art “GDPR light” will. Dann muss man sich um einen adäquaten Schutz der Bürger kümmern.
    3. die bestehende Gesetzgebung beibehält (oder einen eigenen Weg basierend auf nationalem Recht wählt). Dann wird es wahrscheinlich keinen adäquaten Schutz der Privatsphäre geben. Das würde bedeuten, dass keine Daten mehr übertragen werden können. Es ist unwahrscheinlich, dass es so weit kommt, aber in letzter Zeit ist es schwierig geworden verlässliche Vorhersagen über das Vereinigte Königreich zu treffen.

Wenn ich einen Tipp abgeben müsste, dann würde ich mich für „GDPR light“ entscheiden. Dafür bräuchte man einen Mechanismus, der die Vergleichbarkeit garantiert: Musterverträge oder vielleicht Vorschriften für Unternehmen, mit denen derzeit auch die Alternativen zu PrivacyShield zur Verfügung gestellt werden. Musterverträge oder Standardklauseln in Vereinbarungen müssen die Prüfung durch den Europäischen Gerichtshof bestehen. Bindende Regelungen für Unternehmen für die Datenübertragung zwischen Geschäftspartnern sind momentan die verlässlichste Regelung.

Wird die GDPR auch für Firmen gelten, die nicht aus der EU stammen?

Ja, anders als die momentane Regelung müssen sich alle Unternehmen, die sich an EU-Bürger richten, bei der Datenverarbeitung an die GDPR halten. Artikel 3 setzt den Rahmen fest. In Paragraph 2 steht dazu:

“2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

(a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist

(b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

Das Internet ist ein globales Phänomen. Da stellt sich die Frage, wann Unternehmen außerhalb der Europäischen Union sich Gedanken über die GDPR machen sollten?

Deutliche Hinweise sind zum Beispiel, wenn die Inhalte einer Website in Deutsch oder Catalan übersetzt oder Preise in Euro angeboten werden.

Es wird immer wieder Grauzonen geben, aber man sollte dabei nicht vergessen, dass man die Verordnung besser nicht leichtfertig außen vor lässt. Die Unschuldigkeitsvermutung gilt hier nämlich nicht: Niemand muss beweisen, dass ein Unternehmen schuldig ist, sondern ein Unternehmen muss zeigen, dass es unschuldig ist und sicherstellen, dass es dafür ausreichend Beweise gibt. Mit der richtigen Datensicherung ist das auch gar nicht so schwer.

Interessant ist auch, dass die GDPR auch für kostenlose Angebote gilt.

Werden sich außereuropäische Unternehmen an ihre europäischen Kunden anpassen? Wird es Firmen geben, die dagegen vorgehen oder versuchen werden den Gültigkeitsbereich der GDPR einzuschränken? Wenn ja, welche Auswirkungen könnten sich für EU-Bürger ergeben?

Leider können wir keinen Blick in die Kristallkugel werfen. Wenn es so weit kommt, werden sich die Gerichte darum kümmern müssen.
Es gab überraschend wenig Rechtsstreitigkeiten und Urteile zum Thema Datenschutz und Privatsphäre. Es ist anzunehmen, dass sich das mit der GDPR ändern wird. Ein Vorbild ist Max Schrems, der bekanntermaßen dabei mitgeholfen hat das internationale Abkommen zum Datenaustausch mit dem Namen SafeHarbour zu Fall zu bringen. Allen in der Branche war klar, dass es Fehler hatte, spätestens seit Edward Snowden den Verdacht auf Massenüberwachungs-Maßnahmen bestätigt hat.

Unternehmen steht es natürlich frei gegen die GDPR zu klagen. Es wird interessant zu sehen, wie die Überwachungsbehörden (SAs) und auch das European Data Protection Board (EDPB), die mehr Befugnisse haben werden als heute die Arbeitsgruppe Artikel 29, in diesem Fall reagieren werden. Die GDPR wird große Veränderungen für Unternehmen bringen, aber meiner Meinung nach auch für die bestehenden Datenschutzbehörden und deren Arbeitsweise.

Wir können einen Blick zurück auf den Fall der Wyndham-Hotels werfen, die mehrmals ein Datenleck hatten, bevor sie dafür von der FTC belangt wurden. Sie sind mit der Behauptung, dass die FTC nicht für den Datenschutz zuständig sei, gerichtlich dagegen vorgegangen. Sie bekamen nicht Recht und einigten sich auf einen Vergleich. Welche Auswirkungen der lange Prozess auf das Ansehen der Marke hatte, kann man sich denken.

Was solche Gerichtsverhandlungen für EU-Bürger bedeuten werden, muss sich erst noch herausstellen. Denkbar wären auch Sammelklagen von Verbraucherschutzorganisationen. Wenn es hier so laufen würde wie in den USA, könnten EU-Bürger so mehr oder weniger hohe Entschädigungssummen einklagen. Es gibt auch Firmen, die darüber nachdenken sich aus dem EU-Markt zurückzuziehen, weil die Anforderungen für die Privatsphäre zu groß werden. Andere sehen den Schutz der Privatsphäre als eine weitere Chance Kunden von sich zu überzeugen. Ohne Zweifel wird sich auf dem Markt einiges ändern und die EU-Bürger sollten durch mehr Einfluss auf ihre eigenen Daten davon profitieren.

***

Nächste Woche gibt es den 2. Teil dieses Interviews mit Aurélie Pols.

***

Erfahren Sie mehr über Privatsphäre und Datenschutz in Ihren Digital Analytics-Maßnahmen! Laden Sie das Whitepaper herunter

GDPR und Digital Analytics
Author

Ashleys Heimat ist das Silicon Valley. Sie verfügt über 10 Jahre Erfahrung als Marketing Writer und hat zuletzt bei Google im digitalen B2B-Marketing gearbeitet. 2014 ist sie zu AT Internet gekommen um unsere internationale Kommunikation in 6 Sprachen auf- und auszubauen. Ihr Ansporn ist es, die Inhalte aus dem komplexen, sich unablässig verändernden digitalen Universum in klare, ansprechende und verlässliche Botschaften zu übersetzen – mit nichts als den richtigen Worten.

Comments are closed.