keine Patentlösungen, aber gute Lösungsansätze

Bisher waren Verstöße gegen den Datenschutz nicht abmahnbar, weil sie keinen Wettbewerbsverstoß im Sinne des UWG darstellten. Das ändert sich nun, wodurch Datenschutz-Ordnungswidirgkeiten zur Straftat werden, zudem legt der Internetnutzer immer mehr Wert auf Datenschutz, da er wissen möchte, wofür seine Daten verwendet werden. Datenschutz, Datensicherheit und ordnungsgemäße Datenverarbeitung sollen alle Beteiligten vor Gefahren schützen und gleichzeitig Informationsfreiheit und Informationsgleichgewicht gewährleisten. Ebenso erlauben die Bedeutung, die wir dem Thema Informationssicherheit geben, unseren Stakeholdern, Rückschlüsse auf das Qualitätsmanagement der gesamten Unternehmens-Holding zu ziehen.

Gründe, warum das Thema alle im Unternehmen angeht, und nicht nur einen kleinen Teil der Belegschaft:

+  Informationen kommen nicht nur in elektronischer Form vor.

+  Informationen kommen auf Papier, gesprochen, in Video- oder Audioform, usw. vor. Sie werden auf verschiedenste Arten und Weisen übermittelt: per E-Mail, per Fax, per Post, im persönlichen Gespräch etc.

+  Informationen haben bestimmte Schutzziele wie Vertraulichkeit, Verfügbarkeit und Integrität, die im internationalen Standard, der ISO-Norm 27001, festgeschrieben wurden.

+  Externe und interne Anforderungen machen es notwendig, dass Sie sich mit Informationssicherheit befassen. 

Nach der Reform ist vor der Reform

Es liegt auf der Hand, dass mitgliedstaatliche Regelungen abgeschafft werden müssen, um das Datenschutzrecht auf europäischer Ebene zu vereinheitlichen. Damit ist das alte Bundesdatenschutzgesetz (BDSG) passé. Überkommene deutsche Regelungen wie die zu Chipkarten (§ 6c BDSG a.F.), automatisierten Abrufsystemen (§ 10 BDSG a.F.) und ein spezifischer Werbedatenschutz (§ 28 Abs. 3 u. 4, § 29 BDSG a.F.) entfallen. Allerdings auch der in Deutschland beliebte "Gang nach Karlsruhe" führt nun nach Luxemburg zum Europäischen Gerichtshof (EuGH). So gilt die DSGVO vor allem und ohne nennenswerten Ausnahmen für den Vertrags- und Kundendatenschutz. Auch der Werbedatenschutz unterfällt umfassend der DSGVO. Für alle Datenverarbeitungen, die auf dem europäischen Markt stattfinden, gelten die neuen Anforderungen, unabhängig von Serverstandort und Unternehmenssitz. Jedenfalls wird der Binnenmarkt vor Marktteilnehmern und Angeboten geschützt, die niedrige oder keine Datenschutzvorgaben einhalten und somit zu einem positiven Wettbewerbsfaktor. Unsererseits verfolgen wir das Prinzip der geringsten Rechte und regelmässig „aufräumen“ um alle nicht mehr benötigten Daten zu löschen.

Gute Laune ist auch eine Grundvoraussetzung 

Denn es wird nicht einfach nur das deutsche BDSG durch die DSGVO ersetzt, sondern durch eine Mehrzahl von Rechtsquellen, eine Mischung aus Hard Law und Soft Law sowie Regelungskaskaden von Europarecht und mitgliedstaatlicher Konkretisierung. Weiterhin gilt, dass regelungstechnisch personenbezogene Datenverarbeitung (präventiv) untersagt ist und unter einem Erlaubnisvorbehalt steht. Auch wenn keine Datenverarbeitung per se belanglos ist, wie ein alter datenschutzrechtlicher Glaubenssatz lautet, sind in der DSGVO Persönlichkeitsrechtsgefährdungen durchaus typisiert. Und durch den textlich unscheinbaren Art. 23 DSGVO bleiben die meisten bereichsspezifischen Regelungen für den öffentlichen Bereich erhalten.

Social Compliance

Kein Mensch ist gezwungen, irgendetwas im Internet zu nutzen. Die grossen Datenschutzfragen unserer Zeit werden deshalb nicht allein durch die jetzige EU-Datenschutzreform beeinflusst: Die Überwachung durch Datendienstleister und Soziale Netzwerke ist letztlich eine transatlantische Wirtschaftsfrage und wird handelspolitisch entschieden werden müssen. Und die Überwachung durch Nachrichtendienste ist als den Mitgliedstaaten vorbehaltener Regelungsbereich von vornherein nicht von der DSGVO und der JIRL erfasst. Hauptzweck der EU-Datenschutzreform ist die Harmonisierung. Dies betrifft nicht nur die innereuropäische Rechtsvereinheitlichung, sondern will daneben und auch für datenbasierte Dienste und Verarbeitungen ein sogenanntes level playing field für europäische und außereuropäische Verarbeiter schaffen. Auch die Möglichkeiten der Selbstregulierung (Art. 40 ff. DSGVO), u.a. über Zertifizierungen (Art. 42 DSGVO), werden ausgeweitet.

VUCA volatility, uncertainty, complexity und ambiguity

In einer VUCA Arbeitswelt lässt sich Datenschutz nicht ohne IT-Technik umsetzen.Der Begriff „Privacy by Design“ stammt von Ann Cavoukian, der ehemaligen Informationsfreiheits- und Datenschutzbeauftragten der kanadischen Provinz Ottawa - er ist zentraler Aspekt der DS-GVO.

Die Sieben Prinzipien von „Privacy by Design“

+  Proaktiv, nicht reaktiv; als Vorbeugung und nicht als Abhilfe

+  Datenschutz als Standardeinstellung („Privacy by Default“)

+  Der Datenschutz ist in das Design eingebettet

+  Volle Funktionalität – eine Positivsumme, keine Nullsumme

+  Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus

+  Sichtbarkeit und Transparenz – Für Offenheit sorgen

+  Die Wahrung der Privatsphäre der Nutzer – für eine nutzerzentrierte Gestaltung sorgen