Vortrag zur Datenschutzgrundverordnung (EU DSGVO)
Dr. Martin Weigele betont auf den Chemnitzer Linuxtagen das besondere Vertrauensverhältnis in einer Genossenschaft beim Thema Datenschutz.
Am Wochenende des 10. und 11. März 2018 fanden die zwanzigsten Chemnitzer Linux Tage statt. Einige tausend Besucher fanden den Weg zu über 90 Vorträgen und Workshops. Für die Linux-Community war die Konferenz ein wichtiges und erfolgreiches Jubiläum. Hostsharing eG war an dem Ereignis mit einem virtuellen Infostand auf Twitter unter dem Hashtag #vCLT2018 und einem Vortrag zur EU Datenschutzgrundverordnung (DSGVO) beteiligt.
Hostsharing-Vorstandsmitglied Dr. Martin Weigele ging im Vortrag nach einem kurzen Überblick über Hostsharing zunächst auf die Frage ein, warum die EU DSGVO z.B. bei Hostsharing anwendbar ist, wie das Zusammenspiel zwischen EU und deutschem Recht funktioniert, und was die grundlegende Konfliktlage zwischen technischen und juristischen Normen im internationalen Umfeld auszeichnet. Die EU DSGVO schafft hierfür erstmals einen einheitlichen Rechts- und Durchsetzungsraum innerhalb der EU, allerdings zu dem Preis oftmals sehr unbestimmter, stark auslegungsbedürftiger Rechtstexte als Ergebnis eines langwierigen politischen Kompromisses.
EU-DSGVO Checkliste
Im Anschluss daran wies Martin Weigele auf einige Punkte hin, die in einer Datenschutz-Checkliste nicht fehlen sollten.
Gültigkeit klären
Zunächst ist zu klären, ob die Datenverarbeitung überhaupt von der EU DSGVO betroffen ist. Denn die Verordnung gilt grundsätzlich für personenbezogene Daten im Zusammenhang mit Waren- und Dienstleistungsangeboten innerhalb der EU.
Bei rein privaten Zwecken ist eine Gültigkeit nicht von vorne herein anzunehmen. Eine genaue Abgrenzung muss die Rechtsprechung übernehmen.
Rollen prüfen
Wichtig ist bei der konkreten Anwendung vor allem, sich die jeweiligen Rollen bei der Verarbeitung personenbezogener Daten, wie etwa Betroffener, oder Verantwortlicher, je nach konkretem Datenverarbeitungsvorgang klar zu machen. Daneben kennt die Verordnung auch den Auftragsverarbeiter und die gemeinsam Verantwortlichen.
Eine Definition dieser Rollen findet man in der Verordnung selbst, u.a. in Artikel 4 EU DSGVO
Erlaubte Rechtfertigungsgründe prüfen
Ausgehend von der Klärung dieser Rollen ist der Grundsatz, wie schon beim Bundesdatenschutzgesetz, das Verbot der Verarbeitung personenbezogener Daten. Es müssen deshalb stets die erlaubten Rechtfertigungsgründe abgeprüft werden.
Was sind solche Gründe neben der (widerruflich) erklärten Einwilligung des Betroffenen?
Hier kommen zunächst einmal gesetzliche Regelungen oder geschlossene Verträge in Frage.
In einem Vertragsverhältnis dürfen die für seine Erfüllung erforderlichen Daten natürlich auch verarbeitet werden.
Beispiele für gesetzliche Gründe sind gesetzliche Pflichten zur Erhebung oder Aufbewahrung von Sozialversicherungs- oder steuerlichen Daten oder Aufbewahrungspflichten zu geschäftlicher Korrespondenz, also auch E-Mails, nach dem Handelsgesetzbuch.
Zur Gefahrenabwehr dürfte in der dritten Erlaubniskategorie, dem Vorliegen eines berechtigten Interesses, das gegenüber den Interessen des Betroffenen überwiegt, die zeitweise Speicherung von IP-Adressen von Webseitenbesuchern zulässig sein.
Der Bundesgerichtshof hat im vergangenen Jahr entschieden, dass IP-Adressen von Webseitenbesuchern personenbezogene Daten sind, weil die dazugehörigen Betroffenen im Rahmen von rechtlichen Verfahren ans Tageslicht kommen können. Somit bedarf es für Logfiles einer rechtlichen Rechtfertigung.
Auftragsdatenverarbeitung bzw. Auftragsverarbeitung
Eine Besonderheit stellt die DGSVO-Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) dar, die es prinzipiell ermöglicht, auch ohne Vorliegen solcher Gründe personenbezogene Daten zu verarbeiten. Dafür müssen beim Auftraggeber die genannten Rechtfertigungsgründe vorliegen. Allerdings treffen den Auftragsverarbeiter erweiterte Sorgfalts- und Haftungspflichten gegenüber der früheren Regelung.
Diese Spielart dürfte aber bei selbstgestaltetem Hosting, bei dem die Datenverarbeitungstätigkeit auch technisch weitgehend selbst kontrolliert wird, meist keine große Rolle spielen. Hier muss allerdings die Entwicklung der Rechtsprechung genau beobachtet werden.
Betroffenenrechte
Im Anschluss erläuterte Weigele die Rechte der Betroffenen. Diese sind vor Informationsrechte (Art. 13 und 14 DSGVO) , Werbe-Einwilligungerklärungen (Art. 7 und 13 DSGVO), die Einrichtung eines Auskunftsverfahren für Betroffene (Art. 15 in Verbindung mit Art. 12 DSGVO), das Recht auf eine Berichtigung von Daten und ihre Löschung (Art. 16 und 17 DSGVO), das Recht einer Speicherung zu widersprechen (Art. 21 DSGVO) und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
Risikomanagement, Datenschutz-Folgenabschätzung, Meldepflichten
Ferner erklärte er, welche Faktoren in einem datenschutzrechtlichen Risikomanagement beachtet werden müssen. Hier gilt es vor allem den Nachweispflichten zu entsprechen.
In bestimmten Fällen sind Datenverarbeiter sogar zu einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtet.
Und schließlich müssen Prozesse implementiert werden, durch die sichergestellt wird, dass Datenschutzverletzungen erkannt und rechtzeitig der zuständigen Datenschutzbehörde gemeldet werden.
Datenverarbeitung ist Vertrauenssache
Datenverarbeitung ist und bleibt auch nach Inkrafttreten der EU DSGVO Vertrauenssache.
Ein genossenschaftlicher Hoster bietet wegen des besonderen Vertrauensverhältnisses zwischen Mitgliedern und Genossenschaft einen rechtlich besonders günstigen Rahmen für die Verarbeitung personenbezogener Daten, weil mit § 1 Abs. 1 GenG, der dieses Vertrauensverhältnis gesetzlich normiert, zugleich auch eine zusätzliche gesetzliche Regelung im Sinne von Erlaubnisgründen vorliegen kann, gewissermassen als zusätzlicher Hosenträger, falls andere Gürtel nicht halten.
Fotos auf dieser Seite: Christof Thalhofer