Fragt accantec in seinem Gastbeitrag – und erläutert, worum es bei der DSGVO eigentlich geht.
Am 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung (EU-DSGVO) auf einen Schlag in allen 28 Mitgliedstaaten der Europäischen Union in Kraft.
„Die Verordnung ist so abstrakt, ich weiß gar nicht, was ich genau tun muss“, ist ein häufig vernommener Stoßseufzer in Zusammenhang mit der EU-DSGVO. Dabei beinhaltet die EU-DSGVO überraschend viele Anknüpfungspunkte für Business Intelligence (BI), Datenmodellierung, Cloud-Anwendungen und Big Data.
Doch worum geht es konkret?
Schutz der Person
Der eigentliche Zweck der EU-DSGVO ist der Schutz der Privatsphäre von Menschen. Im Gegensatz zum Bundesdatenschutzgesetz (BDSG) erlaubt die offener formulierte EU-DSGVO deutlich mehr Spielraum für die betriebliche Umsetzung der nachzuweisenden Datenschutzmaßnahmen – trotz erhöhter Dokumentationspflichten und schmerzhafter Sanktionen[1]. Eine wichtige Neuerung ist die Einführung des Marktortprinzips. Immer wenn Daten eines in der EU ansässigen Bürgers verarbeitet werden, genießt dieser uneingeschränkt den vollen EU-DSGVO-Schutz. Als „personenbezogene Daten“ sind dabei alle Formen von Informationen zu einer Person gemeint, wie z. B. Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse, Bankverbindung, Personalnummer, persönliche Vorlieben oder gesundheitliche Informationen. Darunter fallen auch Stamm- und Vertragsdaten, Transaktions- und Bestelldaten, IP-Adresse, Cookies, Browser-Fingerprint, Verbindungsdaten und selbst Geodaten.
Wer schreibt, der bleibt
Die in der EU-DSGVO festgehaltenen Dokumentationspflichten sind auch geeignet, die erhöhten Informationspflichten im Auskunftsrecht der betroffenen Person zu erfüllen[2]. Dieses erweiterte Auskunftsrecht trifft auch alle BI- und Analytics-Lösungen, in denen auf Menschen beziehbare Daten verarbeitet werden oder entstehen. Gerade im großen Feld von Big Data, Analytics und BI gilt es, noch einige essenzielle Fragestellungen zu klären.
Bisher gilt nach dem BDSG die strikte Zweckbindung bei der Verarbeitung personenbezogener Daten, was die Verarbeitung bei Big Data und BI schnell unzulässig gemacht hat, wenn Daten ursprünglich für unterschiedliche Zwecke verarbeitet werden sollten. Unter bestimmten Voraussetzungen[3] ist ab Mai 2018 auch eine Zweckumwidmung „light“ und eine Auskunftspflicht „light“ möglich. Obwohl prinzipiell unter der EU-DSGVO nahezu alle Datenverarbeitungsschritte in Big-Data- und BI-Anwendungen mit auch nur weitestgehend auf Menschen beziehbaren Daten diese zu schützenswerten personenbezogenen Daten machen, liegt hier doch ein hohes Legalisierungspotenzial. Darüber hinaus werden zwei Fliegen mit einer Klappe geschlagen, denn dieser hohe Schutzbedarf sichert auch die Betriebs- und Geschäftsgeheimnisse – und zwar durch den Einsatz von IT-Sicherheitsnormen-basierten Maßnahmen.
Weitere Informationen gibt die Einschätzung zur neuen EU-Datenschutzgrund-Verordnung von unserem Datenschutzbeauftragten Peter Stahlberg.
Treffen Sie uns am 20./21. Juni 2018 auf dem SAS Forum Deutschland in Bonn oder kontaktieren Sie uns gerne, wenn Sie Unterstützung bei der Umsetzung der EU-DSGVO in Ihren BI- und Data-Analytics-Projekten benötigen: www.accantec.de.
[1] Wird der Datenschutz nicht eingehalten, greifen Sanktionen mit erheblichen Verschärfungen. Zehn oder 20 Millionen Euro bzw. zwei oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs können als Bußgeld von der Aufsichtsbehörde festgelegt werden.
[2] Siehe hierzu Artikel 82: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1524657031733&from=DE
[3] Geprüfte Vereinbarkeit der ursprünglichen und beabsichtigten Zwecke, geprüfter Erhebungskontext der Daten, Prüfung, ob der Betroffene die weitere Verwendung erwarten kann, die Art der Daten und garantiert mindestens gleich hohen Schutz für den ursprünglichen als auch den beabsichtigten Weiterverarbeitungsvorgang.