Die sog. Art. 29 Arbeitsgruppe (G29) ist das unabhängige Beratungsgremium der Europäischen Kommission zu datenschutzrechtlichen Fragen und veröffentlicht regelmässig Richtlinien zur Umsetzung verschiedener Pflichten der EU-Datenschutzgrundverordnung (EU-DSGVO). Am 3. Oktober 2017 hat sie die Richtlinien zu Meldungen von Datensicherheitsverletzungen („Personal Data Breach Notification“), zu automatisierten Einzelentscheidungen und Profiling („Automated Individual Decision-Making and Profiling“) sowie zur Anwendung und Festsetzung von Bussen („Application and Setting of Administrative Fines“) verabschiedet. Diese Richtlinien werden im Folgenden erläutert.

Inkrafttreten der EU-DSGVO am 25. Mai 2018

Die EU-DSGVO enthält bekanntlich zahlreiche Neuerungen gegenüber der geltenden Rechtslage. Diese führen nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Anbieter in Nicht-EU-Ländern zu Handlungsbedarf (vgl. MLL-News vom 30. Juli 2017). Die neuen Regeln treten am 25. Mai 2018 in Kraft.

Wie die Erfahrungen aus der Praxis zeigen, ist die verbleibende Zeit allerdings knapp. Selbst bei Unternehmen, welche sehr früh mit der Umsetzung begonnen haben, ist davon auszugehen, dass sie bis zum 25. Mai 2018 die hohen Anforderungen noch nicht vollumfänglich erfüllen werden. Dies hängt auch damit zusammen, dass gewisse Bestimmungen nicht vollkommen klar sind. Vor diesem Hintergrund liefern die von der Art. 29 Arbeitsgruppe veröffentlichten Richtlinien wertvolle Anhaltspunkte dafür, wie die nationalen Aufsichtsbehörden die Verordnung interpretieren und durchsetzen werden.

Richtlinien zu Meldungen von Datensicherheitsverletzungen

Definition

Die EU-DSGVO definiert eine Verletzung des Schutzes personenbezogener Daten wie folgt (Art. 4(12)):

„Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmässig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Meldung an die Aufsichtsbehörde

Datensicherheitsverletzungen können verschiedene negative Auswirkungen auf Betroffene haben, wie bspw. Kontrollverlust über die personenbezogenen Daten, Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Schaden oder Reputationsschaden. Aus diesem Grund ist der Verantwortliche im Falle einer Datensicherheitsverletzung gemäss verpflichtet, diese unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der Aufsichtsbehörde zu melden (Art. 33(1) EU-DSGVO).

Nach Auffassung der G29 ist eine Verletzung dem Verantwortlichen dann „bekannt“, wenn er mit hinreichender Sicherheit von einer Sicherheitsverletzung ausgehen muss, in deren Folge personenbezogene Daten kompromittiert wurden. Während eine Meldung an die Aufsichtsbehörde unverzüglich und soweit möglich binnen 72 Stunden zu erfolgen hat, sieht die EU-DSGVO hingegen keine gesetzliche Frist vor, binnen welcher ein Auftragsverarbeiter den Verantwortlichen über eine mögliche Datensicherheitsverletzung informieren muss. Die G29 empfiehlt für diesen Fall eine unverzügliche Meldung des Vorfalls, wobei weitere Informationen nachzuliefern sind, sobald sie dem Auftragsverarbeiter vorliegen. Keine Meldung ist gemäss dem Wortlaut dann erforderlich, wenn die Verletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten der Betroffenen führt.

Benachrichtigung der Betroffenen

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge, muss der Verantwortliche grundsätzlich auch die betroffenen Personen unverzüglich von der Verletzung benachrichtigen (Art. 34(1) EU-DSGVO). Sinn und Zweck dieser Bestimmung ist es, die Betroffenen über die erforderlichen Schritte zu informieren, damit sie sich vor negativen Folgen der Datensicherheitsverletzung schützen können. Die Benachrichtigung hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und den Namen und die Kontaktdaten des Datenschutzbeauftragten (oder einer sonstigen Anlaufstelle für weitere Informationen), eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes der Daten sowie eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung des Schutzes der Daten und gegebenenfalls Massnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen zu enthalten (Art. 34(2) EU-DSGVO).

Auf eine Benachrichtigung der Betroffenen kann jedoch in den folgenden Fällen verzichtet werden (Art. 34(3) EU-DSGVO):

  • Der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt:B. wenn personenbezogene Daten durch eine angemessene Verschlüsselung genügend gesichert sind.
  • Der Verantwortliche hat durch nachfolgende Massnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr besteht:B. wenn der Verantwortliche gegen den Datendieb vorgegangen ist, bevor dieser die Daten kompromittieren konnte.
  • Eine Benachrichtigung wäre mit einem unverhältnismässigen Aufwand verbunden:B. wenn gespeicherte Personendaten nur physisch auf Papier vorliegen und diese infolge eines Wasserschadens vernichtet wurden, ist der Verantwortliche berechtigt, die Verletzung stattdessen öffentlich bekanntzumachen oder eine ähnliche Massnahme zu treffen, durch welche die Betroffenen wirksam informiert werden.

Sanktionen

Bei Verstössen gegen die oben erläuterten Meldepflichten drohen hohe Geldbussen von bis zu EUR 10 Mio. bzw. 2% des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist (Art. 83(4) EU-DSGV). Anzumerken ist, dass keine Sanktionen drohen, wenn der Aufsichtsbehörde fälschlicherweise eine vermeintliche Datensicherheitsverletzung gemeldet wird.

Richtlinien zu automatisierten Einzelentscheidungen und Profiling

Definitionen

Art. 4(4) definiert den Begriff „Profiling“ wie folgt:

„Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“

Die „automatisierte Einzelentscheidung“ wird hingegen in der EU-DSGVO nicht definiert. Darunter wird gemäss der G29 die Fähigkeit verstanden, ausschliesslich mit technologischen Mitteln, d.h. ohne menschliches Zutun, Entscheidungen zu treffen. Je nach Ausgestaltung kann eine automatisierte Einzelentscheidung auf einem Profiling beruhen.

Recht auf Eskalation

Ein Betroffener hat das Recht, nicht einer ausschliesslich auf einer automatisierten Verarbeitung (einschliesslich Profiling) beruhenden Entscheidung unterworfen zu werden, die ihm gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt (Art. 22(1) EU-DSGVO). Ein Betroffener hat demnach unter gewissen Umständen das Recht, eine automatisierte Einzelentscheidung durch einen Menschen überprüfen zu lassen.

In Bezug auf gezielte Werbung („targeted advertising“) geht die G29 davon aus, dass sie Betroffene meistens nicht erheblich beeinträchtigt, bspw. Werbung für einen Online-Modeversandhandel, die ausschliesslich auf einfachen demografischen Profilen beruht (z.B. „Frauen in der Umgebung von Brüssel“). Automatisierte Einzelentscheidungen, die eine differenzierte Preisfestsetzung zur Folge haben, können jedoch erhebliche Auswirkungen haben, z.B. wenn prohibitiv hohe Preise Betroffene von bestimmten Dienstleistungen und Gütern ausschliessen.

Das Recht auf Eskalation ist dann ausgeschlossen, wenn eine der folgenden Voraussetzungen vorliegt (Art. 22(2) EU-DSGVO):

  • Die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen dem Betroffenen und dem Verantwortlichen erforderlich: Nach Auffassung der G29 ist die Erforderlichkeit eng auszulegen. So sollen automatisierte Einzelentscheidungen ohne Eskalationsmöglichkeit dann zulässig sein, wenn sie bspw. zu einer grösseren Konsistenz oder Gleichbehandlung im Entscheidfindungsprozess führen, das Risiko von Zahlungsausfällen minimiert werden kann oder zu erheblicher Zeitersparnis und Effizienzsteigerung im Entscheidfindungsprozess führt.
  • Die Entscheidung ist aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig und diese Rechtsvorschriften enthalten angemessene Massnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen des Betroffenen: Diese Ausnahmebestimmung kann dann zur Anwendung gelangen, wenn die Rechtsordnung eines Mitgliedstaates automatisierte Einzelentscheidungen ausdrücklich zulässt, bspw. zur Überwachung und Prävention von Steuerdelikten oder zur Sicherstellung der Betriebssicherheit eines vom Verantwortlichen angebotenen Dienstes.
  • Die Entscheidung erfolgt mit ausdrücklicher Einwilligung des Betroffenen: Was unter einer „ausdrückliche Einwilligung“ zu verstehen ist, geht aus der EU-DSGVO nicht hervor. Gemäss der G29 hat die Einwilligung durch eine ausdrückliche Erklärung zu erfolgen. Eine konkludente Handlung ist hingegen nicht ausreichend.

Recht auf Information des Betroffenen

In Bezug auf automatisierte Einzelentscheidungen und Profiling ist der Verantwortliche verpflichtet, den Betroffenen über Folgendes zu informieren:

  • Bestehen einer automatisierten Entscheidungsfindung einschliesslich Profiling
  • Aussagekräftige Informationen über die involvierte Logik: Der Verantwortliche hat der betroffenen Person in einfach verständlicher Weise das Grundprinzip oder die massgebenden Grundlagen der automatisierten Einzelentscheidung bzw. des Profilngs zu erklären, ohne im Detail auf die genaue Struktur des verwendeten Algorithmus eingehen zu müssen.
  • Tragweite und angestrebten Auswirkungen für die betroffene Person: Diesbezüglich empfiehlt die G29, der betroffenen Person anhand von konkreten Beispielen die Tragweite und die angestrebten Auswirkungen aufzeigen.

Richtlinien zur Anwendung und Festsetzung von Bussen

Die Aufsichtsbehörde hat bei einer festgestellten Verletzung der EU-DSGVO diejenige Massnahme zu treffen, welche als angemessen erscheint. Bei der Festsetzung einer Geldbusse ist den gesamten Umständen des Einzelfalles gebührend Rechnung zu tragen. Dabei sind insbesondere folgende Kriterien zu berücksichtigen (Art. 83(2) EU-DSGVO):

  • Art, Schwere und Dauer des Verstosses: Im Falle einer geringfügigen Verletzung, die bspw. kein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat, kann die Aufsichtsbehörde anstelle einer Geldbusse eine Verwarnung aussprechen. Sind Betroffene zu Schaden gekommen, ist dessen Ausmass in der Gesamtbeurteilung zu berücksichtigen.
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstosses: Grundsätzlich sind vorsätzliche Datenschutzverletzungen strenger zu sanktionieren als fahrlässige.
  • Jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Massnahmen zur Minderung des den betroffenen Personen entstandenen Schadens: Im Falle einer Datenschutzverletzung hat der Verantwortliche alles ihm Zumutbare zur Schadensminderung zu unternehmen. Kommt der Verantwortliche dieser Mitwirkungspflicht nicht oder nur in ungenügender Weise nach, ist sein Verhalten bei der Festsetzung der Sanktion zu berücksichtigen.
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters: Die Aufsichtsbehörde hat u.a. zu berücksichtigen, ob besonders schützenswerte Personendaten betroffen sind, ob es sich um Daten handelt, die im Falle einer Veröffentlichung zu einem unmittelbaren Schaden für die Betroffenen führt, und ob die Daten unverschlüsselt waren.
  • Art und Weise, wie der Verstoss der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoss mitgeteilt hat: Kommt der Verantwortliche nicht oder nur in unzureichender Weise seiner Verpflichtung nach, die Aufsichtsbehörde unverzüglich über eine Datensicherheitsverletzung zu informieren, kann diese Säumnis zu einer strengeren Sanktion führen.

Jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoss erlangte finanzielle Vorteile oder vermiedene Verluste: Der Umstand, dass sich der Verantwortliche durch die Datensicherheitsverletzung einen Vorteil verschafft hat, kann als Rechtfertigung für ein Bussgeld genügen.

Weitere Informationen: