Mit dem laxen Verweis auf den Datenschutz werden in vielen Unternehmen Prozess- und Kollaborationseffizienzen mithilfe digitaler Werkzeuge verhindert. Zudem werden so wichtige Innovationen in den dezentralen Einheiten der Unternehmen ver- oder zumindest behindert. Die interne IT bedient sich hier einfacher technischer Schranken (z. B. mit einer entsprechenden Firewall-Konfiguration), um bestimmte Tools oder Programme, die über das Netz angeboten werden, schlichtweg gar nicht mehr aufrufbar zu machen. Dabei geht der Trend der Softwareindustrie seit Jahren in Richtung Cloud-Services und weg von On-Premises-Installationen. In den Unternehmen entsteht so ein Katz-und Maus-Spiel, was bei genauerem Hinsehen nicht notwendig ist.
Digitale Innovationen kommen maßgeblich nicht aus Europa
Noch wird die Digitalisierung maßgeblich aus dem Silicon Valley vorangetrieben. Die gesamte digitale Wertschöpfungskette ist durchzogen von den großen Playern aus den USA oder auch zunehmend aus China. Im Markt der Endgeräte (Single Face to Customer) gibt es keinen nennenswerten europäischen Player. Innovative Produkte, Plattformen und Apps wie auch die Cloud-Infrastrukturen, auf denen diese Produkte laufen, haben ihren Ursprung und Sitz in den USA. Hier steht das Datenschutzrecht einerseits und die Datensicherheit andererseits auf rechtlich anderen Füßen als in Europa. In Zukunft werden wir uns allerdings auch immer stärker mit dem chinesischen Rechtsrahmen auseinandersetzen müssen. Die digitale Innovationsschlagkraft im Reich der Mitte ist enorm. Bis 2030 hat sich China hier die Weltführerschaft vorgenommen.
Grundlagen Datenschutz (Woher, was, was nicht)
Das Thema Datenschutz wird unterschiedlich definiert und interpretiert. Je nach Betrachtungsweise wird Datenschutz als Schutz
- vor missbräuchlicher Datenverarbeitung,
- des Rechts auf informationelle Selbstbestimmung,
- des Persönlichkeitsrechts bei der Datenverarbeitung,
- der Privatsphäre
verstanden. Datenschutz wird häufig als Recht wahrgenommen, dass jeder Mensch grundsätzlich selbst darüber entscheiden darf, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Es geht also ausschließlich um personenbezogene Daten. Hier hilft ein Blick in die DSGVO: Personenbezogene Daten sind Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität ermöglichen (Vgl. Artikel 4 Ziffer 1 DSGVO). Also fällt auch der Name einer Person unter diese Kategorie.
Besonders schützenswerte Daten
Neben dem generellen Recht auf die informationelle Selbstbestimmung kennt der Datenschutz eine weitere Kategorie besonders sensibler und damit schützenswerter Daten. Artikel 9 der DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) nennt als entsprechende personenbezogene Daten solche,
- aus denen die rassische und ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen oder
- die Gewerkschaftszugehörigkeit hervorgehen, sowie
- genetische Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten oder
- Daten zum Sexualleben oder der sexuellen Orientierung.
Diese Daten über eine Person sind besonders sensibel und bedürfen eines besonderen Schutzes. Sie dürfen grundsätzlich nicht verarbeitet werden. Es sei denn, die Verarbeitung ist in den besonderen Fällen zulässig. (Vgl. Artikel 9 DSGVO) Diese Ausnahmen bestehen unter anderem dann, wenn für einen oder mehrere festgelegte Zwecke eine eindeutige Einwilligung oder der Schutz lebenswichtiger Interessen besteht.
Europa, die USA und China
Die DSGVO schreibt zudem vor, dass personenbezogene Daten nur dann an ein Drittland weitergegeben werden dürfen, wenn dort ein angemessenes Schutzniveau besteht (Vgl. Artikel 44 DSGVO).
Bereits mit dem Safe-Habor- und dem Privacy-Shield-Abkommen versuchte die EU, verbindliche Mindeststandards für US-Unternehmen zu schaffen, die personenbezogene Daten außerhalb der EU verarbeiten.
2015 bzw. 2020 wurden diese Abkommen vom Europäischen Gerichtshof für ungültig erklärt. Das Gericht befand darin, dass das US-Recht den Schutz personenbezogener Daten aus der EU nicht angemessen gewährleisten kann. Das European Data Protection Board hat daraufhin eine Empfehlung veröffentlicht. Diese beschreibt einzuhaltende Maßnahmen, um das Recht auf Privatsphäre und den Schutz personenbezogener Daten bei deren Übermittlung zu gewährleisten.
Im aktuellen chinesischen Recht zur Nutzung von personenbezogenen Daten finden sich zahlreiche Regelungsprinzipien wieder, die schon aus der EU-Datenschutz-Grundverordnung bekannt sind. Dennoch gestattet das geltende chinesische Recht umfangreiche Datenverarbeitungsbefugnisse zu Zwecken der staatlichen Sicherheit, zur Aufrechterhaltung der öffentlichen Ordnung oder aus Gründen des Gemeinwohls.
Abgrenzung zur betrieblichen Datensicherheit
Datenschutz ist also originär ein Thema, das mit der elektronischen Verarbeitung personenbezogener Daten, also IT, in Verbindung steht. Allerdings spielt diese auch in Bezug auf die zu verarbeitenden Daten eine wesentliche Rolle – nämlich bei der Datensicherheit.
Während wir uns beim Thema Datenschutz den personenbezogenen Daten widmen, betrifft die Datensicherheit generell alle Daten im Unternehmen. Analog verarbeitete Daten sind hier ebenso miteinbezogen wie auch jene, die keinen Personenbezug haben.
Die Datensicherheit befasst sich hingegen mit technischen Maßnahmen, die mit Fokus auf die betrieblichen Daten die Sicherung vor
- Manipulation,
- Verlust,
- unberechtigte Kenntnis durch Dritte
gewährleisten sollen.
Auch der gesetzlich regulierte Datenschutz beschäftigt sich mit dem Thema Datensicherheit. So wird in der DSGVO die Umsetzung geeigneter technischer und organisatorischer Maßnahmen gefordert, welche die Datensicherheit personenbezogener Daten gewährleisten. Datensicherheit ist also auch eine Teildisziplin des Datenschutzes.
Benutzerkonten und betriebliche, personalisierte E-Mail-Adressen
Für die Nutzung von digitalen Werkzeugen und Hilfsmitteln, die auch außerhalb der EU zur Verfügung gestellt werden, ist oftmals eine Registrierung in Form eines Benutzerkontos erforderlich. Für die Identifizierung wird in den allermeisten Fällen der Name und eine E-Mail-Adresse genutzt. Personalisierte betriebliche E-Mail-Adressen (z. B. mit Vor- und Nachname) gelten als personenbezogene Daten, die dem Schutz der DSGVO unterliegen. Dieser Schutz erstreckt sich im Falle der personalisierten E-Mail-Adresse auf die Einwilligung der betroffenen Personen, dass diese Daten erhoben, verarbeitet und genutzt werden dürfen.
Voraussetzungen für eine Einwilligung sind eine verständliche Form, die Information über den Zweck der Verarbeitung, ein gegebenes Widerrufsrecht und das Knüpfen an eine Freiwilligkeit. Diese Freiwilligkeit muss im betrieblichen Umfeld durch die Erlaubnis des Arbeitgebers ergänzt werden, da die E-Mail-Adresse des Mitarbeitenden im rechtlichen Sinne dem Arbeitgeber gehört. Willigt also der Mitarbeitende freiwillig und Arbeitgeber generell ein, dass im Zusammenhang mit der betrieblichen, personalisierten E-Mail-Adresse eine Nutzung von Diensten gestattet ist, steht einer Nutzung von digitalen Werkzeugen und Hilfsmitteln auch außerhalb der EU nichts im Wege – auch nicht die DSGVO. Die generelle Aussage, dass eine Nutzung aufgrund des Datenschutzes nicht möglich ist, ist nicht korrekt.
Generell zu prüfen wäre es, wenn bei dem Anlegen des Benutzerkontos noch weitere Informationen außer dem Namen und der E-Mail-Adresse hinterlegt werden müssen. Hier kommt es dann, wie sooft, auf den Einzelfall an.
Erlaubnis mit Sicherheitsvorbehalt
Bei der Nutzung digitaler Werkzeuge, die Daten außerhalb des betrieblichen Schutzrahmens (zum Beispiel in der Cloud) verarbeiten, gilt dann vor allen Dingen der Blick auf die Datensicherheit. Und genau hierauf sollten die Unternehmen auch ihren Handlungsfokus legen –neben der DSGVO-Konformität, selbstverständlich. Auf Basis der Datensensibilität bedarf es hier eines unternehmensindividuellen und -einheitlichen Sicherheitskonzeptes. Dieser Rahmen legt fest, welche Daten außerhalb des Unternehmens verarbeitet werden können und welche nicht. Eine Kategorisierung in bestimmte Schutzniveaus oder -klassen kann hier hilfreich sein. Dieser Rahmen kann zudem Regeln für die Nutzung von Cloud-Angeboten und Werkzeugen beschreiben und damit eine Umkehr des Nutzungsprinzips herbeiführen: Erlaubnis mit Sicherheitsvorbehalt. Damit können die Mitarbeiter ihre Werkzeuge grundsätzlich frei wählen und so am Puls der Zeit bleiben. Wichtig ist, dass diese Regelungen im Unternehmen transparent und für den einzelnen Mitarbeiter leicht verständlich sind. Datensicherheit hat aus Sicht des Unternehmens immer Vorrang.
Three Key-Take-Aways
- Betriebliche Datensicherheit und Datenschutz sind wichtige Themen und müssen keine Innovationshemmer sein.
- Einem generellen Verbot kann mit einer Erlaubnis mit Sicherheitsvorbehalten entgegen getreten werden.
- Eine korrekte Einordnung dieser Aktivitäten verbunden mit klaren, transparenten Regeln sind ein Schlüssel.
Weiterführende Links
- Hessisches Datenschutzgesetz
- Zur DSGVO
- Mehr zu Personenbezogene Daten
- Der Datenschutz in den USA
- Allgemeines zum Thema Datenschutz
- European Data Protection Board Empfehlung
- Artikel zum Thema „Was ist der Unterschied zwischen Datenschutz und Datensicherheit“
- Artikel zu Safe Harbor und Privacy Shield
- Allgemeines zum EU-US Privacy Shield
- Allgemeines zu Safe Harbor
- Blog-Artikel zum EU-US Privacy Shield und dessen Folgen
- Datenschutz in China