Unter dem Titel: „Digitale Transformation – die Datenschutz-Zukunft gestalten“ begeht die EU dieses Jahr bereits zum 18. Mal den Europäischen Datenschutztag. Der perfekte Anlass, um das Spannungsverhältnis zwischen digitaler Transformation und dem Datenschutz etwas genauer unter die Lupe zu nehmen.
Digitale Transformation und Digitalisierung
Im Zusammenhang mit der Einführung digitaler Prozesse werden oft die Begriffe digitale Transformation und Digitalisierung verwendet. Auch wenn diese teilweise überlappen, bedeuten sie nicht dasselbe.
Als Digitalisierung wird der Vorgang bezeichnet, in dem analoge Inhalte bzw. Prozesse in digitale umgewandelt werden. Als Beispiel kann das kürzlich eingeführte elektronische Rezept (E-Rezept) dienen, das Verschreibungen von Medikamenten in Papierform ersetzt. Ein anderes Beispiel ist die Nutzung von Online-Fragebögen und -Anmeldeformulare anstelle derjenigen in Papierform. Abgesehen von dem Medium ändert sich bei den digitalisierten Prozessen kaum etwas.
Im Vergleich zur Digitalisierung geht digitale Transformation einen Schritt weiter: Hier wird für bestehende Probleme nach neuen Lösungen gesucht. Ziel ist es, Prozesse schlanker, effektiver und präziser zu gestalten. Im Vergleich zur Digitalisierung handelt es sich deshalb meist um größere Projekte, die nicht selten auch mehrere Digitalisierungsprojekte umfassen. Oft werden dabei auch neuartige Technologien wie etwa Internet der Dinge oder künstliche Intelligenz verwendet.
Der Unterschied zwischen beiden Begriffen kann also wie folgt veranschaulicht werden: Während das Einscannen eines Bildes unter den Begriff Digitalisierung fällt, fällt etwa die darauffolgende Nutzung eines Tools, um das Bild zu verbessern, oder gar die Erstellung des Bildes mittels künstlicher Intelligenz unter den Begriff der digitalen Transformation.
Datenschutz als Beschleuniger oder Verhinderer digitaler Transformation?
Oft wird behauptet, dass digitale Transformation bzw. insbesondere auch Digitalisierung von Geschäftsprozessen wegen der strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO) nicht möglich sind bzw. deswegen zumindest verlangsamt werden. Die Aussage, etwas sei „wegen des Datenschutzes“ nicht möglich, kennt fast jeder.
Bei genauerer Betrachtung entpuppen sich solche Aussagen aber oft als Ausreden. Es stimmt zwar, dass die DSGVO bestimmte Vorgaben an neu einzuführende Prozesse im Rahmen der digitalen Transformation stellt, in denen personenbezogene Daten verarbeitet werden. Dadurch kann die Einführung neuer Prozesse – zumindest, wenn der Datenschutz nicht von Anfang an mitberücksichtigt wird – zweifelsohne etwas verlangsamt werden. Andererseits ist aber oft gerade der Datenschutz der Treiber von Innovationen. Um einige Beispiele zu nennen:
- Es ist maßgeblich der Datenschutz, der die Entwicklung neuer Tools vorantreibt, die Betroffenen mehr Kontrolle über ihre Daten geben sollen. Dazu zählen bspw. Tools zur automatisierten Ausübung von Betroffenenrechten und zur Einwilligungsverwaltung.
- Die strengen Anforderungen an die Sicherheit der Verarbeitung können digital oft einfacher umgesetzt werden und fördern somit indirekt die Digitalisierung. So lassen sich etwa der Schutz von Personaldaten und die Einhaltung gesetzlicher Vorschriften mithilfe eines HR-Management-Tools, mit dem Zugriff nur auf relevante Teile der Bewerbung gewährt werden kann und das eine automatische Löschung nicht mehr benötigter Daten ermöglicht, einfacher gewährleisten als im Falle, dass Bewerbungen per E-Mail oder gar in Papierform mit Kollegen geteilt werden.
- Die strengen Anforderungen an die Widerruflichkeit der Einwilligung führten dazu, dass sich inzwischen in (nahezu) jedem Newsletter ein Opt-out-Button befindet, mithilfe dessen die eigenen Präferenzen ganz einfach angepasst werden können.
Zudem schaffen die strengen Datenschutzanforderungen die Basis für die Akzeptanz der digitalen Transformation bei den Betroffenen. Betroffene werden nicht im Dunklen gelassen, sondern erhalten im Rahmen der Erfüllung der Transparenzanforderungen Informationen zu der jeweiligen Verarbeitung. Dies ermöglicht Betroffenen, die Verarbeitung etwa durch die Ausübung der Betroffenenrechte zu beeinflussen. Des Weiteren können Betroffene eine Beschwerde bei der zuständigen Aufsichtsbehörde einreichen. Der hohe Bußgeldrahmen und die zunehmend aktiven Aufsichtsbehörden sorgen dafür, dass der datenschutzrechtliche Rahmen auch eingehalten wird.
Datenschutzanforderungen bei digitaler Transformation
Rechtsgrundlage und Informationspflichten
Bei der Digitalisierung wie auch bei der digitalen Transformation ist eine Vielzahl datenschutzrechtlicher Anforderungen zu beachten. Wie für jede Verarbeitung muss auch vorliegend zunächst eine Rechtsgrundlage für die Verarbeitung nach Art. 6 DSGVO gefunden werden. Betroffene müssen nach Art. 13 und 14 DSGVO über die Verarbeitung informiert werden.
Verarbeitung im Auftrag
Da digitale Verarbeitungsprozesse im Vergleich zu den analogen in der Regel um einiges komplexer sind, werden oft spezialisierte Dienstleister (Auftragsverarbeiter) eingesetzt. Mit diesen müssen DSGVO-konforme Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen werden. In diesem Zusammenhang hat die Prüfung der technischen und organisatorischen Maßnahmen des Dienstleisters eine große Bedeutung. Dadurch kann sich der Verantwortliche überzeugen, dass die Daten beim Dienstleister ausreichend geschützt sind. Gleichwohl muss der Verantwortliche ggf. zusätzliche Maßnahmen ergreifen, wie etwa durch eine restriktive Vergabe von Zugriffsrechten dafür zu sorgen, dass unbefugte Beschäftigte die Daten nicht einsehen oder gar ändern können.
Privacy by Design und Privacy by Default
In diesem Zusammenhang spielen auch die in Art. 25 DSGVO verankerten Grundsätze von Privacy by Design und Privacy by Default eine herausragende Rolle.
Das Prinzip von Privacy by Design besagt, dass der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung (d.h. in der Planungsphase) als auch zum Zeitpunkt der eigentlichen Datenverarbeitung geeignete technische und organisatorische Maßnahmen treffen muss, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen.
Wegen dieses Grundprinzips muss die DSGVO nicht erst dann beachtet werden, wenn personenbezogene Daten tatsächlich verarbeitet werden, sondern bereits im Planungsstadium. Schon wenn eine Verarbeitung lediglich geplant wird, muss sich der Verantwortliche Gedanken darüber machen, wie die Verarbeitung ablaufen soll, um den Grundprinzipien des Datenschutzes ausreichend Rechnung zu tragen. Der Verantwortliche muss etwa überlegen, welche Daten für die Erreichung des Zweckes der Verarbeitung benötigt werden, welche Speicherdauer tatsächlich notwendig ist sowie welche Maßnahmen ergriffen werden sollten, damit die beabsichtigte Verarbeitung insgesamt transparent und fair ablaufen wird.
Bei Verstößen gegen den Grundsatz von Privacy by Design drohen Bußgelder in Höhe von bis zu 10 Mio. Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr. Folglich bedeutet dies, dass gegen ein Unternehmen auch bei bloßer Nichtbeachtung des Grundsatzes von Privacy by Design in der Planungsphase ein Bußgeld verhängt werden kann, unabhängig von der eigentlichen darauffolgenden Datenverarbeitung.
Mit Privacy by Design eng verbunden ist der Grundsatz von Privacy by Default. Dieser verlangt von Unternehmen, durch entsprechende Voreinstellung zu gewährleisten, dass nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen Verarbeitungszweck erforderlich ist. Dies bezieht sich auf die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Voreinstellungen im System müssen demnach immer den datenschutzfreundlichsten Zustand abbilden. Betroffenen darf zwar die Möglichkeit an die Hand gegeben werden, sich für weniger datenschutzfreundliche Einstellungen zu entscheiden, jedoch soll dies immer auf der Entscheidung des jeweiligen Betroffenen beruhen.
Fazit
Datenschutz stellt an jegliche Prozesse, in denen personenbezogene Daten verarbeitet werden, hohe Anforderungen. Dies gilt zweifelsohne auch für die im Rahmen der digitalen Transformation neu einzuführenden digitalen bzw. digitalisierten Prozesse. Gleichzeitig kann der Datenschutz aber auch wesentlich zur Akzeptanz solcher Prozesse bei den Betroffenen beitragen, denn diese können darauf vertrauen, dass ihre Rechte besser bzw. nachvollziehbarer geschützt werden. Sollte ein Unternehmen diese im Einzelfall verletzen, sind hohe Bußgelder möglich.
Um unnötigen zusätzlichen Aufwand und Verzögerungen zu vermeiden, sind Unternehmen gut beraten, bei Einführung neuer Prozesse ihren Datenschutzbeauftragten bzw. Datenschutzberater frühzeitig und jedenfalls bereits in der Planungsphase einzubinden. So wird nicht nur Art. 25 DSGVO eingehalten, sondern auch verhindert, dass durch später notwendig gewordene Änderungen an den Prozessen Ressourcen verschwendet werden.Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!