DSGVO – Antworten auf Ihre häufigsten Fragen

Unser Experte beantwortet Ihre Fragen

 

Die Datenschutz-Grundverordnung (DSGVO oder englisch GDPR), die am 25. Mai 2018 in Kraft tritt, hat erhebliche Auswirkungen auf die Informationssysteme aller Unternehmen. Sie stellt eine schwierige Aufgabe für viele Unternehmen dar, die sich anpassen müssen, um den Anforderungen der Europäischen Union zum Schutz personenbezogener Daten zu entsprechen.

Grégory Gitsels, Data Protection Officer bei OVH, beantwortet die häufigsten Fragen zu DSGVO-Konformität und den Auswirkungen der neuen Verordnung für die Unternehmen.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die am 27. April 2016 von Parlament und Rat der Europäischen Union verabschiedet wurde. Die enthaltenen Datenschutzbestimmungen sind in den EU-Mitgliedstaaten direkt anwendbar. Obwohl die DSGVO 2016 verabschiedet wurde, tritt Sie erst am 25. Mai 2018 endgültig in Kraft. So hatten öffentliche und private Organisationen eine Frist von zwei Jahren, um sich an die Bestimmungen dieses Rechtstextes anzupassen.

Ziel der DSGVO ist, natürliche Personen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen. Sie enthält Rechte und Verpflichtungen für alle Akteure, die diese Art von Daten handhaben.

Außerdem betrifft die DSGVO sämtliche öffentlichen Organisationen sowie Unternehmen jeder Größe, sobald diese personenbezogene Daten verarbeiten.

Was bedeutet DSGVO?

Die Abkürzung DSGVO steht für Datenschutz-Grundverordnung.

Der Begriff der DSGVO bezieht sich somit direkt auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

Was beinhaltet eine Verletzung des Schutzes personenbezogener Daten?

Bei dem Begriff der „Verletzung des Schutzes personenbezogener Daten“ denkt man direkt an ein Datenleck zugunsten unbefugter Dritter (zum Beispiel das Hacking von Daten durch eine Person mit bösartigen Absichten). Das ist auch durchaus richtig, doch ist die Definition des Begriffs in Wirklichkeit weiter gefasst. Laut der Definition der G29 (ein Organ der Europäischen Union, das sich aus den verschiedenen europäischen Behörden zum Schutz personenbezogener Daten zusammensetzt) für die Verletzung des Schutzes personenbezogener Daten liegt eine solche vor bei:

 

  • Verlust der Verfügbarkeit personenbezogener Daten
  • Beeinträchtigung der Integrität personenbezogener Daten
  • Beeinträchtigung der Vertraulichkeit personenbezogener Daten

 

Eine Datenschutzverletzung kann somit nicht nur ein Datenleck, sondern auch den endgültigen Verlust der Daten bedeuten.

Die DSGVO überträgt den Verantwortlichen der Datenverarbeitung sowie den Auftragsverarbeitern neue Verpflichtungen zur Benachrichtigung im Fall von Datenschutzverletzungen.

 

Welche Gesetze regeln den Schutz personenbezogener Daten?

Es gibt mehrere Texte, die den Schutz personenbezogener Daten allgemein oder im Detail regeln:

 

  • Auf internationaler Ebene: Die Konvention Nr. 108, das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, ist ein verbindlicher Vertrag, der allen Ländern offensteht.
  • Auf EU-Ebene: Verordnung 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dieser Daten (DSGVO) sowie Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung.
  • Auf nationaler Ebene: Zahlreiche Länder haben nationale Rechtsvorschriften zum Schutz personenbezogener Daten erlassen. Das ist beispielsweise bei allen Mitgliedstaaten der Europäischen Union der Fall.
Wie definiert die DSGVO personenbezogene Daten?

Der Begriff der personenbezogenen Daten wird in Artikel 4 der DSGVO wie folgt definiert: „alle Informationen über eine identifizierte oder identifizierbare natürliche Person. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann."

Mit anderen Worten bezeichnen personenbezogene Daten einzelne oder die Gesamtheit aller Daten, über die eine Person mit jeglichen Mitteln identifiziert werden kann.

Eine Person ist über personenbezogene Daten indirekt identifizierbar, wenn es nicht direkt durch die reine Lektüre der Daten möglich ist, die Person zu identifizieren. Stattdessen sind hierzu weitere Recherchemaßnahmen notwendig. Das ist zum Beispiel häufig bei E-Mail-Adressen der Fall.

Was sind sensible personenbezogene Daten?

Der Begriff der „sensiblen Daten“ verweist auf die Verarbeitung „besonderer Kategorien von personenbezogenen Daten“ der Datenschutz-Grundverordnung. Diese Daten unterliegen besonderen Regeln, da ihre Verarbeitung grundsätzlich verboten ist.

Sensible Daten betreffen insbesondere:

  • Die Gesundheit oder das Sexualleben einer Person
  • Die rassische oder ethnische Herkunft einer Person
  • Politische Meinungen sowie religiöse oder weltanschauliche Überzeugungen einer Person

Die Verarbeitung dieser Daten ist nur in Ausnahmesituationen gestattet.

 

Kann ich den Verpflichtungen der DSGVO nachkommen, indem ich OVH Dienstleistungen verwende?

Ja, bis zu einem gewissen Grad. Eine der Verpflichtungen eines Verantwortlichen ist, ausschließlich Auftragsverarbeiter heranzuziehen, die hinreichende Garantien dafür bieten, dass personenbezogene Daten entsprechend den Vorgaben der DSGVO verarbeitet werden.
Mit anderen Worten ermöglichen es Ihnen die Garantien seitens OVH als Auftragsverarbeiter, einen Teil Ihrer Verpflichtungen einzuhalten. Zu diesen Garantien gehören unter anderem die von uns umgesetzten Sicherheitsmaßnahmen, Verpflichtungen zum Standort der Verarbeitung Ihrer Daten etc.

Allerdings beinhalten die Verpflichtungen seitens des Verantwortlichen mehr als nur die Auswahl eines DSGVO-konformen Anbieters und gehen weit über den Interventionsbereich von OVH als IT-Auftragsverarbeiter hinaus. Als Verantwortlicher können Sie also keinen Anspruch auf Konformität mit der DSGVO erheben, wenn Sie nur auf die Wahl des richtigen Auftragsverarbeiters achten. Sie müssen auch weitere eigene Verpflichtungen erfüllen: beispielsweise die Rechte betroffener Personen respektieren oder Datenschutz-Folgenabschätzungen durchführen.

Was sind die Verpflichtungen seitens OVH als Anbieter von Cloud-Dienstleistungen?

Als Anbieter von Cloud-Dienstleistungen gilt OVH als Auftragsverarbeiter. Das bedeutet, dass OVH den folgenden Verpflichtungen nachkommen muss:

  1. Keine Wiederverwendung von auf unseren Dienstleistungen gehosteten Daten: OVH verwendet die personenbezogenen Daten eines Kunden ausschließlich zur korrekten Ausführung seiner Dienstleistungen und verarbeitet diese nur auf Anweisung des Kunden.
  2. Übertragbarkeit Ihrer Daten: Sämtliche Cloud-Lösungen von OVH basieren auf technischen Standards, darunter auch verschiedene Open-Source-Technologien. So können Sie Ihre Daten ganz einfach abrufen und migrieren – Reversibilität und Interoperabilität sind möglich.
  3. Präzise Informationen zum Standort Ihrer gespeicherten und verarbeiteten Daten.
  4. Absolute Transparenz bei Invertragnahme von Subdienstleistern.
  5. Benachrichtigung des Kunden bei Verletzung des Datenschutzes.
  6. Ausführliche Dokumentation zu unseren Dienstleistungen: OVH stellt Ihnen die angemessene Dokumentation zur Verfügung, darunter eine Beschreibung der getroffenen Sicherheitsmaßnahmen für Ihre Dienstleistungen, einen Beleg für den Standort der Daten etc.
  7. Vertragliche Garantie unserer Verpflichtungen: Die Verpflichtungen von OVH sind nicht nur schöne Versprechen. Sie sind vertraglich in unserem Data Processing Agreement (DPA) festgehalten. Das Dokument wird als Anlage zu unseren Verträgen hinzugefügt und auf Anfrage unseren Kunden zur Verfügung gestellt.
Welche Pflichten hat OVH mit Bezug auf den Standort der Daten?

Wenn Sie sich für eine OVH Dienstleistung entscheiden, die es Ihnen ermöglicht, Inhalte und insbesondere personenbezogene Daten zu speichern, ist der Standort bzw. die geografische Zone der verfügbaren Rechenzentren auf unserer Website angegeben. Sind mehrere Standorte oder geografische Zonen verfügbar, können Sie Ihren gewünschten Standort bei der Bestellung auswählen.

„Datenspeicherung“ ist jedoch nicht als Synonym zu „Datenverarbeitung“ zu verstehen. Die DSGVO legt hierbei ganz explizit Regeln für die „Verarbeitung“ der Daten fest, und nicht allein für ihre „Speicherung“. Daher ist es wichtig, zwischen diesen beiden Begriffen zu unterscheiden.

Wenn Sie einen Speicherort innerhalb der Europäischen Union auswählen, garantiert Ihnen OVH, dass Ihre Daten nicht außerhalb der Europäischen Union bzw. außerhalb eines Drittlands übermittelt werden, dessen Schutzniveau in Bezug auf personenbezogene Daten (zum Schutz der Privatsphäre, der Grundrechte, Grundfreiheiten und der Ausübung entsprechender Rechte) von der Europäischen Kommission als angemessen anerkannt wurden (Angemessenheitsbeschluss). Außerdem verpflichten wir uns dazu, Ihre Daten niemals in die USA zu übertragen.

Kann OVH meine Daten wiederverwenden?

OVH verwendet die personenbezogenen Daten seiner Kunden ausschließlich zur korrekten Ausführung der Dienstleistungen und verarbeitet diese nur auf Anweisung des Kunden.

Der Kunde bleibt alleiniger Eigentümer der von ihm im Rahmen unserer Dienstleistungen gespeicherten Daten.

OVH ist es untersagt, die genannten Daten weiterzuverkaufen oder für eigene Zwecke (zum Beispiel Datamining, Profiling oder Direktmarketing) zu verwenden.

Wie garantiert mir OVH die Einhaltung seiner Verpflichtungen?

Damit Sie dank der Verpflichtungen seitens OVH einen Teil Ihrer eigenen Verpflichtungen einhalten können, müssen diese in einem Vertrag oder durch eine andere Rechtshandlung, die uns an Sie bindet, festgehalten werden.

OVH garantiert Ihnen diese Rechtswirksamkeit wie folgt:

  • Die allgemeinen Geschäftsbedingungen regeln die Nutzung aller OVH Dienstleistungen und beinhalten Klauseln zum Schutz personenbezogener Daten.
  • Auf Wunsch kann OVH einen speziellen Zusatzvertrag zu Ihrem Vertrag unterzeichnen, der als Data Processing Agreement (DPA) bezeichnet wird. Das DPA behandelt ausschließlich Garantien seitens OVH mit Bezug auf die Verarbeitung personenbezogener Daten.