Kernpunkte:
- Safe Harbor und Privacy Shield
- Grenzüberschreitende Kooperation bei Datenpannen
- Reifegrad datenschutzfördernder Technik
11 Europa und Internationales
11.1 Safe-Harbor-Entscheidung des Gerichtshofs der Europäischen Union
In seinem Urteil vom 06.10.2015, C-362/14 (Schrems) hat der Gerichtshof der Europäischen Union (EuGH) die sogenannte Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt. Während die darin geregelte Selbstzertifizierung US-amerikanischer Unternehmen bisher als Grundlage für Datenübermittlungen in die USA genutzt werden konnte, ist dies mit Verkündung des Urteils nicht mehr zulässig. Damit wurde einer großen Zahl von Datenübermittlungen in die USA die Rechtsgrundlage entzogen. Weitere mögliche Rechtsgrundlagen für eine grenzüberschreitende Datenübermittlung wie Binding Corporate Rules (BCRs), Standardvertragsklauseln sowie die Einwilligung stehen seitdem auf dem Prüfstand.
Behandlung der Schrems-Beschwerde
Der Österreicher Max Schrems hatte im Juni 2013 beim Datenschutzbeauftragten Irlands Beschwerde gegen das Unternehmen Facebook Inc. eingelegt, mit dem Ziel, dem Unternehmen zu untersagen, seine personenbezogenen Daten in die USA zu übermitteln. Er machte geltend, dass das Recht und die Praxis der USA für die übermittelten Daten keinen ausreichenden Schutz gegen die Überwachungstätigkeiten der dortigen Behörden böten. Er verwies dabei auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der USA, insbesondere der National Security Agency (NSA).
Die irische Datenschutzaufsichtsbehörde wies die Beschwerde zurück. Daraufhin erhob Schrems Klage vor dem Irish High Court, der das Verfahren aussetzte und dem EuGH ein Vorabentscheidungsersuchen vorlegte.
Bereits in der Vergangenheit hat das ULD auf Schutzlücken für die Grundrechte der Bürgerinnen und Bürger im Safe-Harbor-Verfahren hingewiesen (35. TB, Tz. 11.3). Auch die Europäische Kommission benannte bereits 2013 diverse Schutzlücken ihrer Safe-Harbor-Entscheidung. Mit Blick auf diese Feststellungen der Kommission macht der EuGH in seinem Urteil deutlich, dass das Safe-Harbor-Verfahren keine ausreichende Begrenzung der Zugriffe von staatlichen Behörden auf personenbezogene Daten aus Europa bewirke. Ebenso fehle es in der Safe-Harbor-Entscheidung an jeder Feststellung über ausreichende Rechtsschutzmöglichkeiten für EU-Bürgerinnen und Bürger. Ohne das Rechtssystem der USA konkret zu bewerten, stellt der EuGH abstrakt fest, dass nationale Regelungen, die es generell gestatten, auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzen. Zudem schränke die Safe-Harbor-Entscheidung die Aufsichtsbefugnisse der europäischen Datenschutzaufsichtsbehörden zu sehr ein.
Für die Rechtmäßigkeit jeder Übermittlung von personenbezogenen Daten in ein Land außerhalb der EU oder des EWR ist u. a. maßgeblich, dass in diesem Land oder beim Empfänger ein vergleichbares Schutzniveau besteht. Dies ist nach Auffassung des EuGH dann grundsätzlich nicht der Fall, wenn ein genereller, uneingeschränkter Zugriff der staatlichen Behörden auf elektronische Kommunikation erfolgen darf. Ein solcher genereller Zugriff würde gegen den Wesensgehalt von Artikel 7 der Grundrechtecharta der Europäischen Union verstoßen. Haben EU-Bürgerinnen und -Bürger zudem keine Möglichkeit, von dem Zugriff zu erfahren und dagegen gerichtlichen Rechtsschutz in Anspruch zu nehmen, läge ein Verstoß gegen Artikel 47 der Grundrechtecharta vor.
Soll eine Übermittlung in ein sogenanntes Drittland ohne angemessenes Datenschutzniveau auf Basis einer Einwilligung des Betroffenen erfolgen, erfordert dies nicht nur eine Aufklärung über die konkreten Zwecke, sondern auch über die Risiken der Datenverarbeitung bzw. den damit verbundenen Verzicht auf ein gleichwertiges bzw. angemessenes Schutzniveau. Der Betroffene müsste daher zunächst umfassend über das fehlende Schutzniveau, vor allem über US-staatliche Zugriffsbefugnisse, fehlende Rechtsschutzmöglichkeiten und Betroffenenrechte, die Weiterverarbeitung der Daten ohne Zweckgebundenheit, die Nichtgeltung des Erforderlichkeitsgrundsatzes sowie über fehlende staatliche Kontrollmechanismen in den USA aufgeklärt werden. Eine informierte Einwilligung würde erfordern, dass der Betroffene daraufhin abschätzen können müsste, was die anlasslose Massenüberwachung durch Geheimdienste und die US-staatlichen Zugriffsmöglichkeiten für ihn bedeutet. Doch dies ist kaum möglich: Vielleicht gerät er – für ihn unvorhersehbar – aufgrund seiner Bekanntschaften, wegen einer Aussage in sozialen Medien oder durch die Kommunikation seiner Interessen (beispielsweise auf einem „Wunschzettel“ („Wishlist“) bei einem Internetanbieter) in den Fokus und muss mit Nachteilen rechnen.
Sollen personenbezogene Daten auf der Grundlage von Standardvertragsklauseln übermittelt werden, hat der Empfänger im Drittland gegenüber dem europäischen Datenexporteur u. a. zu garantieren, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen. Können US-amerikanische Vertragspartner mit Blick auf das in den USA geltende Recht die Verpflichtung nicht einhalten, so ist der Datenexporteur in derartigen Fällen berechtigt, die Datenübermittlung auszusetzen oder den Standardvertrag zu kündigen. Gleiches gilt für die Übermittlung personenbezogener Daten an Auftragsverarbeiter.
Gegenwärtig ist auch fraglich, ob Standardvertragsklauseln als Grundlage für eine Datenübermittlung dienen können, da deren Status als ausreichende Garantie im Datentransfer mit Drittstaaten derzeit Gegenstand einer gerichtlichen Klärung ist. Auf Initiative der irischen Datenschutzaufsichtsbehörde hin ist der Irish High Court mit dieser Frage befasst. Eine Vorabentscheidung durch den EuGH ist wahrscheinlich.
Es ist darauf hinzuwirken, dass die USA ebenso wie andere Staaten mit Datenimporteuren innerstaatliche Rechtsvorschriften oder internationale Verpflichtungen vorweisen, die ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten für Betroffene bieten. Dazu gehört ein wirksamer gerichtlicher Rechtsschutz gegen Eingriffe in das Grundrecht auf informationelle Selbstbestimmung. EU-Bürgerinnen und EU-Bürger müssen die Möglichkeit haben, Zugang zu ihren personenbezogenen Daten zu erlangen und gegebenenfalls gerichtlichen Rechtsschutz in Anspruch zu nehmen.
Was ist zu tun?
Es ist sicherzustellen, dass der Grundrechtsschutz der Betroffenen bei Übermittlungen in Drittstaaten dem Schutzniveau der EU angemessen ist. Die Safe-Harbor-Entscheidung des EuGH bietet hierfür keine Grundlage. Bezüglich der Verwendung von Standardvertragsklauseln wird von der irischen Datenschutzaufsichtsbehörde derzeit eine gerichtliche Klärung angestrebt. Eine vorbehaltlose Vereinbarung der Standardvertragsklauseln kann daher gegenwärtig nicht empfohlen werden.
11.2 Safe-Harbor-Nachfolger – Privacy Shield
Nachdem der EuGH den Safe-Harbor-Beschluss für nichtig erklärt hatte (Tz. 5.1 und 11.1), schuf die Europäische Kommission eine Ersatzregelung in Form des Privacy Shield. Sie hat mit Beschluss vom 12. Juli 2016 das durch das Privacy Shield in den USA erreichte Datenschutzniveau als angemessen anerkannt.
Da dieser Beschluss bindend ist, kann das Privacy-Shield-Abkommen nun trotz der von den Datenschutzbehörden geäußerten Kritik an den Regelungen von verantwortlichen Stellen als Rechtsgrundlage genutzt werden, um Daten aus der EU an die zertifizierten Unternehmen zu übermitteln. Die für den Datenexport verantwortlichen Stellen müssen darauf achten, dass das Unternehmen, das die Daten empfängt, auch tatsächlich auf der Liste des US-Handelsministeriums eingetragen ist. Es ist zudem sicherzustellen, dass sich die Zertifizierung auch auf die jeweilige Kategorie von Daten (Beschäftigtendaten („HR“) oder sonstige Daten („non HR“)) bezieht, die übermittelt werden soll.
Privacy Shield
Als Nachfolger von „Safe Harbor“ („Sicherer Hafen“) wurde das EU-US-Abkommen „Privacy Shield“ („Datenschutzschild“) ausgehandelt. Darin werden Zusicherungen an den Schutz personenbezogener Daten, die aus einem EU-Mitgliedstaat an die USA übertragen werden, aufgeführt. Ähnlich dem „Safe Harbor“ handelt es sich um eine Selbsterklärung von US-Unternehmen, bestimmte Datenschutzgrundsätze einzuhalten. Die Unternehmen müssen sich beim US-Handelsministerium (Department of Commerce) registrieren. Im Privacy Shield sind auch Regelungen zu Datenzugriffen durch Behörden enthalten. Bei Beschwerden können sich Betroffene an das jeweilige Unternehmen, an eine Ombudsstelle oder an ihre nationalen Datenschutzbehörden wenden.
Die Datenschutzbeauftragten der EU-Mitgliedstaaten hatten im Vorfeld der Angemessenheitsentscheidung der Kommission auf zahlreiche und erhebliche Schwachstellen des Privacy Shields hingewiesen und dessen Eignung zur Sicherstellung eines angemessenen Datenschutzniveaus infrage gestellt.
Die Artikel-29-Datenschutzgruppe, ein Gremium der Datenschutzaufsichtsbehörden der EU, hat die Kritikpunkte in einer Stellungnahme ausführlich erläutert (WP 238, Opinion 1/2016 on the EU – U.S. Privacy Shield draft adequacy decision), abrufbar unter:
Mit der Entscheidung der Kommission über die Angemessenheit des durch das Privacy-Shield-Abkommen vermittelten Datenschutzniveaus sind diese Kritikpunkte nicht ausgeräumt, auch wenn diese Entscheidung gültig ist. Viele Bedenken bleiben bestehen, worauf auch die Artikel-29-Datenschutzgruppe in einer Pressemitteilung hingewiesen hat.
Der Angemessenheitsbeschluss selbst enthält eine Überprüfungsklausel. Danach verpflichtet sich die Europäische Kommission, jährlich zu überprüfen, ob die tatsächlichen und rechtlichen Voraussetzungen für die Annahme eines angemessenen Datenschutzniveaus gegeben sind. Die Artikel-29-Datenschutzgruppe hat angekündigt, an dieser Überprüfung teilzunehmen und zu prüfen, ob die noch offenen Kritikpunkte gelöst wurden und die Schutzmaßnahmen des Privacy Shields tatsächlich wirksam sind. Von diesem Ergebnis wird nach Ankündigung der Artikel-29-Datenschutzgruppe nicht nur die Fortgeltung des Angemessenheitsbeschlusses der Kommission abhängen, sondern es wird möglicherweise auch Auswirkungen auf die anderen Instrumente – Standardvertragsklauseln und verbindliche Unternehmensregelungen – haben.
Weitere Informationen zum Privacy Shield stellt das ULD hier zur Verfügung:
https://datenschutzzentrum.de/artikel/1138-1.html
Was ist zu tun?
Es ist nicht unwahrscheinlich, dass die Entscheidung der Europäischen Kommission zum Privacy Shield vom EuGH überprüft wird. Aufgrund der umfassenden Kritik und der Zweifel an der Rechtmäßigkeit des Privacy Shields liegt es nahe, dass im Falle einer gerichtlichen Prüfung auch diese Entscheidung für nichtig erklärt wird. Es kann daher keine Empfehlung gegeben werden, Selbstzertifizierungen US-amerikanischer Unternehmen auf Basis des entsprechenden Beschlusses vorbehaltlos zu akzeptieren.
11.3 Grenzüberschreitende Übung – Umgang mit Datenpannen
Datenpannen können immer vorkommen – aber was ist, wenn mehrere Nationen betroffen sind? Wie stellt man sicher, dass die Kooperation unter den Datenschutzaufsichtsbehörden in Europa funktioniert, um den Vorfall aufzuklären und die geeigneten Maßnahmen zu treffen? Diese Fragen standen im Mittelpunkt der „Pan-European Data Breach Exercise“ („gesamteuropäische Datenschutzvorfallübung“), an der das ULD mitwirkte.
Ausrichter der Übung war das Joint Research Center Ispra, eine Forschungsstelle der Europäischen Kommission. Dort lagen Erfahrungen mit Übungen im Bereich der Informationssicherheit vor. Diese Übungen werden seit mehreren Jahren durchgeführt und beziehen oft Hunderte von Akteuren in ganz Europa oder darüber hinaus ein. Diese Dimensionen haben wir bei der ersten Übung im Jahr 2015 nicht erreicht: Unsere Beteiligten kamen von den Datenschutzbehörden in Frankreich, Griechenland, Irland, Italien, Polen, Spanien und – für Deutschland – aus Schleswig-Holstein. Zu einem verabredeten Tag probten insgesamt 20 Mitarbeiterinnen und Mitarbeiter aus diesen sieben Ländern über mehrere Stunden einen Übungsfall, in dem es um eine Datenpanne und Meldepflichten nach dem jeweiligen nationalen Datenschutzrecht ging. Die Gesamtdauer der Entwicklung dieses Falls von zwölf Tagen wurde auf acht Stunden komprimiert.
Der Fall war zwar fiktiv, aber keineswegs untypisch (siehe auch Tz. 8.4.2): Im Internet taucht eine Datei mit personenbezogenen Daten auf, die Tausende von Kunden aus mehreren Nationen betreffen. Journalisten und besorgte Bürger fragen bei ihrer jeweiligen Datenschutzbehörde nach; eine offizielle Meldung des Datenschutzvorfalls gibt es zu diesem Zeitpunkt nicht. Einige Datenschutzbehörden und Sicherheitsforscher analysieren die Datei und ermitteln die mutmaßliche Quelle des Datenlecks. Das betroffene Unternehmen hat den Hauptsitz in Deutschland – das ULD erhält also als federführende Datenschutzbehörde die „Hauptrolle“ in dieser Simulation –, aber es ist auch in anderen Mitgliedstaaten aktiv. Zuerst bestreitet das Unternehmen, dass ein Datenschutzvorfall vorliegt, doch findet dann heraus, dass aufgrund eines Sicherheitsproblems der Webseite die Daten online ausgelesen werden konnten. Nun werden die notwendigen Informationen bröckchenweise der zuständigen Datenschutzbehörde zur Verfügung gestellt und die betroffenen Kundinnen und Kunden informiert.
Sobald klar ist, dass mehrere Staaten betroffen sind, tauschen sich die Datenschutzbehörden aus. Sie unterstützen sich bei der Aufklärung sowie bei der Information der Betroffenen, um die Risiken eines Missbrauchs der Daten zu reduzieren. Gar nicht so einfach, weil das Unternehmen in Deutsch kommuniziert, aber die Kommunikation unter den Datenschutzbehörden auf Englisch als kleinstem gemeinsamen Nenner stattfindet. Eine sichere Kommunikationsinfrastruktur unter den Datenschutzbehörden in Europa wird für diese Übung als gegeben vorausgesetzt, ist aber auch im Jahr 2017 noch nicht Realität. Davon unabhängig will ein Sicherheitsforscher weitere Informationen verschlüsselt zusenden, und die verschiedenen Datenschutzbehörden verweisen auf ganz verschiedene Wege, wie man sicher mit ihnen kommunizieren kann. Parallel fragt die Presse immer wieder den jeweiligen Informationsstand ab, der sich ständig ändert. Die Erkenntnisse aus den anderen Ländern werden immer wieder zusammengeführt und für die Information der Presse und der Betroffenen in die jeweilige Nationalsprache übersetzt.
Schließlich ist das Sicherheitsloch geflickt; die Kundinnen und Kunden sind informiert und darauf hingewiesen worden, ihre Passwörter zu ändern; das Unternehmen hat alle nötigen Informationen zur Meldung des Sicherheitsvorfalls nachgereicht. Die Simulation endet. In der echten Welt wäre der Fall nun noch nicht vorbei, sondern die zuständige Datenschutzbehörde würde über Sanktionen und das weitere Vorgehen entscheiden.
Wie bei jeder Übung ging es darum, daraus zu lernen. Natürlich lief nicht alles rund – besonders das exakte Übersetzen von einer in eine andere Sprache ist zeitaufwendig. Alle Beteiligten an der Übung hatten immerhin Englischkenntnisse, was nicht an jedem Arbeitsplatz vorausgesetzt werden kann. Außerdem war im Jahr 2015 beim Durchführen der Übung die Datenschutz-Grundverordnung noch nicht in Kraft. Neben dem verschiedenen Recht in den jeweiligen Mitgliedstaaten bestehen auch Unterschiede in der Praxis der Datenschutzbehörden im Umgang mit den Unternehmen und mit der Presse. Schließlich ist nicht jede Dienststelle so aufgestellt, dass die technischen Details bewertet werden können, die von Journalisten, Sicherheitsforschern oder einem Unternehmen in einer Datenschutzvorfallmeldung angeliefert werden.
Erst recht können viele Datenschutzbehörden oft nicht bereitgestellte Daten – im Fall der Übung war das die kopierte Datenbank mit den Kundendaten – mit eigenem Personal und eigenen Mitteln analysieren.
Ein Ergebnisbericht steht unter einer Open-Access-Lizenz im Internet zur Verfügung:
http://www.sciencedirect.com/science/article/pii/S0267364917300808
Was ist zu tun?
Die Kooperation der Datenschutzbehörden innerhalb von Europa ist von großer Bedeutung, auch im Fall von Datenschutzvorfällen. Jede Dienststelle muss künftig neben der rechtlichen Kompetenz auch gutes Technikwissen, Erfahrungen in Presse- und Öffentlichkeitsarbeit und Englischkenntnisse vorhalten. Spezialanforderungen sollten über ein arbeitsteiliges Vorgehen in der Kooperation untereinander erfüllt werden.
11.4 Kooperation im „Internet Privacy Engineering Network“
Bereits im Jahr 2014 war das ULD an der vom Europäischen Datenschutzbeauftragten initiierten Gründung des „Internet Privacy Engineering Network“ (IPEN) beteiligt. Es handelt sich dabei um ein Netzwerk von Datenschutzexperten, Entwicklern und Forschern, das zum Ziel hat, Datenschutz im Internet und in Anwendungen einzubauen. Zu diesem Zweck sollen Datenschutzanforderungen in allen Phasen des Entwicklungsprozesses von Software, Diensten und Infrastruktur Eingang finden.
In der Anfangszeit stand der Informationsaustausch zu wiederverwendbaren Bausteinen, Designmustern und Lösungen für bestimmte Anwendungsfälle mit Risiko für die Betroffenen im Vordergrund. Das Netzwerk IPEN ist mittlerweile auf zahlreichen Veranstaltungen vertreten, um mit anderen relevanten Initiativen zusammenzukommen und Lösungen zu diskutieren. Künftig sollen die Erkenntnisse in Form einer Wissensdatenbank aufbereitet werden und allen Interessierten zur Verfügung stehen.
https://edps.europa.eu/data-protection/ipen-internet-privacy-engineering-network_de
Was ist zu tun?
Initiativen wie IPEN erhalten mit der Datenschutz-Grundverordnung endlich eine größere Relevanz, weil die jahrelangen Forderungen nach eingebautem Datenschutz nun nicht mehr ignoriert werden können. Wer zu diesem Thema beitragen kann, sollte sich in dem Netzwerk einbringen.
11.5 Privacy Engineering und Reifegrad datenschutzfördernder Technik
Artikel 25 Datenschutz-Grundverordnung fordert „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (englisch: „data protection by design and by default“). Zwar hat sich die Dienststelle schon seit mehr als 20 Jahren mit dem Thema beschäftigt (z. B. bei der Sommerakademie 1996 zu „Datenschutz durch Technik“). Auch hat die Internationale Konferenz der Datenschutzbeauftragten im Jahr 2010 in einer Resolution zu „Privacy by Design“ betont, dass eingebauter Datenschutz ein wichtiger Bestandteil des Datenschutzes ist. Jedoch ist Systemgestaltung mit Datenschutz noch immer eine Seltenheit in informationstechnischen Systemen.
Auf europäischer Ebene beschäftigt sich die Europäische Agentur für Netz- und Informationssicherheit (ENISA) nicht nur mit ihrem Schwerpunkt „Sicherheit“, sondern lädt auch Expertinnen und Experten zu Datenschutztechnikthemen ein. Auf diese Weise konnten ULD-Beiträge in die Studie „Privacy and Data Protection by Design“ (Privatheitsschutz und Datenschutz durch Gestaltung) eingebracht werden, in der ausgehend von den datenschutzrechtlichen Anforderungen ein erster Überblick über Möglichkeiten für datenschutzgerechte Systemgestaltung gegeben wird. In der Anfang 2015 erschienenen Studie werden auch die Gewährleistungsziele des Standard-Datenschutzmodells in Bezug auf eingebauten Datenschutz beschrieben.
Im Ergebnis zeigt sich, dass es bereits vielfältige technische und organisatorische Maßnahmen und Bausteine für datenschutzfördernde Systemgestaltung gibt. Die Studie entwickelt die Idee, Maßnahmen und Bausteine für Datenschutz dokumentiert in einer Datenbank zu sammeln und zur Verfügung zu stellen. Das Spektrum reicht von Konzepten über Prototypen bis zu Produkten, auf die eine solche Datenbank verweisen könnte. Hier könnte sogar Code – beispielsweise Programmierbibliotheken – für Softwareentwicklung bereitgehalten werden.
Allerdings ist es für einen Anwender nicht einfach, den Reifegrad dieser Maßnahmen und Bausteine festzustellen. Auch die Qualität und etwaige unerwünschte Nebeneffekte sind schwer für den Laien abschätzbar. Eine intensive Diskussion findet zwar in der Community der „Privacy-Enhancing Technologies“ (datenschutzfördernde Technik) statt, aber ist dort eher auf akademische Forschungsfragen ausgerichtet, statt dass die Praxis mit dem Hintergrund des europäischen Datenschutzrechts behandelt wird. Es fehlt also bislang an einer verlässlichen Bewertungsmethodik.
Dies war der Startpunkt für eine weitere Studie, die ein ULD-Team zusammen mit einem Datenschutzwissenschaftler aus den Niederlanden bis Anfang 2016 erstellt hat: „Readiness Analysis for the Adoption and Evolution of Privacy Enhancing Technologies“ (Reifegradanalyse für die Einführung und Weiterentwicklung von datenschutzfördernder Technik). Hierin schlagen wir eine Methode vor, um verschiedene „Privacy-Enhancing Technologies“ in Bezug auf Reifegrad und Qualität bezüglich des Datenschutzes vergleichen zu können. Wegen der Komplexität des Themas bezieht unsere Methode für die Bewertung ein Expertengremium ein. In zwei kleinen Evaluationen zu existierenden Techniken illustrieren wir die Methode und stellen dar, was nötig wäre, um unsere Idee der Bewertung und Veröffentlichung in die Realität umzusetzen.
Ziel ist nicht nur, diejenigen Maßnahmen und Bausteine zu identifizieren, die definitiv heute schon zum Stand der Technik gehören, sondern es geht uns auch um einen Blick in die Zukunft: Wo sind gute Ansätze am Start, die gefördert werden sollten? Wo ist eine Technik robust genug, dass man sie pilotieren kann? Wie erreicht man den Brückenschlag von der Wissenschaft in die Praxis? Wie können Gesetzgeber, Förderinstitutionen und Aufsichtsbehörden dies optimal unterstützen?
Die Studien liegen auf Englisch vor und sind unter den folgenden Links zu finden:
https://www.enisa.europa.eu/publications/privacy-and-data-protection-by-design
https://www.enisa.europa.eu/publications/pets
Was ist zu tun?
Sowohl Verantwortliche und Auftragsverarbeiter als auch Datenschutzaufsichtsbehörden müssen sich künftig mehr mit datenschutzgerechter Systemgestaltung beschäftigen und prüfen, wie sie diese Konzepte und Entwicklungen in ihrem Zuständigkeitsbereich einbringen können.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |