Die EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung (DSGVO) tritt 25. Mai 2018 in Kraft. Sie wird auf Unternehmen mit großen IT-Abteilungen und Rechenzentren erhebliche Auswirkungen haben. Um der neuen Verordnung pünktlich gerecht werden zu können, helfen gezielte Vorbereitungsmaßnahmen.

Besonders Unternehmen, welche mit personenbezogenen Daten arbeiten, sind von der neuen Verordnung betroffen.

Die neue DS-GVO ist aber im Prinzip nur eine Weiterentwicklung der bestehenden EU-Datenschutzrichtlinie. Für ein Unternehmen, welches gerade erst den EU-Markt für sich erschließt, hält die DS-GVO einige Herausforderungen bereit. Für Unternehmen, die Best Practices und Branchenstandards (beispielsweise PCI DSS, SANS Top 20, ISO 27001) bereits befolgen, sollte sie hingegen kein allzu großes Problem darstellen, sofern nun zügig mit der Umsetzung der Verordnung begonnen wird.

Alle Unternehmen, welche sich aber nicht bereits JETZT um die Umsetzung kümmern, droht Ungemach - die Abmahnvereine und deren Anwälte bereiten sich nämlich sehr intensiv vor, es gibt viel zu verdienen...

 

 

Geldstrafen bei Verstößen

Eine der Neuerungen sind empfindliche Geldstrafen bei Verstößen: In Art. 83 Abs. 4 DSGVO ist jetzt ein Bußgeldrahmen von bis zu € 10 Mio. vorgesehen; gemäß Art. 83 Abs. 5 und 6 sogar bis zu € 20 Mio. oder 4% des weltweiten Jahresumsatzes (je nachdem, was höher ist!).

Das Vokabular der DS-GVO

Die DS-GVO ist ein umfangreiches Dokument. Die wichtigsten Vorgaben für IT- und Sicherheitsexperten sind aber in einigen wenigen Artikeln der Verordnung enthalten.

  • In der DS-GVO steht der Begriff personenbezogene Daten für „alle Informationen, die sich auf eine betroffene Person beziehen“. Eine betroffene Person ist „eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die [jemand] aller Voraussicht nach einsetzen würde“.
  • Diese nicht ganz unkomplizierte Definition wurde aus der ursprünglichen Datenschutzrichtlinie übernommen. Genau wie diese umfasst die DS-GVO Kennzeichen wie Telefonnummern, Adressen und Kontonummern sowie Online-Kennungen wie E-Mail-Adressen und biometrische Daten.
  • Die DS-GVO berücksichtigt auch nicht eindeutige Merkmale. Dazu gehören unterschiedliche Datenfelder, typischerweise Geodaten und Datumsangaben. Indem man diese Daten weiter verarbeitet oder man zusätzlich externe Referenzquellen benutzt, lässt sich eine Person indirekt identifizieren. Jeder sollte also personenbezogene Daten schützen. Denn anonymisierte Daten werden weder von der DS-GVO noch von der aktuellen Datenschutzrichtlinie abgedeckt.
  • Die DS-GVO nutzt weiterhin die Begriffe für die Verarbeitung Verantwortlicher und Auftragsverarbeiter. Ein für die Verarbeitung Verantwortlicher ist jeder, der „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Es handelt sich dabei also um das Unternehmen oder die Organisation, die zu Beginn entscheidet, Daten der betroffenen Person zu erfassen.
  • Ein Auftragsverarbeiter ist jeder, der die Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Die DS-GVO definiert das Speichern von Daten explizit als Verarbeitungsverfahren. Dementsprechend gilt das Gesetz beispielsweise auch für Cloud-basierte virtuelle Speicher.
  • Allgemein stellt die DS-GVO Regeln für den Schutz personenbezogener Daten auf, die von einem Verantwortlichen erfasst und an eine mit der Bearbeitung beauftragte Person weitergegeben werden. Das ursprüngliche Manko der Datenschutzrichtlinie in Bezug auf Cloud-Anbieter wird in der aktuellen Fassung der DS-GVO behoben.

Die Artikel im Einzelnen
Das neue Gesetz definiert die Pflichten derer, die Daten im Auftrag verarbeiten – und damit von Cloud-Anbietern – genauer. Dies betrifft die Artikel 26 (Auftragsverarbeiter) und 30 (Sicherheit der Verarbeitung). Diese entsprechen in der Datenschutzrichtlinie dem Artikel 17. Prinzipiell sagt er aus, dass ein Cloud-Anbieter die Sicherheit der Daten, die ihm vom für die Verarbeitung Verantwortlichen übergeben werden, gewährleisten muss.

Die DS-GVO sieht die Möglichkeit vor, Schadenersatzansprüche direkt gegenüber dem Auftragsverarbeiter geltend zu machen. In der aktuellen Datenschutzrichtlinie ist dies nur gegenüber dem für die Verarbeitung Verantwortlichen möglich.

  • Artikel 5 (Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten) nennt im Prinzip dieselben Anforderungen zur Minimierung der erfassten Datenmenge wie die aktuelle Datenschutzrichtlinie: Personenbezogene Daten müssen „dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt sein“. Der Artikel besagt jedoch auch, dass letztendlich der für die Verarbeitung Verantwortliche die Sicherheit der Daten gewährleisten muss.
  • Artikel 23 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) enthält zusätzliche Aspekte eines Privacy by Design. Er geht genauer auf das Minimierungsprinzip ein: Der für die Verarbeitung Verantwortliche muss die Dauer der Datenspeicherung sowie den Zugriff grundsätzlich beschränken. Zudem wird die EU-Kommission ermächtigt, genauere Anforderungen zum Datenschutz durch Technik zu einem späteren Zeitpunkt festzulegen.

Neue Anforderungen
Die DS-GVO sieht einige neue Anforderungen vor. Auch hier gilt: Wer sich bereits an Best Practices orientiert, für den hält sich der Aufwand in überschaubaren Grenzen. Wobei die Datenschutz-Folgenabschätzung (siehe unten) eine bürokratische Hürde darstellt, die möglicherweise gelegentliches Kopfschütteln verursachen wird.

  • Artikel 28 (Dokumentation) enthält sowohl für Auftragsverarbeiter als auch für die für die Verarbeitung Verantwortlichen zusätzliche Anforderungen hinsichtlich der Dokumentation von Verarbeitungsvorgängen. Künftig müssen die vom für die Verarbeitung Verantwortlichen erfassten Daten kategorisiert, die Empfänger der Daten dokumentiert und Fristen für das Löschen der personenbezogenen Daten angegeben werden.
  • Artikel 33 sieht eine Datenschutz-Folgenabschätzung vor, bevor der für die Verarbeitung Verantwortliche neue Dienste oder Produkte anbietet, in deren Rahmen die wirtschaftliche Lage, der Aufenthaltsort, der Gesundheitszustand oder persönliche Vorlieben analysiert und Daten über die Rasse, das Sexualleben oder ansteckende Krankheiten der betroffenen Person verarbeitet werden. Die Datenschutz-Folgenabschätzung soll die Privatsphäre der betroffenen Person schützen, indem der für die Verarbeitung Verantwortliche unter anderem angeben muss, welche Sicherheitsmaßnahmen er zum Schutz der Daten ergreift.
  • Die neue Meldepflicht bei Sicherheitsvorfällen hat in den Medien wohl am meisten Aufsehen erregt. Bisher müssen nur Telekommunikations- und Internetdienstanbieter Datenschutzverletzungen innerhalb von 24 Stunden melden (Datenschutzrichtlinie für elektronische Kommunikation).
  • Basierend auf dieser Richtlinie schreibt Artikel 31 der DS-GVO vor, dass der für die Verarbeitung Verantwortliche die Aufsichtsbehörde über die Art der Datenschutzverletzung, die betroffenen Datenkategorien, die Zahl der betroffenen Personen und die bereits ergriffenen Maßnahmen informieren muss.
  • Laut Artikel 32 müssen anschließend die betroffenen Personen benachrichtigt werden.
  • Artikel 17 (Recht auf Vergessenwerden und auf Löschen) verschärft die Regeln zum Löschen von Daten der aktuellen Datenschutzrichtlinie und führt das umstrittene Recht auf Vergessenwerden ein. Zudem wäre der für die Verarbeitung Verantwortliche gezwungen, alle vertretbaren Schritte zu unternehmen, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass die Löschung von Daten angefordert wurde.
  • Für Social-Media-Dienste, die personenbezogene Daten ihrer User im Internet veröffentlichen, würde dies bedeuten, dass sie nicht nur die von den Usern eingegeben Informationen löschen, sondern auch andere Website-Betreiber in Kenntnis setzen müssten, die diese Informationen kopiert haben. Das könnte ziemlich aufwendig werden.
  • Eine Anforderung, die weniger Aufmerksamkeit erregt hat, jedoch erhebliche Konsequenzen nach sich zieht, ist das in Artikel 3 beschriebene neue Prinzip der Extraterritorialität. Es sagt aus, dass sämtliche Anforderungen der DS-GVO selbst für Unternehmen ohne Niederlassung in der EU gelten, die Daten von EU-Bürgern verarbeiten zum Beispiel über eine Website. Dieses Konzept ist einigermaßen umstritten. Insbesondere ist unklar, wie es sich durchsetzen lässt.

Compliance mit der DS-GVO
Zu den wichtigen Streitpunkten gehörten die Meldefrist für Sicherheitsvorfälle (24 Stunden im Entwurf des Parlaments versus 72 Stunden in dem des Rats), das Benennen eines Datenschutzbeauftragten (obligatorisch versus freiwillig) und die maximale Höhe der Geldbußen bei Verstößen (fünf Prozent versus zwei Prozent des weltweiten Jahresumsatzes des für die Verarbeitung Verantwortlichen).

Im Laufe der Verhandlungen wurde ein Ziel der DS-GVO bereits aufgegeben. Nämlich dass, eine zentrale Aufsichtsbehörde zu schaffen, die Beschwerden bearbeitet und die Umsetzung des Gesetzes sicherstellt.

One-Stop-Shop
Mit dem „One-Stop-Shop“ wird bei grenzüberschreitenden Datenverarbeitungen für Unternehmen und deren Tochtergesellschaften nur noch eine federführende Aufsichtsbehörde am Sitz der „Hauptniederlassung” zuständig sein, Art. 56 Abs. 1, Abs. 2 DSGVO. In Art. 4 Abs. 16 DSGVO wird der Begriff der Hauptniederlassung für den Verantwortlichen und Auftragsverarbeiter nicht einheitlich definiert, entscheidend ist jedoch der zentrale Verwaltungssitz in der Europäischen Union. Auf diesen kommt es allerdings dann nicht an, wenn die Entscheidungen über die Zwecke und Mittel der Verarbeitung in einer anderen Niederlassung getroffen und von dieser umgesetzt werden. Dann gilt diese Niederlassung als Hauptniederlassung, Art. 4 Abs. 16 lit. a DSGVO. Durch diese Ausnahme wird die Bedeutung des „One-Stop-Shop“ relativiert.

Die federführende Behörde ist dann nicht zwingend zuständig, wenn eine Beschwerde ausschließlich die Niederlassung eines Mitgliedstaates betrifft oder sich die Datenverarbeitung auf betroffene Personen in diesem Mitgliedstaat auswirkt. In diesen Fällen bleibt zunächst die nationale Aufsichtsbehörde zuständig, Art. 56 Abs. 2 DSGVO. Allerdings muss sie die federführende Aufsichtsbehörde über eine solche Beschwerde unterrichten, die den Fall innerhalb einer Frist von drei Wochen an sich ziehen kann, Art. 56 Abs. 3 DSGVO.

Sobald die federführende Behörde den Fall tatsächlich an sich zieht oder wenn ein Vorgang mehrere Mitgliedstaaten betrifft, arbeitet die federführende Aufsichtsbehörde mit den betroffenen nationalen Aufsichtsbehörden nach dem Verfahren über die Zusammenarbeit gemäß Art. 60 ff. DSGVO zusammen. Dazu gehören unter anderem Amtshilfen für einzelne Fragestellungen, ein umfassender zweckdienlicher Informationsaustausch und die Vorlage eines Beschlussvorschlags durch die federführende Behörde, Art. 60 Abs. 3 DSGVO. Innerhalb von vier Wochen kann gegen diesen Beschluss der Einspruch durch eine der betroffenen Behörden eingelegt werden, Art. 60 Abs. 4 DSGVO.

Soweit eine Einigung in der Vorgehensweise zwischen der federführenden und der betroffenen Aufsichtsbehörde erzielt wird, ergeht ein entsprechender Beschluss durch die federführende Aufsichtsbehörde an die Hauptniederlassung des Verantwortlichen. Der Beschwerdeführer wird von der Aufsichtsbehörde über den Beschluss informiert, bei der die Beschwerde eingelegt wurde, Art. 60 Abs. 7 DSGVO. Eine einheitliche Beschwerde kann gemäß Art. 60 Abs. 9 DSGVO auch in Teilbeschlüsse aufgeteilt werden.

Für Unternehmen, die Neulinge auf dem europäischen Markt sind, und für jedes Unternehmen (insbesondere aus den USA), das in die Extraterritorialitäts-Falle tappt, kann die DS-GVO durchaus ein Schock sein. Dies gilt vor allem für webbasierte Dienste, die nicht unter die bestehenden US-amerikanischen Datenschutzgesetze für die Medizin- oder Finanzbranche fallen.

Unternehmen sollten ihre Aufmerksamkeit grundsätzlich auf die folgenden Bereiche konzentrieren:

  • Datenklassifizierung – Unternehmen sollten in Erfahrung bringen, wo im System personenbezogene Daten gespeichert sind insbesondere in unstrukturierten Formaten wie in Dokumenten, Präsentationen und Kalkulationstabellen. Das ist wichtig, um die Daten schützen und Anforderungen zum Korrigieren und Löschen von Daten nachkommen zu können.
  • Lokalisierung vertraulicher Informationen
  • Metadaten – Aufgrund der Speicherfristen muss man wissen, wann, weshalb und für welchen Zweck Daten erfasst wurden. Bei personenbezogenen Daten, die in IT-Systemen gespeichert sind, sollte regelmäßig geprüft werden, ob sie weiterhin aufbewahrt werden müssen.
  • Governance – Nachdem der Datenschutz durch Technik nun gesetzlich festgeschrieben wird, sollten sich Unternehmen mit den Grundprinzipien der Data Governance vertraut machen. Für unstrukturierte Daten sollten sie also Klarheit darüber haben, wer personenbezogene Daten verwendet und wer zugriffsberechtigt sein sollte. Darüber hinaus sollten Unternehmen eine rollenbasierte Zugriffskontrolle einführen. Dabei erhält jeder Mitarbeiter genau die Rechte, die er braucht, um seinen Job zu machen.
  • Überwachung – Die Meldepflicht für Sicherheitsvorfälle bedeutet zusätzlichen Aufwand seitens der für die Verarbeitung Verantwortlichen. Firmen sollten in der Lage sein, ungewöhnliche Zugriffsmuster bei der Verwendung personenbezogener Daten zu erkennen und Datenschutzverletzungen unverzüglich ihrer Datenschutzbehörde zu melden. Wird das unterlassen, drohen empfindliche Geldbußen insbesondere für multinationale Konzerne mit hohen Umsätzen.
  • Prozesse definieren
  • Prozesse bei und mit Dritten
  • Einhaltung der Richtlinien
  • Aussagekräftiges Reporting
  • Sensibilisierung
  • Organisation

Interessiert an mehr Information? Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!