Menü
Ein Beitrag von Filoo

EU-DSGVO stellt hohe Ansprüche an Datenschutz

EU-DSGVO für Unternehmen

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung der EU (EU-DSGVO) in Kraft. Sie verlangt „Datenschutz durch Technik“ – oder wie es in Artikel 23 heißt „angemessene technische und organisatorische Maßnahmen“. Was bedeutet das? Schon beim Design eines IT-Systems müssen Datenschutzaspekte an erster Stelle stehen. Das betrifft nicht nur die Datensicherheit, sondern vor allem auch die Privatsphäre der Nutzer dieser Systeme. Datenschutzfördernde Technologien und datenschutzfreundliche Voreinstellungen sollten in Zukunft integraler Bestandteil des Designprozesses von IT-Systemen sein, besonders wenn es um die Verarbeitung personenbezogener Daten geht.
Auch bestehende Systeme müssen auf den Prüfstand: Genügen die aktuellen Lösungen den Vorgaben? Werden die Automatismen der Speicherung persönlicher Daten dem „Recht auf Vergessen“ gerecht? Ist der Datenfluss zu jeder Zeit transparent? Die Datenschutzgrundverordnung schreibt auch vor, dass Unternehmen präzise dokumentieren können müssen, wo sich Daten befinden, wie sie erfasst und gespeichert werden und wer darauf zugreifen kann.
Folgende Punkte werden unter anderem durch die EU-Richtlinie EU-weit vereinheitlicht:

Das „Recht auf Vergessenwerden“


Schon im Bundesdatenschutzgesetz (BDSG) ist festgeschrieben, dass Personen ein Recht darauf haben, dass

  • unrichtige Daten über sie im Netz berichtigt werden
  • umstrittene Daten gesperrt und
  • Daten gelöscht oder gesperrt werden müssen, wenn sie unzulässigerweise gespeichert wurden.


Die EU-Datenschutzgrundverordnung geht da noch einen Schritt weiter. Sie führt nicht nur die Berichtigungspflicht fort, sondern ergänzt noch eine Vervollständigungspflicht. Wurden unvollständige Daten – zum Beispiel veraltete und somit irreführende Kredit-Informationen – gespeichert, sind die Verantwortlichen nun verpflichtet, diese zu vervollständigen. Zudem fordert die EU-DSGVO, dass im Falle der Löschung automatisch alle Stellen verständigt werden, denen die zu löschenden Daten zur Speicherung weitergegeben wurden – wenn dies nicht „unverhältnismäßigen Aufwand“ erfordert und den „schutzwürdigen Interessen des Betroffenen“ entgegensteht. Die Löschpflicht umfasst zudem Links auf die Daten sowie Kopien der Daten.

Laut Aussage des TÜV Süd scheinen die Löschkonzepte vieler Unternehmen diese Anforderungen aber zum aktuellen Zeitpunkt nicht zu erfüllen. Der TÜV Süd bietet im Netz eine Checkliste an: den Datenschutzindikator (DSI). Dieser zeige, dass etwa die Hälfte der Unternehmen, die das Tool benutzt haben, keine klare Regelung für die Sperrung oder Löschung von nicht länger benötigten Daten habe.

Datenportabilität – Wie Unternehmen informieren müssen

Das Auskunftsrecht beinhaltet nicht nur Auskünfte über Art und Zweck der verarbeiteten Daten, sondern auch – zum Beispiel bei Kreditscores – Informationen über die verwendete Logik beim Profiling. Damit nicht genug: Das neue „Recht auf Datenportabilität“ besagt, dass alle Daten, die bei einem Dienstleister zu einer Person gespeichert wurden, in einer standardisierten Form – zum Beispiel als JSON- oder XML-Datei oder in einem anderen weit verbreiteten Format – auf Wunsch an diese Personen herausgegeben werden können müssen. Die Anforderungen an dieses Format sind detailliert: Es muss strukturiert, gängig, maschinenlesbar und interoperabel sein, um den Umzug personenbezogener Daten zu einem neuen Anbieter (etwa einem sozialen Netzwerk, IoT-Plattform oder Telekommunikationsanbieter) zu erleichtern. Wenn technisch machbar, sollen personenbezogene Daten auf Wunsch des oder der Betroffenen sogar direkt zwischen den Anbietern ausgetauscht werden – ein automatisierter Umzug also.
Hier kommt einiges an Arbeit auf Anbieter zu, die im großen Umfang personenbezogene Daten erheben und verarbeiten; die EU-Kommission will mit dieser weit gefassten Regelung mögliche „Vendor Lock-Ins“ gerade bei sozialen Netzwerken beseitigen und mehr Transparenz forcieren.
Softwareentwickler müssen künftig in Datenbanken, in denen personenbezogene Daten gespeichert werden, Schnittstellen einbauen, über die ein Export in ein gängiges Format möglichst unkompliziert funktioniert – Anbieter wiederum müssen eine solche Funktion in ihre Fachsoftware implementieren.


Doch nur mit dem Aufspielen einer neuen Fachsoftware ist es nicht getan. Voraussetzung ist, dass Unternehmen wissen,

  • was wann zu löschen beziehungsweise an den Betroffenen herauszugeben ist,
  • wo sich die Daten befinden und
  • wie sie verteilt wurden.


Spätestens jetzt sollten Unternehmen genau analysieren, welchen Weg personenbezogene Daten in ihren Fachsystemen nehmen – die oben erwähnte Checkliste vom TÜV Süd kann da hilfreiche Hinweise geben.

Videoaufzeichnung eines Webinars von Dr. Christopher Kunz zu den Anforderungen der EU-DSGVO

Datenschutz durch Technikgestaltung

Das Konzept des Datenschutzes durch Technikgestaltung (Privacy by Design) ist ebenfalls eigentlich nichts Neues. Diesen Grundsatz findet man bereits in der Datenschutzrichtlinie RL 1995/46/EG von 1995. In Verbindung mit dem Konzept datenschutzfreundlicher Voreinstellungen (Privacy by Default) in der Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG findet der Grundsatz eine Erweiterung. Aber es waren bisher eben nur Richtlinien. Rechtswirksam waren diese Leitlinien bisher nicht, auch fehlte eine verbindliche Umsetzung in nationales Recht.
Das ändert sich nun durch die EU-Datenschutz-Grundverordnung. Sie schreibt entsprechende Konzepte als „Data Protection by Design“ und „Data Protection by Default“ in Artikel 25 vor. Zudem – und das kann im Falle eines Verstoßes für Unternehmen sehr schmerzlich werden – verhängt sie Sanktionen, die „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen.


Deshalb ist es für Unternehmen, die personenbezogene Daten verarbeiten oder Anwendungen entwickeln, die für die Verarbeitung solcher Daten genutzt werden, von großer Bedeutung, dass bereits in der Entstehungs- und Entwicklungsphase

  • alle datenschutzrelevanten Vorgaben ins Konzept eingearbeitet werden,
  • die Anwendung datenschutzgerecht gestaltet wird und
  • datenschutzfreundliche Voreinstellungen für die Nutzer bedacht werden.

Das bedeutet, dass ein höchstmögliches Schutzniveau standardmäßig implementiert werden muss. Ein konkretes Beispiel: Fragt ein Onlineshop Daten seiner Kunden mittels eines Onlineformulars ab, sollten in Zukunft alle nicht businessrelevante Angaben (das können Telefonnummern oder ähnliches sein) entfallen. Produktmanager und Entwickler sollten sich also im Vorhinein Gedanken machen, was unbedingt benötigt wird und was bisher lediglich aus „Freude am Datensammeln“ abgefragt wurde. Dazu eignet sich am besten eine Checkliste, die man konsequent abarbeitet.
Und wer im Rahmen seiner geschäftlichen Tätigkeit Daten von Kindern (also Personen unter 16 Jahren) erhebt beziehungsweise verarbeitet, sollte ganz besonders aufmerksam sein – denn die EU-DSGVO legt besonderen Wert auf den Datenschutz bei Kindern. Eine Einwilligung der Eltern in die Datenverarbeitung muss zwingend vorliegen und das verarbeitende Unternehmen muss sicherstellen, dass die Einwilligung wirklich von den Erziehungsberechtigten stammt. Wie umfangreich diese „angemessenen Anstrengung“ zur Identifikation der Erziehungsberechtigten in der Praxis sein werden, muss sich zeigen – einschlägige Erfahrungen im Bereich des Jugendschutzes haben aber gezeigt, dass Verfahren wie die Abfrage der Personalausweis- oder Kreditkartennummer kaum ausreichen dürften.

Verpflichtung eines Datenschutzbeauftragten

Wenn die Datenschutz-Grundverordnung im Mai 2018 in Kraft getreten ist, wird es für bestimmte Unternehmen erstmals eine europaweit geltende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geben (Art. 37 DSGVO) [https://dsgvo-gesetz.de/art-37-dsgvo/]. Für definierte Unternehmen war das in Deutschland auch zuvor schon Pflicht, allerdings macht die europaweit geltende Richtlinie die Aufgaben komplexer. Selbstverständlich kann jedes andere Unternehmen freiwillig einen Datenschutzbeauftragten bestellen. Das kann sowohl ein interner als auch ein externer Datenschutzbeauftragter sein.
Nun handelt es sich bei der Bestellung eines Datenschutzbeauftragten ja nicht um eine technische Maßnahme. Wir erwähnen diesen Bereich hier trotzdem, weil sich die Anforderungen an die Stelle erhöhen. Das heißt: Das technische Verständnis desjenigen, der diese Funktion in einem oder für ein Unternehmen übernimmt, muss ebenso umfassend sein wie seine juristischen Kenntnisse bezüglich des Datenschutzes.


Die Datenschutz-Grundverordnung fordert in Abs. 5 des Artikels 37, dass der betriebliche Datenschutzbeauftragte

  • eine gewisse berufliche Qualifikation,
  • das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis und
  • die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben haben müsse.

Die Besetzung dieser Stelle sollte auf keinen Fall unterschätzt werden, auch wenn grundsätzlich „jedermann“ benannt werden kann. Unternehmen sollten sich der Komplexität ihrer technologischen Anwendungen ebenso bewusst sein wie der Dynamik, mit der sich in der Regel IT-Projekte entwickeln.

Risikoanalyse für bestehende Daten

Durch die nahende Einführung der EU-DSGVO ist vielen Unternehmen die Relevanz bewusst geworden, die ein effektives System zum Datenschutzmanagement hat. In Anbetracht der Fülle an Vorschriften, Empfehlungen und technischen Möglichkeiten ist dies aber gar nicht so einfach. Da macht zum Projektstart die Durchführung einer Risikoanalyse Sinn.
In einem ersten Schritt werden dafür bestehende Risiken identifiziert. Die können zum Beispiel durch Data-Profiling-Verfahren oder Methoden zur Videoüberwachung verstärkt werden. Auch Tracking-Tools können unter Umständen Risiken bergen. Diese benutzen zahlreiche Unternehmen, um zum Beispiel die Bestellraten in Onlineshops oder den Erfolg einer Marketing-Kampagne auszuwerten. Nicht alles was dabei technisch möglich ist, ist rechtlich erlaubt. Des Weiteren sollten Unternehmen untersuchen, ob es bestimmte Schnittstellen gibt, die dem Datendiebstahl Vorschub leisten. Dabei muss es nicht immer ein Angriff von außen sein, der datenschutzrelevante Informationen betrifft. Häufig führt fahrlässiges Handeln der eigenen Mitarbeiter zu Verlusten oder zur Preisgabe personenbezogener Daten.

Image

Sie wollen eine sichere Cloud?

Dann haben Sie diese mit CloudEasy soeben gefunden. Hier bekommen Sie eine skalierbare Lösung, mit der Sie sofort loslegen können.
Es gibt keine lange Einarbeitungszeit – diese Cloud funktioniert einfach.
Jetzt direkt informieren


Wichtig ist auch, verschiedene Risiken genau voneinander abzugrenzen. Auf der einen Seite gibt es Schwachstellen, die jene Personen gefährden, deren Daten von einem Unternehmen verarbeitet werden. Wenn zum Beispiel die Nutzerdaten eines Dating-Portals in die falschen Hände geraten, kann das beträchtliche Folgen für die Mitglieder des Portals haben. Mittelbar würde dies natürlich erhebliche rechtliche Konsequenzen für den Betreiber nach sich ziehen. Zum anderen gibt es aber das Risiko, dass durch die Speicherung oder Weitergabe von Daten Persönlichkeitsrechte verletzt werden. Die Folge in beiden Fällen: Ermittlungen der Aufsichtsbehörden, zivilrechtliche Haftungsrisiken oder auch Rufschäden sowie hohe Bußgelder.
Bei der Datensicherheit, also der IT-Security, gibt die EU-DSGVO ein angemessenes Schutzniveau unter Berücksichtigung des Standes der Technik als Minimalkriterium für die Datensicherheit vor – unter Anderem schließt dieses Schutzniveau Sicherheits-Audits und Verschlüsselung sensitiver Daten ein. Höchste Zeit also für regelmäßige Audits und eine umfassende Sicherheitsanalyse!
In einem weiteren Schritt geht es darum, die Risiken zu bewerten, das heißt im eigenen System zu schauen, wie wahrscheinlich es ist, dass ein identifiziertes Risiko auch eintritt.
Nicht zuletzt müssen Maßnahmen festgelegt und umgesetzt werden. Sinnvoll ist hierbei, Risiko-Kennziffern einzuführen. Anhand solcher Kennzahlen können die Risiko-Controller Qualität, Schnelligkeit und Effizienz des Risikomanagementprozesses jederzeit bewerten und schnell entscheiden, ob zum Beispiel ein Vorfall an die Behörden gemeldet werden sollte.

Datenübermittlung aus der EU in Drittstaaten

Die Übermittlung personenbezogener Daten aus der EU in Drittstaaten ist eines der schwierigsten Themen des Datenschutzrechts. Mit dem Thema beschäftigte sich schon das Safe-Harbor-Urteil des EuGH vom 6. Oktober 2015, auch das sogenannte „Privacy Shield“ aus dem Jahr 2016 bezieht sich darauf. Was verändert sich mit der EU-DSGVO?
Im Fokus steht wie bisher, ob der Datenverarbeiter im Drittland ein „angemessenes Datenschutzniveau“ einhält. Allerdings wurden die Anforderungen an die Feststellung des angemessenen Niveaus in Artikel 45 der EU-DSGVO [https://dsgvo-gesetz.de/art-45-dsgvo/] im Vergleich zur bisherigen Rechtslage verschärft. Das Unternehmen, das personenbezogene Daten europäischer Bürger in Drittländer vermittelt, muss sich seiner Verantwortung bezüglich der gesamten Datenverarbeitungskette bewusst sein. Besonders bei der Nutzung vieler Cloud-Angebote ist das von Bedeutung. Die Zeiten des „Happy-go-lucky“ sind also vorbei.


Das bedeutet, dass Unternehmen genau wissen sollten,

  • welche Daten erhoben werden,
  • wie die die Daten gespeichert werden und
  • wie die Daten (und eventuell vorhandene Back-ups) wirksam gelöscht werden können.


Die Vorschriften gelten übrigens nicht nur für die erstmalige Übermittlung personenbezogener Daten an einen Dienstleister im Drittland. Auch bei der Weiterübermittlung durch den Dienstleister im Drittland selbst, muss immer sichergestellt sein, dass die Anforderungen an die internationale Datenübermittlung und die sonstigen Bestimmungen des EU-DSGVO eingehalten werden. So soll verhindert werden, dass das Datenschutzniveau der EU-DSGVO untergraben wird.
Neu im Vergleich zur bisherigen Rechtslage ist auch der territoriale Anwendungsbereich. Der folgt ab Mai 2018 dem sogenannten Marktortprinzip. Das heißt: Sogar, wenn ein Unternehmen keinen Sitz und keine Niederlassung in einem EU-Land hat, es aber Personen aus der Europäischen Union Waren oder Dienstleistungen anbietet oder deren Daten verarbeitet, gilt die EU-DSGVO.
Der Datenschutzbeauftragte des Landes Nordrhein-Westfalen empfiehlt daher, „für Übermittlungen von personenbezogenen Daten in Drittstaaten möglichst umfassende Verschlüsselung einzusetzen.“ Die Schlüsselverwaltung sollte zudem möglichst beim Datenexporteur aus dem EU-Land liegen.

, , ,


Weitere Artikel zum Thema lesen

IT Security

Datensicherheit beim Löschen von Daten

Sind Daten nach dem Löschen unwiederbringlich weg? Der sichere Löschvorgang läuft bei uns in vier aufeinander folgenden Schritten ab.

weiter lesen

Welche Neuerungen bringt die revidierte Norm ISO/IEC 27001:2013?

Biz & Trends, IT Security

Welche Neuerungen bringt die revidierte Norm ISO/IEC 27001:2013?

Inhaltlichen Änderungen und Übergangsfristen für Unternehmen.

weiter lesen


Neueste Nachrichten von Adacor

OpenStack Cloud Module

Cloud

Von VMware zur Self Managed Cloud – OpenStack auf dem Prüfstand

Was leistet die Open-Source-Software OpenStack? Wo liegen ihre Grenzen?

weiter lesen

Nach der Cloud Foq-Computing

Biz & Trends

Eine Orientierung zum Fog-Computing

Nach dem Cloud-Computing kommt mit dem Fog-Computing ein neuer Trend in die IT.

weiter lesen

Wie Kommunikation gelingt

Biz & Trends

So gelingt Kommunikation richtig!

Unsere neue Kolumne: Wie Worte und Gefühle positiv auf Gespräche wirken.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.