Durchblick bei der EU Datenschutz-Grundverordnung

Durch die EU Datenschutz-Grundverordnung (EU-DSGVO) soll der Datenschutz in allen EU-Mitgliedsstaaten unter den gleichen Regeln stehen, sodass es keine nationalen Unterschiede mehr gibt. Wir geben einen Überblick worauf sich Cloud-Nutzer und Cloud-Anbieter bei der DSGVO einstellen müssen.

Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2018 in Kraft tritt, soll der Datenschutz in den EU-Mitgliedsstaaten unter den gleichen Regeln stehen. Nationale Unterschiede gehören dann der Vergangenheit an. Die Regelungen der neuen Verordnung sind dementsprechend tiefgreifend: So regelt die DSGVO umfassend, wie Unternehmen zukünftig mit persönlichen Daten umgehen dürfen. Sie legt die damit verbundenen Nutzerrechte fest und sieht Maßnahmen vor, mit denen das Datenschutzrecht wirksam durchgesetzt werden soll.
Bereits Ende 2015 erzielten Vertreter des Europäischen Rates und des Europäischen Parlaments eine Einigung über den aktuellen Entwurf der Grundverordnung zum Datenschutz der EU. Die Verordnung ist im Frühjahr 2016 in Kraft getreten, wird aber erst ab dem 25. Mai 2018 angewendet. Der Überbrückungszeitraum dient den Unternehmen dazu, sich ausreichend auf das neue Recht vorzubereiten.

Die Zeit drängt

Die Hälfte der Übergangszeit ist abgelaufen. Nur noch knapp 12 Monate haben Unternehmen Zeit, um ihre Datenschutzbestimmungen an die neuen Regelungen anzupassen. Bis zum endgültigen Geltungsbeginn der Grundverordnung bleibt das deutsche Datenschutzrecht unverändert in Kraft. Erst danach werden das Bundesdatenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze weitgehend außer Kraft gesetzt, da die meisten DSGVO-Regelungen unmittelbar anwendbares Recht sein werden. Allerdings haben die Mitgliedsstaaten speziell für die Verarbeitung personenbezogener Daten zur Erfüllung öffentlicher Aufgaben einige Gestaltungsspielräume. Die Gesetzgeber in Bund und Ländern haben sich dementsprechend auf die Fahne geschrieben, bis 2018 die wichtigsten innerstaatlichen Regelungen zur Anpassung an das neue Europäische Datenschutzrecht zu schaffen. So gibt es für das neue BDSG bereits einen neuen Entwurf, welcher von Bundestag und Bundesrat bereits verabschiedet wurde, und nun vom Bundespräsidenten nur noch formal unterschrieben werden muss (Ratifikation), damit sie in Kraft treten kann. Infos zum aktuellen Fahrplan erhalten Sie auf der Webseite von DSVGO.expert.

Was ändert sich für Unternehmen?

Da die EU-Datenschutzgrundverordnung geltendes Recht in allen EU-Mitgliedsstaaten wird, wird es innerhalb der EU zukünftig unbedeutend sein, wo ein Unternehmen ansässig ist oder personenbezogene Daten verarbeitet werden. Damit unterliegen ab Mai 2018 nicht nur europäische Unternehmen dem neuen Datenschutzrecht, sondern alle Unternehmen, die Waren und Dienstleistungen in der EU anbieten. Auch ein US-amerikanischer Cloud-Anbieter, der seine Services in deutscher Sprache anbietet, muss dann die EU-Datenschutzgrundverordnung beachten. Das sogenannte Marktortprinzip soll ein einheitliches Datenschutzniveau in der EU sowie gleiche Wettbewerbsbedingungen für europäische und nicht europäische Unternehmen schaffen.
Des Weiteren bringt die neue Verordnung viele Änderungen mit sich, die sich Unternehmen zu Herzen nehmen sollten.

Übersicht über einige der Änderungen

Stärkung des Einwilligungsvorbehalts der Betroffenen

Wie bisher üblich müssen die User grundsätzlich zur Nutzung ihrer Daten einwilligen. Hinzu kommt die Anforderung, dass der jeweilige Zweck der Datenverarbeitung im Einzelnen konkret benannt werden muss. Gibt es mehrere Zwecke, müssen alle benannt werden. Zudem erhalten die Nutzer ein stärkeres Widerrufsrecht sowie Rücktrittsrechte aus vertraglichen Regelungen.

Möglichkeit zu Datenübertragbarkeit

User erhalten zukünftig das Recht, ihre Daten, die sie einem Anbieter (z. B. E-Mail-, Strom-Provider) zur Verfügung gestellt haben, zu einem neuen Anbieter mitzunehmen. Dafür muss der bisherige Anbieter die Daten in einem standardisierten maschinenlesbaren Format aushändigen. Der neue Anbieter ist verpflichtet, diese Daten zu übernehmen. Wahlweise kann der Nutzer von seinem Altanbieter verlangen, dass dieser dem neuen Provider die Daten direkt zur Verfügung stellt.

Datenschutz für jeden verständlich

Die verantwortlichen Stellen müssen die Nutzer in klarer, verständlicher Sprache und mit leicht nachvollziehbaren Symbolen über die Verarbeitung ihrer Daten sowie ihre Rechte informieren, noch bevor die Daten gespeichert werden. „Kleingedrucktes“ und kryptische Verklausulierungen sollen damit abgeschafft werden.

Kinderdatenschutz

Wie bei anderen Rechtsgeschäften sollen Kinder in Zukunft unterhalb eines bestimmten Alters nur noch mit Zustimmung der Eltern in die Datenverarbeitung einwilligen können. Die EU-Mitgliedsstaaten haben bei den Altersgrenzen einen Spielraum zwischen 13 und 16 Jahren.

Recht auf Vergessenwerden

Jeder Nutzer erhält das Recht darauf, dass die verantwortliche Stelle ihr Möglichstes tun muss, um auf seinen Wunsch seine persönlichen Daten zu löschen. Und zwar nicht nur bei sich selbst, sondern auch bei allen Drittparteien, welche die Daten erhalten haben.

Datenschutzbeauftragte

Nicht mehr alle Unternehmen müssen einen Datenschutzbeauftragten benennen. Diese Pflicht betrifft nur noch Firmen in deren Haupttätigkeit Datenverarbeitungen fallen sowie große Betriebe, die sensible Daten verarbeiten.

Wir haben Ihnen sechs Tipps zusammengestellt, die Ihrem Unternehmen helfen können, sich auf die neue EU-Datenschutz-Grundverordnung vorzubereiten:

  1. Sensibilisieren Sie Ihre Mitarbeiterinnen und Mitarbeiter frühzeitig für das Thema Datenschutz und -sicherheit und kommunizieren Sie die anstehenden Änderungen und Neuerungen im Unternehmen.
  2. Führen Sie eine Soll-/Ist-Analyse durch: Welche Änderungen kommen in Sachen Datenschutz auf uns zu?
  3. Prüfen Sie die etwaigen Rechtsgrundlagen für Ihre bestehenden Prozesse.
  4. Überprüfen Sie Ihre Bestandverträge zur Auftragsdatenverarbeitung.
  5. Organisieren Sie entsprechende Melde- und Dokumentationsabläufe gegenüber den Aufsichtsbehörden.
  6. Etablieren Sie die neu entwickelten Maßnahmen zur Einhaltung der Bestimmungen der EU-DSGVO rechtzeitig in Ihrem Unternehmen.

Welche Konsequenzen müssen Unternehmen fürchten?

Bereits heute ist klar, dass viele Unternehmen die Fristen der EU-DSGVO nicht einhalten werden. Laut einer Umfrage in der Computerwoche werden sogar die meisten deutschen Unternehmen die neuen Datenschutzbestimmungen noch nicht umgesetzt haben, wenn die Verordnung 2018 angewendet wird.

Image

Mission Managed Cloud

Hosting in Public-Cloud-Infrastruktur:
Optimiert auf Ihre spezifischen Anforderungen!

Mit der ADACOR Managed Cloud erhalten Sie die passende Kombination aus der vCloud-Virtualisierungslösung des Marktführers VMware und den Managed Services der ADACOR.

Jetzt informieren!

Aber mit welchen Konsequenzen müssen Unternehmen überhaupt rechnen, die sich bis dahin nicht richtig vorbereitet haben? Die Vorschriften zu Sanktionen regeln die Artikel 83 und 84 EU-DSGVO. Demnach sollen die Mitgliedsstaaten die Vorschriften über strafrechtliche Sanktionen für Verstöße gegen die Verordnung selbst festlegen. Allerdings müssen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Und das kann unter Umständen für ein Unternehmen ein teurer Spaß werden. Ist aktuell nach § 43 Bundesdatenschutzgesetz (BDSG) noch von einer Bußgeldhöhe bis zu 300 Tausend Euro die Rede, werden die Strafzahlungen nach Einführung der EU-DSGVO um ein Vielfaches höher: Sie betragen dann bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Zur Bemessung der Sanktionen gibt es einen Katalog mit Kriterien in Artikel 83, Absatz 2 (a) bis (k) EU-DSGVO.

Wie können Verstöße mit Sanktionen belegt werden?

Nach Artikel 55, Absatz 1 EU-DSGVO ist grundsätzlich jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedsstaats zuständig. Darüber hinaus gibt es die federführende Aufsichtsbehörde gemäß den Artikeln 56 und 60 bei grenzüberschreitender Datenübertragung.
Die mit einem Verstoß verbundenen Kriterien zur Bemessung einer Sanktionen regelt wiederum Artikel 83.

Dazu zählen zum Beispiel:

  • die Art, Schwere und Dauer des Verstoßes,
  • Vorsätzlichkeit oder Fahrlässigkeit,
  • die getroffenen Maßnahmen zur Schadensminderung,
  • mögliche in Frage kommende frühere Verstöße,
  • sonstige Einhaltung der Bestimmungen der EU-DSGVO,
  • Ausmaß der Kooperation mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen,
  • die entsprechende Kategorien der vom Verstoß betroffenen personenbezogenen Daten,
  • die Art und Weise, wie der Verstoß bekannt wurde.

Ist das Kind erst einmal in den Brunnen gefallen, drohen den Unternehmen neben erheblichen Geldstrafen auch der Verlust des guten Rufes oder Entschädigungszahlungen an Kunden. In Extremfällen, wenn Unternehmen bei der Verarbeitung persönlicher Daten erhebliche Sicherheitslücken haben und keine Möglichkeiten zur Nachbesserung ihrer Datenschutzbestimmungen aufzeigen können, kann sogar ein finales Datenverarbeitungsverbot die Folge sein.

Gesamtbetrachtung und Fazit

In der Realität wird es für die Aufsichtsbehörden sicher eine Herausforderung werden, Verstöße gegen die zukünftigen Datenschutzbestimmungen herauszufinden. Sie sind dazu aufgerufen Unternehmen proaktiv zu überprüfen sowie sensibel auf entsprechende Mitarbeiter- oder Kundeninformationen zu reagieren. Auch werden sich vielleicht einige Unternehmen selbst anzeigen, sobald sie in der Presse Ziel findiger Journalisten geworden sind.
Die neue Grundverordnung wird ein Kompromiss zwischen vielen verschiedenen Parteien und ein Spagat zwischen den Interessensgruppen sein. Zwar gibt es viel Verbesserungspotenzial, das augenscheinlich in Angriff genommen wird, aber viele der knapp 100 Bestimmungen haben schwierige oder nicht eindeutig auslegbare Voraussetzungen, die Möglichkeiten für Schlupflöcher bieten. Darüber hinaus kommt kaum eine Regelung ohne etwaige Dokumentations- und Nachweispflichten für die verantwortliche Stelle aus. Möglicherweise kann dies zwar im Sinne des Verbraucherschutzes die Transparenz erhöhen, es bedeutet aber im Gegenzug eine starke Mehrbelastung für die Abteilungen in Unternehmen, die sich mit dieser Materie auseinandersetzen müssen.
Um auf der sicheren Seite zu sein, lassen sich viele Unternehmen datenschutzrechtlich von einem Profi beraten. Darüber hinaus helfen regelmäßige IT-Compliance-Audits dabei, die Daten und damit verbundenen Verarbeitungsprozesse wirksam zu dokumentieren.

, , , ,


Weitere Artikel zum Thema lesen

Verschlüsselungsverfahren im Überblick

IT Security

Verschlüsselungsverfahren im Überblick

E-Mail-Verschlüsselung lohnt sich, wenn man sensible Daten digital übertragen möchte.

weiter lesen

Hackattack – Systemadministratoren besuchen Hacking-Seminar

Hosting, IT Security, IT-News

Hackattack – Systemadministratoren besuchen Hacking-Seminar

Alexander Wichmann berichtet von Besuch des Seminars bei Hackattack.

weiter lesen

IT-Sicherheitsteam ist Garant für Datensicherheit

Cloud, Domains, Hosting, IT Security

IT-Sicherheitsteam ist Garant für Datensicherheit

Ein Team als Bindeglied in der Datensicherheit zwischen strategischer Planung und operativer Umsetzung.

weiter lesen


Neueste Nachrichten von Adacor

Cloud Integration

Cloud

Beschleunigte Digitalisierung durch Cloud Computing

Ohne Prozessveränderungen kein Fortschritt bei der Digitalisierung. Doch Erfolgsfaktoren für eine erfolgreiche Cloud-Integration lassen sich benennen.

weiter lesen

Definition DevOps

Cloud

DevOps: Automatisieren anstelle von Reparieren

DevOps erforden ein Umdenken bei der Adminstration. OpenStack oder OpenNebula – womit gelingt die schnellere Umsetzung von Webservices?

weiter lesen

Mit SSL sicher verschlüsselt

IT Security, IT-News

SSL-Zertifikate mit dreijähriger Laufzeit am Ende

Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.