Partnerportal

“Alles Wissenswerte rund um die DSGVO”

Die EU-DSGVO: Was Sie wissen und beachten sollten


Dots

Der Schutz personenbezogener Daten ist ohne Frage eines der zentralen Themen in der aktuellen öffentlichen Diskussion. Im Schatten der fortschreitenden Digitalisierung hat sich eine wahre ‚Datenwirtschaft‘ gebildet, deren Geschäftsmodell auf dem Handel mit persönlichen Daten beruht. Gerade kostenlose Onlinedienste- und produkte sind nicht so kostenlos, wie sie es uns gerne vermitteln wollen, denn es gilt in vielen Fällen: ‚if you’re not paying for the product, you are the product‘.

EU-DSGVO kurz erklärt

Um dem zunehmenden Datenhandel Einhalt zu gebieten und Individuen besser zu schützen, tritt am 25. Mai 2018 die EU-Datenschutzgrundverordnung (EU-DSGVO, kurz DSGVO) nach einer zweijährigen Übergangsfrist offiziell in Kraft. Die Ziele der international als General Data Protection Regulation (GDPR) bekannten Gesetzesmaßnahme orientieren sich am Schutz der Grundrechte und -freiheiten natürlicher Personen und dabei insbesondere am Recht auf Schutz personenbezogener Daten. Konkret gehen bei der Datenverarbeitung damit verschiedene Betroffenenrechte gegenüber Organisationen einher, beispielsweise:

  • Auskunftsrecht
  • Recht auf Löschung oder Einschränkung der Verarbeitung
  • Widerspruchsrecht
  • Zugriffsrecht
  • Nachbesserungsrecht

Privacy ist der Kerntreiber der DSGVONeu ist ebenfalls die sogenannte Datenschutz-Folgeabschätzung als umfangreiches Bewertungsverfahren bei risikobehafteten Datenverarbeitungen. Ergeben sich Datenverstöße, müssen die zuständige Aufsichtsbehörde binnen 72 Stunden informiert werden. Besteht ein hohes Risiko, muss auch der Betroffene unverzüglich benachrichtigt werden. Warum gerade diese kurzen Zeiträume so relevant sind, erkläre ich an einem Beispiel weiter unten.

Wird auf Organisationsseite nach dem Inkrafttreten im Mai 2018 gegen die EU-DSGVO verstoßen, drohen Sanktionen in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes – kein Pappenstiel also.

BDSG und DSGVO

Bei der Datenschutzgrundverordnung handelt es sich um ein europäisches Gesetz; sie gilt damit in allen europäischen Mitgliedsstaaten. Jedoch sind die nationalen Gesetzgeber dazu ermächtigt, einige Punkte der Verordnung (im Fachjargon „Öffnungsklauseln“) zu ergänzen bzw. zu konkretisieren. Ein klassisches Beispiel hierfür ist der Beschäftigtendatenschutz als Regelung dessen, wie Arbeitgeber personenbezogene Daten ihrer Beschäftigten compliant und EU-konform verarbeiten.

Das bislang gültige Bundesdatenschutzgesetz (BDSG) verliert also durch die EU-DSGVO seine Gültigkeit, wird jedoch durch ein deutsches Anpassungsgesetz (BDSG-neu) am 25. Mai 2018 ersetzt.

DSGVO: Wer ist betroffen?

Warum ist das wichtig? Betroffen sind alle Organisationen, die Personendaten von EU-Bürgern speichern oder verarbeiten. Diese sogenannte Auftragsdatenverarbeitung tangiert zweifellos ein großes Spektrum an Unternehmen, Institutionen, Behörden und andere Organisationen. Einer Bitkom-Studie zufolge läuft ohne die Nutzung und / oder Verarbeitung personenbezogener Daten kaum etwas in deutschen Unternehmen. So gaben 32 Prozent an, dass die Nutzung eben dieser Daten wichtig für die Verbesserung ihrer Produkte oder Dienstleistungen sei. Für sogar 42 Prozent bilde die Nutzung von Personendaten sogar die Grundlage ihres Geschäftsmodells. Relevanz ist demnach gegeben – alarmierend ist jedoch die Tatsache, dass der überwiegenden Mehrheit der deutschen Unternehmen Stand heute in wenigen Monaten Bußgelder in Millionenhöhe drohen, da gerade einmal 13 Prozent mit ersten Maßnahmen begonnen oder diese umgesetzt haben. Stand heute wird also nur eine Minderheit die umfangreichen Grundsätze der DSGVO (u.a. Dokumentationspflicht, Informationspflicht, Nachweispflicht, Löschpflicht etc.) bei ihrem Inkrafttreten erfüllen können.

Wer ist verantwortlich?

Wichtig zu wissen: Datenschutz wird künftig Chefsache! Bei Verstoß oder Missachtung des Gesetzes wird der Auftragsverarbeiter zum Verantwortlichen (Art. 28 Abs. 10 EU-DSGVO). Vorstände bzw. Geschäftsführer haben eine gesetzliche Kontrollpflicht und können demnach persönlich zur Haftung herangezogen werden, was Geldbußen ebenso einschließt wie eine mögliche Haftstrafe.

Mit der Datenschutzgrundverordnung wird es außerdem eine europaweite Verpflichtung zur Bestellung eines (internen oder externen) Datenschutzbeauftragten geben (Art. 35 EU-DSGVO). Ist nachweisbar, dass dieser bei Datenschutzverletzungen seinen Aufgaben und Pflichten nicht nachgekommen ist, kann auch er haftbar gemacht werden.

Schutz gegen Cyberkriminalität

Schutz gegen CyberkriminalitätDass eine Datenschutzpanne nicht nur große finanzielle Konsequenzen, sondern – angesichts der zunehmenden Cyberkriminalität –  auch erhebliche Auswirkungen auf das Image und weitere unüberschaubare Folgen haben kann, zeigt aktuell das Beispiel des US-Finanzdienstleistungsunternehmens Equifax. Über eine mehrere Monate ungepatchte – jedoch lange bekannte –  Sicherheitslücke konnten Hacker ins System des Unternehmens eindringen und Daten von rund 145 Millionen Personen bzw. 400.000 EU-Bürgern stehlen. Betroffen waren Namen, Adressen, Geburtsdaten und Sozialversicherungs- sowie Kreditkartennummern. Miteinander kombiniert, öffnen diese Daten Cyberkriminellen Tür und Tor, beispielsweise durch Kreditaufnahmen in fremdem Namen.

Privacy by Design & by Default

Um den Schutz personenbezogener Daten zu gewährleisten, wurden mit der EU-DSGVO die sanktionierten Tatbestände erheblich ausgeweitet und u. a. um den technischen und organisatorischen Datenschutz erweitert. Datenschutz durch Technikgestaltung (Privacy by Design) stellt sicher, dass etwaige Sicherheitsprobleme schon bei der Softwareentwicklung festgestellt werden können und nicht erst im Nachhinein umständlich geschlossen werden müssen. Datenschutzfreundliche Voreinstellungen (Privacy by Default) hingegen gewährleisten, dass nur die Daten erhoben und verarbeitet werden, die für den Zweck der Verarbeitung erforderlich sind. Relevante Kriterien hierbei sind: Menge und Art der Daten, Umfang der Verarbeitung, Speicherfrist und generelle Zugänglichkeit personenbezogener Daten.

Fit für die EU-DSGVO: Was Unternehmen tun können

Für IT-affine Unternehmen und Organisationen bedeutet das, dass sie sich spätestens jetzt speziell mit Artikel 25 „Datenschutz durch Technikgestaltung“ und Artikel 32 „Sicherheit der Datenverarbeitung“ der Datenschutzgrundverordnung beschäftigen sollten. Zudem empfiehlt sich eine gesamtgeschäftliche – das heißt eine systematische und umfassende – Vorbereitung auf veränderte Bedingungen. Der Bitkom hat diesbezüglich übrigens eine umfangreiche DSGVO-Checkliste, FAQs und Musterverträge erarbeitet, die ebenfalls behilflich sein können.

BCT-Softwarelösungen und –komponenten erfüllen die DSGVO-Grundsätze Privacy by Design & by Default und unterstützen dabei, den umfangreichen Dokumentationspflichten der Datenschutzgrundverordnung mit einem transparenten, nachhaltigen und sicheren Informationsmanagement Rechnung zu tragen. Auf diese Weise lassen sich personenbezogene Daten eindeutig identifizieren, sicher aufbewahren und datenschutzkonform gemäß des neuen EU-Rechts verarbeiten

Fazit

Das mahnende Beispiel Equifax zeigt: Mit der EU-DSGVO gehen künftig einige Pflichten einher, die auch Auswirkungen auf die Softwaregestaltung haben. Wird die Gesetzesmaßnahme nicht beachtet, drohen empfindliche Geldbußen, erhebliche Vertrauensverluste und dramatische Imageprobleme. Unternehmen und Organisationen, die bis jetzt noch nicht oder nur unzureichend reagiert haben, sollten das Thema schnellstmöglich auf ihre Agenda setzen.