!css
Experten-Bewertungen

Datenschutz: Ein Neuer Sheriff In Der Stadt?

Anfangs ging es darum, persönliche Daten zu digitalisieren und so für jeden von überall aus zugänglich zu machen. Allerdings geht das Betreten von Neuland auch immer Hand in Hand mit neuem missbräuchlichem Verhalten. Bereits kurze Zeit später kam es zu Bedrohungen und Datenschutzverletzungen – zum Beispiel in Form von Erpressungssoftware oder Sicherheitsverstößen. Einige wurden der Öffentlichkeit und den Behörden vorenthalten, andere wurden verzögert gemeldet ... Um diesen Sicherheitsproblemen zu begegnen, ist die Europäische Kommission erneut als Schutzschild für die EU-Bürger aufgetreten – wie bereits im Rahmen von MiFID II, IDD, PRIIPs, PSD2 usw. Oder wie das Sprichwort sagt: Ein neuer Sheriff ist in der Stadt!

DSGVO – Die Antwort Der Europäischen Gesetzgeber

 

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft und bringt eine erhebliche Neuerung im Vergleich zu früheren Verordnungen mit sich: Sie betrifft alle Unternehmen und alle Kategorien von betroffenen Personen. Die Verordnung zielt natürlich auf den GAFA-Sektor ab, aber auch auf Dienstleistungs- und Industrieunternehmen, egal ob international oder lokal tätig! In Bezug auf die betroffenen Personen kommen uns Kunden und Mitarbeiter natürlich zuerst in den Sinn. Allerdings soll die DSGVO auch die personenbezogenen Daten von Interessenten, ehemaligen Mitarbeitern, Bewerbern, gesetzlichen Vertretern usw. schützen.

 

... Mit Mitteln, Die Ihren Ehrgeizigen Zielen Gerecht Werden!

 

Mit welchem Ziel wurde diese Verordnung erlassen?

Selbstverständlich zur Stärkung der Rechte betroffener Personen, aber auch damit Unternehmen und Unterauftragnehmer verantwortungsbewusster handeln und schließlich zur Vereinheitlichung von Verfahren innerhalb der Europäischen Union.

Mit welchen Mitteln?

Verwaltungsrechtliche Sanktionen bei Datenschutzverstößen können bis zu 4% des weltweiten Jahresumsatzes betragen (oder 20 Millionen EUR bei gemeinnützigen Organisationen). Zum Vergleich: In Frankreich belief sich die Höchststrafe für Datenschutzverstöße auf 150.000 EUR!

 

Also Gut, Aber Banken Schützen Bereits Unsere Daten!

 

Ja, und der Unterschied erscheint auf den ersten Blick auch nicht besonders groß (zumindest in Frankreich): Die DSGVO beruht zu 90% auf dem französischen Datenschutzgesetz „Informatique et libertés“ von 1978. Da haben wir Glück gehabt! Bei näherem Hinsehen stellt sich allerdings heraus, dass die Situation angesichts der zu erledigenden wesentlichen Pflichten weitaus weniger ideal ist als gedacht:

die Beachtung der Rechte betroffener Personen, die Ergreifung von Sicherheitsmaßnahmen und die Anpassung der Organisation entsprechend den Weisungen des Datenschutzbeauftragten (DSB), um nur die offensichtlichen Dinge zu nennen!

 

Und Das Ist Alles?

 

Nicht so schnell!

Die DSGVO garantiert verschiedene Rechte: das Recht auf Auskunft, Widerspruch, Berichtigung, Einschränkung der Verarbeitung, das Recht auf Löschung (Recht auf Vergessenwerden) und das neue Recht auf Datenübertragbarkeit. Die ersten Rechte werden im Allgemeinen beachtet (Auskunft, Widerspruch, Berichtigung, Einschränkung), aber Unternehmen kommen ihnen meist mit manuellen Verfahren nach: Ab sofort gilt es, die Verarbeitungsprozesse zu dokumentieren und zu beurteilen, ob einige davon für eine (teilweise?) Automatisierung infrage kommen – je nach beobachtetem und erwartetem Umfang. Eigentlich kein Hexenwerk, auch wenn sich die Umsetzung des Auskunftsrechts angesichts des Umfangs personenbezogener Daten, die der betroffenen Person mitgeteilt werden müssen, als komplexes Unterfangen erweisen könnte.

 

Wo Ist Dann Der Haken?

 

Nun, im Zusammenhang mit der Beachtung des Rechts auf Löschung und des Rechts auf Datenübertragbarkeit ergeben sich IT-Fragen. Wenn Sie einen CIO auffordern, die Datenbanken zu bereinigen, wird er wahrscheinlich auf das Nichtvorhandensein des Daten-Repository, IS-Altlasten, die mangelnde Kontrolle über die Verbreitung von Daten und die Wechselbeziehungen zwischen den verschiedenen Datenbanken, die systemischen Risiken in Bezug für das IS usw. hinweisen. Unternehmen müssen diese heiklen Fragen sorgfältig analysieren und sich für die Entwicklung möglicher Strategien Zeit nehmen.

Tatsächlich sieht die Verordnung das Recht auf Löschung bzw. Vergessenwerden vor, bei dessen Anwendung Anonymisierung (nicht zu verwechseln mit Pseudonymisierung) hilfreich sein kann, ebenso wie „Containerisierung“ (oder Datensegregation) in einigen Fällen, usw.

Das Recht auf Datenübertragbarkeit ist ebenfalls problematisch, da der Umfang der Daten, die übertragen werden können, noch nicht definiert ist!

 

Und Wie Sieht Es Mit Datenschutz Und Cybersicherheit Aus?

 

Sicherheitsmaßnahmen sollten sich leichter umsetzen lassen ... bei Unternehmen ab einer gewissen Größe. Diese Unternehmen haben üblicherweise einen CISO (Chief Information Security Officer), der sich strukturell mit dem allgemeinen Datenschutz und nicht nur mit dem Schutz personenbezogener Daten befasst. Einige Unternehmen haben auch den Status als externe Erbringer grundlegender Dienstleistungen und sind deshalb bereits gut gerüstet, vor allem in Bezug auf die Bekämpfung von Cyberkriminalität (bei IT-Risiken). Risikobewertungen müssen sorgfältiger vorgenommen werden, aber das dürfte ausreichen!

 

Was Bleibt Noch Zu Tun?

 

Zu guter Letzt müssen Unternehmen ihre Organisation entsprechend den Weisungen des DSB anpassen – eine Aufgabe, die alle anderen Vorschriften der Verordnung einschließen könnte: Unternehmensführung nach der DSGVO, Auskunftspflicht, Formalisierung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Risiken der Auftragsverarbeiter sowie Aktualisierung von Standards, Verfahren, Kontrollplänen und Schulungen. Diese Themen müssen ausgearbeitet werden, allerdings müssen Unternehmen das Rad nicht neu erfinden: Die bestehende Organisation kann ausgebaut werden bis sie DSGVO-konform ist.

 

Und Damit Ist Alles Erledigt?

 

Noch nicht einmal annähernd. Ein dokumentierter Risikoansatz ist wichtig. Warum dokumentiert? Im Falle einer Kontrolle durch die Aufsichtsbehörde muss das Unternehmen nachweisen können, dass sein Compliance-Plan klar definiert ist und die erforderlichen Mittel zugewiesen wurden, um die am Markt beobachteten Compliance-Standards zu rechtfertigen: Mai 2018, Ende 2018 und Ende 2019. 

Bei kleinen Unternehmen werden die Behörden nachsichtig sein, aber große Unternehmen sollten sich lieber warm anziehen!