Ist Ihr Unternehmen bereit für die neue Datenschutzgrundverordnung?

Der Fahrplan der im Mai 2016 in Kraft getretenen EU-Datenschutzgrundverordnung ist, dass sie ab Mai 2018 für alle EU-Mitgliedsstaaten als verbindliches Recht anzuwenden ist. Wer bisher die Vorschriften des Deutschen Bundesdatenschutzgesetzes (BDSG) erfüllt hat, ist aber längst nicht automatisch für die neue Verordnung gerüstet.

Die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union ist beschlossene Sache und Unternehmen haben nur noch bis zum Mai 2018 Zeit, bis die Verordnung in allen EU-Mitgliedsstaaten in Kraft tritt. Ziel der Verordnung ist, für Unternehmen in der EU Klarheit beim Umgang mit personenbezogenen Daten zu schaffen.

Die neue DSGVO ist keine Revolution, sondern eher eine Evolution. Doch auch wenn viele Unternehmen bereits umfangreiche Datenschutzkonzepte umgesetzt haben, sollten sie die DSGVO nicht auf die leichte Schulter nehmen. Vielmehr ist es wichtig, den Inhalt genau zu kennen und zu wissen, welche Teile der Verordnung im Unternehmen zeitnah umzusetzen sind.

Personenbezogene Daten

Die Definition des Ausdrucks „personenbezogene Daten“ ist in der DSGVO im „Artikel 4 – Begriffsbestimmungen“ zu finden. Demnach fallen darunter „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen.“

Der Begriff „identifizierbar“ ist dabei besonders zu beachten. Denn personenbezogene Daten zu einer Person lassen sich aus vielen Informationen ableiten, etwa aus einer IP-Adresse, einer Kennnummer, aus Standortdaten oder der Angabe besonderer Merkmale. Werden also solche Daten gespeichert, ist die DSGVO anzuwenden.

Nationale Anpassungen

Wie bei fast allen Verordnungen der EU-Kommission bietet auch die Datenschutzgrundverordnung eine Reihe von Freiheiten für nationale Anpassungen. Das ist auch der Grund, warum die DSGVO nicht in allen EU-Ländern einheitlich ist. Die dafür in Frage kommenden Punkte werden als „Öffnungsklauseln“ bezeichnet und bieten den Ländern Spielraum für eigene Vorschriften.

In Deutschland verabschiedete der Bundestag am 27. April 2017 dazu ein ergänzendes Gesetz zur Anpassung des Datenschutzes: das „Datenschutz-Anpassungs- und Umsetzungsgesetz“, kurz EU DSAnpUG-EU. Die Zustimmung des Bundesrates erfolgte kurze Zeit später, am 12. Mai 2017.

Dieses Gesetz hat in der breiten Bevölkerung für jede Menge Kontroversen gesorgt. Viele Unternehmen befürchten dadurch bei der Umsetzung der Verordnung eine erhöhte Rechtsunsicherheit. Die Praxis wird zeigen, ob sich das bewahrheitet.

Pflicht zur Dokumentation

Die DSGVO schreibt vor, dass die Menge und Art der gespeicherten personenbezogenen Daten dem Zweck angemessen sein müssen. Demnach dürfen nur solche Daten gespeichert werden, die für eine Verarbeitung relevant sind. Sobald diese Daten für den ursprünglichen Verarbeitungszweck nicht mehr erforderlich sind, müssen sie gelöscht werden.

Das Koppelungsverbot ist ein weiterer wichtiger Punkt. Zwar gab es das bereits im alten Bundesdatenschutzgesetz (BDSG), aber in der neuen DSGVO wurde das Verbot weiter verschärft. Zusatzleistungen dürfen nun nicht mehr an eine Einwilligung zur Verarbeitung der personenbezogenen Daten gebunden werden. Es ist also unzulässig, für die Bereitstellung einer bestimmten Leistung eine Zustimmung für eine weitere Leistung (wie etwa ein Newsletter-Abo) zu erzwingen.

Unternehmen sind darüber hinaus verpflichtet, die Verarbeitung und Verwendung der personenbezogenen Daten zu dokumentieren. Zudem müssen sie in der Lage sein, jederzeit die Einhaltung der Datenschutzgrundsätze nachzuweisen. Das erfordert beispielsweise regelmäßige Kontrollen der Einhaltung des Datenschutzes und die Dokumentierung der Ergebnisse. Hinzu kommt eine Meldepflicht bei Datenschutzverletzungen. Diese müssen innerhalb von 72 Stunden der zuständigen Behörde mitgeteilt werden. Zusätzlich sind alle betroffenen Personen immer dann zu informieren, wenn so ein Vorfall ein Risiko für ihre persönlichen Rechte bedeutet.

Das Recht auf Datenlöschung

Ein weiterer wichtiger Punkt der DSGVO ist das „Recht auf Löschung“. Somit hat eine betroffene Person das Recht, dass ihre personenbezogenen Daten auf Verlangen vom zuständigen Verantwortlichen gelöscht werden. Die Voraussetzung dafür ist mindestens einer der folgenden Gründe:

  • die personenbezogenen Daten werden für den ursprünglich erhobenen Zweck nicht mehr benötig;
  • die betroffene Person widerruft ihre ursprüngliche Einwilligung zur Datenspeicherung;
  • die betroffene Person legt Widerspruch gegen die Verarbeitung ihrer persönlichen Daten ein.

Die Löschpflicht beinhaltet zugleich, eventuelle Datenkopien, Backups und Links auf Daten und Kopien ebenfalls zu löschen. Sie schließt darüber hinaus auch andere Datenspeicher ein. Das können beispielsweise Papierakten, Mikrofilme und Fotos sein.

Anforderungen an die Technik

Um die neuen Vorschriften im geschäftlichen Alltag umzusetzen und einzuhalten, sind neben den organisatorischen Maßnahmen außerdem entsprechende Anforderungen bezüglich der IT-Strukturen zu erfüllen. Das gilt umso mehr, wenn für das Speichern der personenbezogenen Daten Cloud-Strukturen zum Einsatz kommen. So müssen sich auch Cloud-Anbieter auf die DSGVO vorbereiten und das Thema Datenschutz und Informationssicherheit noch stärker in den Fokus rücken.

Für Cloud-Anbieter wie Rackspace  ist der gesetzeskonforme Umgang mit personenbezogenen Daten Alltag. Dazu gehört beispielsweise ein rund um die Uhr verfügbares Customer Security Center, das mit erfahrenen GCIA- und GCIH-zertifizierten Sicherheitsanalysten besetzt ist. Diese Zertifizierungen gehören zu den „Global Information Assurance Certifications“ (GIAC). Dabei steht GCIA für „Certified Intrusion Analyst Certified Professionals“ und GCIH für „Certified Incident Handler Certified Professionals“.

Die Sicherheitsanalysten bei Rackspace verwenden Bedrohungsintelligenz und fortgeschrittene Analysen, um den unberechtigten Zugriff auf personenbezogene Daten abzuwehren. Auf Basis von vorab genehmigten Aktionen können rund um die Uhr Bedrohungen erkannt und beseitigt werden. Zudem kommen führende Sicherheitstechnologien für die Sicherheitsdienste zum Einsatz, inklusive Host- und Netzwerksicherheit. Damit ist sichergestellt, dass sich Dritte keinen Zugang zu personenbezogenen Daten verschaffen können.

Fazit zur Datenschutzgrundverordnung

Die Uhr tickt und für Unternehmen ist es höchste Zeit, sich intensiv mit der neuen EU Datenschutzgrundverordnung und dem ergänzenden Datenschutz-Anpassungs- und Umsetzungsgesetz auseinanderzusetzen. Dabei ist zu beachten, dass es Unterschiede zum alten Bundesdatenschutzgesetz gibt. Das heißt, dass Unternehmen, die das alte Gesetz bereits umgesetzt haben, nicht automatisch davon ausgehen dürfen, die Anforderungen des neuen Gesetzes zu erfüllen. Das ist sehr ernst zu nehmen, denn die Strafen bei Verstößen sind empfindlich hoch.

Unternehmen werden in Zukunft noch mehr auf eine hochsichere Konfiguration ihrer gesamten IT achten müssen. Auch Anbieter von IT-Strukturen haben sich den Herausforderungen der DSGVO zu stellen. Sie sind gefordert, einen großen Teil des Datenschutzes durch modernste am Markt verfügbare Technik aktiv zu unterstützen. Rackspace bietet deshalb den neuen Cyber-Security-Service ‘Privacy and Data Protection (PDP)’ an, der Unternehmen einen vollständig verwalteten Datenschutzservice für personenbezogene Daten bereitstellt.

Haben Sie Fragen rund um das Thema dann stehen Ihnen unsere RMS Experten jederzeit zur Verfügung.

LEAVE A REPLY

Please enter your comment!
Please enter your name here