EU-DSGVO

Countdown für den großen Daten-Check

Von Karl-Heinz Möller · 2018

Ein Sprinter wartet auf das Startzeichen. Bald kommt die EU-DSGVO

Das neue EU-Datenschutzrecht klopft immer lauter an die Tür. Bis zum 25. Mai dieses Jahres können Unternehmen und Behörden noch ihre IT-Systeme und Organisationen anpassen. Dann läuft eine zweijährige Übergangsfrist ab, und die nationalen Aufsichtsbehörden werden beginnen, die EU-Datenschutz-Grundverordnung (EU-DSGVO) durchzusetzen. Alte nationale Datenschutzregeln laufen dann aus oder werden angepasst. Deutschland hat bereits ein neues nationales Datenschutzanpassungsgesetz verabschiedet, weitere europäische Staaten folgen.

Mit dem tiefen Eintauchen in das Informationszeitalter und der sich dynamisch entwickelnden technischen Möglichkeiten – die Rede ist von Speicherung großer Informationsmengen, automatischer Übermittlung und intelligenter Auswertung der Informationen – avancieren die in diesem Prozess emsig gehandelten personenbezogenen Daten zum „Öl der Zukunft“. Neue Geschäftsmodelle entstehen per Analyse und Transformation der Datensätze. Die daraus resultierenden Strategien führen zu Wettbewerbsvorteilen und stärken die Positionen der agierenden Unternehmen.

Im Umfeld der nationalen Vorschriften – hierzulande greift bisher das nationale Bundesdatenschutzgesetz BDSG – werden künftig die Regeln der EU-DSGVO verbindlich gelten. Sie harmonisieren innerhalb der Europäischen Union den Datenschutz. Mit den neuen rechtlichen Rahmenbedingungen zum Schutze und zur Sicherheit der Daten geht eine erhebliche Verschärfung der Bedingungen einher. Einschließlich empfindlich hoher Strafzahlungen für Unternehmen in Millionenhöhe, soweit sie die die Regeln missachten.

Unternehmen werden ihre Geschäftsprozesse anpassen müssen

Für jedes Unternehmen, das sensible Daten verarbeitet – und das sind praktisch alle – ergeben sich damit eine Reihe neuer Aufgaben. Unternehmen müssen ihre Geschäftsprozesse verändern, Daten löschen oder konsolidieren, Einwilligungstexte überarbeiten, neue Software implementieren und alles penibel dokumentieren. Großunternehmen verfügen in der Regel über eigene Datenschutzabteilungen und große Budgets, um professionelle und großangelegte Datenschutz-Management-Systeme aufzubauen beziehungsweise neue Module in ihre vorhandenen IT-Lösungen einzufügen. Mittelständlern fehlen hingegen oft diese Ressourcen.

Darüber hinaus führen Unsicherheiten hinsichtlich der Handhabung der Regeln durch die Aufsichtsbehörden dazu, dass – oft in einem Vakuum zwischen Zaudern und Aktionismus – mittelständischen Unternehmen innovative Projekte vorerst zurückstellen.

Data-Governance ist Vorbild für ein gesetzeskonformes Datenschutzkonzept.

Um den Anforderungen der Datenschutzgrundverordnung gerecht zu werden, und um den Aufwand kalkulierbar zu machen, kann die Investition in eine spezielle Software lohnen. Sie beinhaltet bereits den neuesten Umsetzungsstand des Gesetzes und alle wesentlichen Informationen – zum Beispiel Muster zur Beantwortung einer aufsichtsbehördlichen Anfrage.

EU-DSGVO: Sensibler Umgang mit personenbezogenen Daten

Wie der Umgang mit Informationen im Unternehmen zu erfolgen hat, gibt in Grundzügen der Aufbau der EU-DSGVO vor. Das „Gesamtwerk“ ist ein komplexes Gesetzbuch mit elf Kapiteln und 99 Paragraphen („Artikeln“). Wegen ihrer besonderen Relevanz in der unternehmerischen Praxis finden die Artikel 5 und 32 die größte Beachtung. Artikel 5 beschreibt die Grundsätze bezüglich der Verarbeitung personenbezogener Daten. Im Artikel 32 steht die Sicherheit der Verarbeitung im Mittelpunkt.

Kernpunkte wie diese sind die DNA der EU-DSGVO. Sie sind der Schlüssel für ein gesetzeskonformes Datenschutzkonzept. Bestens geeignet für den Entwurf eines solchen Modells ist eine existierende Data Governance. Formuliert finden sich dort rechtliche Vorgaben wie Zuständigkeiten für Daten, Unterteilung der Daten, Definition von Lebenszyklen.

Quelle: Statista-Umfrage, 2017

Checklisten systematisieren die Schritte zur Umsetzung der EU-DSGVO

Da der Fokus auf den personenbezogenen Daten liegt, ist eine Analyse aller Daten notwendig, die dafür in Frage kommen. Eine Checkliste beginnt mit der Klärung, was überhaupt unter personenbezogenen Daten zu verstehen ist. Laut EU-DSGVO sind „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Der Begriff „identifizierbar“ wird unter verschiedenen Aspekten der Identität erläutert (kulturelle Identität, Herkunft et cetera). Wichtig ist, dass nicht nur die physische Identität, sondern auch die kulturelle und soziale Identität berücksichtigt wird. Die Suche nach diesen Daten, die in der Regel in jeder Abteilung des Unternehmens auftauchen, ist eine Detektivarbeit. Es sei denn, die Daten liegen bereits systematisch aufbereitet im IT-System vor. In diesem Prozess sind auch die Fragen zu beantworten, in welchem Zusammenhang die personenbezogenen Daten erfasst und verwendet wurden. Beispielsweise welche Rechtsgrundlagen und Erlaubnisse damit verbunden sind.

Beim Thema Informationspflicht wird unterschieden zwischen der Erhebung personenbezogener Daten bei dem Betroffenen selbst und den Pflichten, wenn die Aufnahme nicht direkt bei dem Betroffenen erfolgte. Grundsatz ist die Transparenz im Sinne von „Wer, was, wann bei welcher Gelegenheit über eine Person weiß“. Konkret geht es gegenüber Betroffenen um die Benennung eines Verantwortlichen, um Informationen über den Zweck, um die Interessen und die Rechtsgrundlage, sowie die Nennung des Empfängers. Beruht die Verarbeitung der Informationen auf einer Einwilligung, muss der im Unternehmen Verantwortliche nachweisen können, dass eine Zustimmung der Betroffenen vorliegt.

Maßnahmen und Ereignisse müssen dokumentiert und jederzeit nachvollziehbar sein. Bei Datenschutzvorfällen sind diese unverzüglich der Datenschutzaufsichtsbehörde zu melden, sofern der Schutz personenbezogener Daten verletzt wurde. Im Rahmen der EU-DSGVO ist für eine Datenschutz-Folgenabschätzung zu sorgen. Es geht um die Risikoeinschätzung, die ein datenverarbeitendes Unternehmen vor der Verarbeitung personenbezogener Daten vornehmen muss.

Elektronische Kommunikation wird effizienter und sicherer

In Ergänzung zur EU-DSGVO wird an einer „ePrivacy-Verordnung“ gearbeitet. Da die EU-DSGVO nur generell die persönlichen Daten der Verbraucher und Internetnutzer innerhalb der EU schützt, wird das Datenschutzrecht für die weltweite elektronische Kommunikation reformiert. Sie knüpft an die Regelungen der Datenschutzgrundverordnung an und postuliert die Voraussetzungen für elektronische Kommunikation. Konsequenz: Wer künftig einen Cookie setzen will, braucht das ausdrückliche Einverständnis des Nutzers.

Erwartungsgemäß finden sich in vielen Artikeln der EU-Datenschutz-Grundverordnung Aufgaben von Datensicherheit im Allgemeinen und im Speziellen. Sicherheit ist eine übergeordnete Instanz für die Funktion des Gesamtsystems. Der Wirksamkeit von Datenschutz-Kontrollen fällt in der Checkliste eine große Bedeutung zu. 

Konkrete Hinweise enthält die EU-DSGVO zur Pseudonymisierung personenbezogener Daten und zu den geeigneten Methoden der Verschlüsselung. Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und die Verfügbarkeit der personenbezogenen Daten und der Verarbeitungssysteme werden definiert. In regelmäßigen Intervallen werden zur Wiederherstellung von Daten und Systemen Zeiten festgelegt.

Alles in allem wird die EU-DSGVO die Unternehmens-IT fordern. Aber am Ende wird ein Datenschutz geschaffen, der diesen Begriff verdient. Die Vorfreude auf den Monat Mai dürfte bereits jetzt Frühlingsgefühle bei Verbrauchern erzeugen.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)