Managament , Fachartikel, (ISC)²

Einstieg in die Grundlagen: Die EU Datenschutz-Grundverordnung (DSGVO)

Einstieg in die Grundlagen: Die EU Datenschutz-Grundverordnung (DSGVO)

Der Stichtag für das Inkrafttreten der DSGVO im Mai 2018 rückt rasch näher. Angesichts der Größenordnung potentieller Bußgelder, neuer Rechte Einzelner auf Forderung von Schadenersatz und der Verbreitung und Effektivität der Cyberkriminalität, sollte ein Plan für den Fall eines Verstoßes gegen die DSGVO direkt in das Risikoregister eines jeden Unternehmens (und eines jeden Mitglieds des Konzernvorstands) eingehen.

Einführung

Das aktuelle Datenschutz-Regelwerk der Europäischen Union (EU) wird von der europäischen Richtlinie zum Schutz von Einzelpersonen bezüglich der Verarbeitung persönlicher Daten (die Richtlinie) von 1995 geregelt, die von den Mitgliedsstaaten in den jeweils eigenen nationalen Gesetzgebungen umgesetzt werden musste. Unterschiedliche Auslegungen führten dazu, dass die Richtlinie von den EU-Mitgliedsstaaten auf unterschiedlichste Weise in die jeweiligen nationalen Gesetze aufgenommen wurde, was die Datenschutzregelungen innerhalb der EU zu einem uneinheitlichen Flickwerk machte.

Um die EU-weit anzuwendenden Regeln zu vereinfachen, wurde ein neues EU-Datenschutz-Rahmenwerk in Form einer Richtlinie eingeführt: die EU-Datenschutz-Grundverordnung (DSGVO). Da es sich um eine EU-Richtlinie handelt, müssen EU-Mitgliedsstaaten keine zusätzlichen Gesetze einführen, um den Vorschriften in ihrem nationalen System Geltung zu verleihen. Stattdessen gilt die Richtlinie automatisch für alle EU-Länder. Es gibt jedoch einige Gebiete, in denen es EU-Mitgliedsstaaten erlaubt ist, im Rahmen ihres nationalen Systems (andere) Gesetze zu erlassen (z.B. in Bezug auf die Verarbeitung von Mitarbeiterdaten); und es wird in den EU-Mitgliedsstaaten bei den geltenden Datenschutzregeln zweifellos einige Varianten geben.

Die DSGVO verlangt eine unternehmensweite Strategie für das Management des Informationskreislaufs statt einen standardmäßigen Compliance-Ansatz. Leider gibt es keinen Allzweckplan für die DSGVO-Compliance und der erforderliche Arbeitsaufwand variiert in Abhängigkeit Ihres Unternehmens und seiner aktuellen Datenpraktiken und -prozesse. Sie könnten beispielsweise neue Verfahren einführen müssen, um der Anforderung der DSGVO in Bezug auf einen „eingebauten Datenschutz“ oder den neuen Bestimmungen zur Transparenz und den Rechten von Einzelpersonen gerecht zu werden.

Daher ist es wichtig, dass Führungskräfte, Mitarbeiter und Manger verstehen, wie sich der Umgang mit den Anforderungen der DSGVO auf die betrieblichen Praktiken aller Ebenen auswirkt. Betriebsleiter werden feststellen müssen, welche persönlichen Daten sie aktuell speichern, wo diese sich befinden, wie der Datenfluss innerhalb des Unternehmens verläuft, wie die Daten geteilt werden, wie sie geschützt werden und ob Dritte Zugang zu ihnen haben dürfen. In einer großen oder komplexen Organisation können die Vorbereitungen auf die DSGVO erhebliche Auswirkungen auf Budget, IT, Personal, Führung und Kommunikation haben und zusätzliche Zeit und Ressourcen zur Umsetzung erfordern.

Die DSGVO legt ein stärkeres Augenmerk auf die Dokumentation, die Datenverantwortliche (also diejenigen, die bestimmen, wann, wie und zu welchem Zweck persönliche Daten zu verarbeiten sind) führen müssen, um ihre Verantwortlichkeit nachzuweisen. Die Compliance erfordert, dass Unternehmen ihre aktuellen Governance-Konzepte überprüfen und analysieren, wie sie den Datenschutz als gemeinsames Problem angehen. Ein Aspekt könnte dabei die Prüfung der Verträge und anderer laufender Vereinbarungen sein, wenn Daten mit anderen Unternehmen geteilt werden (einschließlich Vereinbarungen zu Cloud-Diensten und Outsourcing). Wichtig ist, so früh wie möglich mit der Planung zu beginnen und die wesentlichen Interessensvertreter in Ihrem Unternehmen „mit ins Boot zu holen“. Wir bieten hier einen Überblick über die wichtigsten Bereiche, die anzusprechen sind, um ihnen zu helfen, die vor ihnen liegende Aufgabe zu verstehen.

Grundlegende Überlegungen für alle Organisationen

Die Strafen für Verstöße sind sehr viel strenger geworden.

Unter dem aktuellen Datenschutz-Rahmenwerk überließ die Richtlinie den EU-Mitgliedsstaate das Ermessen, über die aufzuerlegende Höchststrafe zu entscheiden. Dies führte zu großen Diskrepanzen zwischen den EU-Mitgliedsstaaten; Strafen können sich in Österreich auf 25.000 Euro belaufen, in Frankreich auf 150.000 Euro, in Spanien auf 600.000 Euro oder in Großbritannien auf 500.000 £. Bei einer Reihe von Fragen im Zusammenhang mit Datenschutzverletzungen hatten die Datenschutzbehörden (DSB) kaum eine Handhabe gegen große, finanziell gut ausgestattete multinationale Konzerne, die versucht sein könnten, solche Strafen lediglich als „Geschäftskosten“ zu betrachten.

Gemäß Artikel 83(5) der DSGVO wären die DSB in der Lage, Strafen von bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes des vorhergehenden Finanzjahres des verletzenden Unternehmens aufzuerlegen, je nachdem, welcher Betrag höher ist.

Darüber hinaus können auch Einzelpersonen versuchen, ihre Datenschutzrechte durchzusetzen: Artikel 82(1) der DSGVO sieht vor, dass alle Personen, die infolge der Verarbeitung ihrer persönlichen Daten einen materiellen oder immateriellen Schaden erlitten haben, Schadenersatz fordern können.

Die Bandbreite der Definition dessen, was als „persönliche Daten” zu betrachten ist, hat sich vergrößert

Unter der DSGVO deckt die Definition von „persönlichen Daten” ein breiteres Spektrum an Datentypen ab. Artikel 4(1) sieht folgende Definition vor:

„Persönliche Daten” bedeuten alle Informationen im Zusammenhang mit einer bestimmten oder bestimmbaren natürlichen Person („Datensubjekt”); eine bestimmbare natürliche Person ist eine Person, die direkt oder indirekt bestimmt werden kann, insbesondere durch Verweis auf eine Kennung, wie einen Namen, eine Identifikationsnummer, Ortsdaten, eine Online-Kennung oder einen oder mehrere Faktoren, die speziell für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person gelten.

Die DSGVO stellt klar (Rubrum 30), dass IP-Adressen, Cookie-Kennungen, Mobilgeräte-IDs und andere Arten von Online-Kennungen als „persönliche Daten” gelten und entsprechend zu schützen sind.

Die DSGVO hat eine weitere geografische Reichweite

Artikel 3 der DSGVO sieht vor, dass die neue Reglung für in der EU gegründete Rechtsgebilde gilt, welche persönliche Daten entweder für ihre eigenen Zwecke (als „Datenverantwortliche“) oder im Auftrag eines anderen Rechtsgebildes (als „Datenverarbeiter“) verarbeiten, gleich, ob die Verarbeitung der Daten tatsächlich in der EU stattfindet oder nicht.

Darüber hinaus sieht Artikel 3(2) weiter vor, dass die DSGVO weltweit für jede Verarbeitung persönlicher Daten von Personen gilt, die sich in der EU befinden, wann immer eine solche Verarbeitung mit dem Angebot von Waren oder Dienstleistungen (auch kostenloser) an Personen in der EU oder wo das Verhalten von EU-Personen überwacht wird, verbunden ist.

Praktisch bedeutet das, dass jedes Unternehmen, das Geschäfte mit EU-Bürgern macht (z.B. Vermarktung von Waren oder Dienstleistungen), der DSGVO unterliegt, auch wenn es außerhalb der EU tätig ist und keine Geschäftsräume oder Anlagen in der EU unterhält. Jeder, der eine Webseite betreibt, auf die von der EU aus zugegriffen werden kann (was als Bereitstellung eines kostenlosen elektronischen Dienstes betrachtet werden könnte), könnte unter die DSGVO fallen, und die Erfassung von IP-Adressen in Zugriffsprotokollen oder die Verfolgung von Besuchern mithilfe von Cookies, JavaScript oder anderen Tracking-Techniken könnte, wie in obigem Absatz beschrieben, die Anwendung der DSGVO auslösen.

Ein Datenverarbeitungsregister ist obligatorisch

Artikel 30(1) der DSGVO verlangt, dass Datenverantwortliche und -verarbeiter ein schriftliches Protokoll über die Verarbeitungsaktivitäten (das auch in elektronischer Form erstellt werden kann) unter ihrer Verantwortung führen müssen, während Artikel 30(4) weiter vorsieht, dass dieses Protokoll auf Verlangen der zuständigen DSB zur Verfügung gestellt werden muss.

Das Protokoll muss Folgendes enthalten:

  • Den Namen und die Kontaktdetails des Verantwortlichen und ggf. des gemeinsamen Verantwortlichen, des Vertreters des Verantwortlichen und des Datenschutzbeauftragten;
  • Die Zwecke der Verarbeitung;
  • Eine Beschreibung der Kategorien der Datensubjekte und der Kategorien der persönlichen Daten;
  • Die Kategorien der Empfänger, gegenüber denen die persönlichen Daten offengelegt wurden oder werden, einschließlich der Empfänger in Drittländern oder internationalen Organisationen;
  • Ggf.  Übertragungen persönlicher Daten an Drittländer oder an internationale Organisationen, einschließlich der Identifizierung dieses Drittlandes oder der internationalen Organisationen und der Dokumentation geeigneter Schutzmaßnahmen;
  • Wo möglich, die geplanten Zeitgrenzen für die Löschung der verschiedenen Datenkategorien;
  • Wo möglich, eine allgemeine Beschreibung der ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz der Daten.


Werden obige Anforderungen nicht erfüllt, sieht Artikel 83 (4) der DSGVO eine Verwaltungsstrafe von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes des vorhergehenden Finanzjahres des Unternehmens vor, je nachdem, welcher Betrag höher ist.

Die Vorschrift besagt, dass die Aufzeichnungspflicht nicht für kleine Unternehmen (mit weniger als 250 Mitarbeitern) gilt. Wir können jedoch davon ausgehen, dass viele kleine und mittelständische Unternehmen die Protokolle führen und pflegen müssen, falls:

  • Die Verarbeitung wahrscheinlich zu einer Gefährdung der Rechte der betroffenen Mitarbeiter führt (z.B. Bewertung, umfassende Überwachung, hohes Risiko durch unbefugte Offenlegung oder Zugriff, Nutzung neuer Technologien);
  • Die Verarbeitung nicht fallweise erfolgt; oder
  • Die Verarbeitung bestimmte Datenkategorien betrifft, wie in Artikel 9 (1) dargelegt (z.B. Gesundheitsdaten, biometrische Daten, Daten im Zusammenhang mit politischen oder philosophischen Überzeugungen) oder persönliche Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten, auf die in Artikel 10 der DSGVO verwiesen wird.


Neue Nutzerrechte müssen umgesetzt werden

Wie in Artikel 13-22 ausführlich beschrieben, werden Unternehmen dafür sorgen müssen, dass wirksame Systeme und Prozesse vorhanden sind, um folgende Rechte umzusetzen:

1. Das Recht auf Information
2. Das Recht auf Zugriff
3. Das Recht auf Berichtigung
4. Das Recht auf Löschung (das „Recht vergessen zu werden')
5. Das Recht auf Einschränkung der Verarbeitung
6. Das Recht auf Datenübertragbarkeit
7. Das Recht auf Widerspruch
8. Rechte im Zusammenhang mit automatisierter Entscheidungsfindung und Profilierung.

Organisationen werden beispielsweise eine Richtlinie einführen müssen, in der festgelegt ist, wann bestimmte Daten nicht mehr gespeichert werden müssen, wie Einzelpersonen ihre Zustimmung entziehen können und wie mit Nutzeranfragen umzugehen ist, wenn diese der Verarbeitung ihrer Daten widersprechen.

Angesichts der Tatsache, wie oft Unternehmensdaten einfach archiviert statt gelöscht werden, und des bloßen Volumens dieser Daten, wird das Entfernen irrelevanter persönlicher Daten zweifellos zu einer großen Herausforderung. Ein Ziel der Anträge auf Löschung wird wahrscheinlich das Server- und Gerätelogging sein, bei dem an sich eine erhebliche Menge persönlicher Daten erfasst werden kann.

Technische und organisatorische [Sicherheits-] Maßnahmen sind zwingend notwendig

Die DSGVO verlangt von „Datenverantwortlichen“ (also den Personen, die bestimmen, wann, wie und für welchen Zweck persönliche Daten verarbeitet werden) „die Einführung angemessener technischer und organisatorischer Maßnahmen“, um die von ihnen verwalteten persönlichen Daten vor Risiken zu schützen, die mit der Verarbeitung von Daten einhergehen, „insbesondere Risiken durch versehentliche oder widerrechtliche Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete persönliche Daten.“

Artikel 32 liefert auch bestimmte Beispiele für die erwarteten Sicherheitsmaßnahmen:

  • Die Pseudonymisierung (z.B. Hashing) und Verschlüsselung persönlicher Daten,
  • Die Fähigkeit, kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten;
  • Die Fähigkeit, im Falle eines physischen oder technischen Ereignisses die Verfügbarkeit und den Zugriff auf persönliche Daten rechtzeitig wiederherstellen zu können;
  • Ein Verfahren zum regelmäßigen Testen, Auswerten und Einschätzen der Effektivität technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

Jetzt sind Datenschutz-Folgenabschätzungen erforderlich

Datenschutz muss nun standardmäßig in die Systeme eingebaut werden, und Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, PIAs) - oder was die DSGVO „Data Protection Impact Assessments (DPIAs) nennt - für Technologien und Verfahren, die wahrscheinlich zu einem hohen Risiko für die Rechte Einzelner führen (z.B. Profiling, das zu Entscheidungen führt, die rechtliche Wirkungen für den Einzelnen haben, oder die Verarbeitung großer Mengen), sind jetzt obligatorisch (Artikel 35). Die DPA kann beispielsweise bestimmte Situationen angeben, für die eine DPIA erforderlich sein kann oder auch nicht, die meisten Unternehmen sollten jedoch als Teil ihres eingebauten Datenschutzes oder ihrer Standardstrategien dafür sorgen, dass eine DPIA nun Teil ihres Folgenabschätzungsprozesses ist.

Verletzungen persönlicher Daten müssen gemeldet werden

Für ein Unternehmen wird es jetzt (nach Artikel 33 der DSGVO) zur Pflicht, ihrer DPA jede Verletzung innerhalb von 72 Stunden nach deren Bekanntwerden zu melden. Wird diese Forderung nicht erfüllt, muss dem Schlussbericht eine Erklärung für den Verzug beigefügt werden. Die Meldung muss einem bestimmten Format folgen, was die Verpflichtung zur Beschreibung der für den Umgang mit Verletzungen und möglichen Nebeneffekten getroffenen Maßnahmen umfasst.

Sollte es durch die Verletzung zu einer erhöhten Gefährdung der Rechte und Freiheiten von Einzelpersonen kommen, müssen diese „ohne schuldhaftes Verzögern nach der Feststellung“ eines Datenverstoßes kontaktiert werden. Ein solcher Kontakt ist nicht erforderlich, wenn geeignete Schutzmaßnahmen - wie Verschlüsselung - getroffen wurden, um Risiken für betroffene Personen auszuschließen.

Bestimmte Unternehmen brauchen einen Datenschutzbeauftragten

Unter bestimmen Umständen kann von einem Unternehmen verlangt werden, einen Datenschutzbeauftragen (den DSB) zu benennen, d.h. wo die „Kernaktivitäten“ des Unternehmens die großangelegte Überwachung von Einzelpersonen beinhalten oder wo es zur umfassenden Verarbeitung „spezieller Datenkategorien“ kommt (z.B. rassische oder ethnische Herkunft einer Person, politische Meinungen, religiöse oder philosophische Anschauungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, wenn sie verarbeitet wurden, um eine natürliche Person eindeutig zu identifizieren, Gesundheitsdaten, Sexleben oder sexuelle Orientierung).

Zusammenfassung

Die DSGVO ist zwar noch nicht in Kraft, der Stichtag ihres Inkrafttretens kommt jedoch rasch näher. Daher ist es nötig, die verbleibende Zeit zu nutzen, um sich auf die neuen Anforderungen vorzubereiten. Der Geltungsbereich der Anforderungen ist breitgefächert: Die DSGVO verlangt eine unternehmensweite Strategie sowie die Prüfung von Verfahren zur Verwaltung persönlicher Daten auf allen Ebenen. Darüber hinaus umfasst sie in ihrer Definition von Personal verschiedene Typen von Online-Daten. Neue Rechte und Pflichten müssen berücksichtigt werden, und jedes Unternehmen wird seinen eigenen Ansatz erarbeiten müssen, um den geschäftlichen Kontext und die Praktiken widerzuspiegeln. Wichtig ist, dass die Verwaltung des Compliance-Plans im Rahmen der DSGVO auf der Agenda des Vorstands und des Topmanagements zur obersten Priorität wird.

Zum Blog der (ISC)²

 

Diesen Artikel empfehlen

Autor: Adrian Davis, Managing Director EMEA bei (ISC)²

Deutsches Datenschutzrecht wird angepasst

Das Bundeskabinett hat einen Gesetzentwurf beschlossen, der das deutsche Recht an die die EU-Datenschutz-Grundverordnung anpassen soll. Das Datenschutz-Anpassungs- und Umsetzungsgesetz, das Teile der EU-Datenschutz-Grundverordnung konkretisiert und ergänzt, wird jetzt im parlamentarischen Verfahren...