zurück zur Übersicht

GDPR – Die neue EU-Datenschutz-Grundverordnung (DSGVO)

Das GDPR/DSGVO geben dem Datenschutz in der EU einen neuen RahmenNoch ein weiteres Datenschutzgesetz?

Die im Mai 2016 veröffentlichte Datenschutz-Grundverordnung (DSGVO; englisch: General Data Protection Regulation, kurz GDPR) der Europäischen Union löst die vorhergehende „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ der Europäischen Gemeinschaft ab. Anders als die vorhergehende Richtlinie gilt sie als Verordnung unmittelbar und muss nicht erst in den Mitgliedsstaaten durch ein Patchwork an nationalen Gesetzen umgesetzt werden.

Es soll so in der ganzen EU ein einheitliches Schutzniveau personenbezogener Daten ihrer Bürger etabliert werden, wodurch sowohl der Warenverkehr ungestörter möglich ist, als auch das durchschnittliche Schutzniveau insgesamt angehoben wird.

Ab 25. Mai 2018 gilt die DSGVO unmittelbar und soll lediglich in Details durch nationale Gesetze gestaltet werden. Am 1. Februar 2017 hat die deutsche Bundesregierung einen Entwurf für ein solches Anpassungs-Gesetz beschlossen (DSAnpUG-EU). Das daraus resultierende neue Bundesdatenschutzgesetz (BDSG-neu), ist allerdings mit 85 Paragraphen als unnötig lang und europarechtswidrig (Wiederholung von DSGVO und Abschwächung des Datenschutzes in einigen Bereichen) kritisierbar. Es bleibt spannend, ob das Anpassungsgesetz so am 8. März 2017 vom Bundestag und -rat beschlossen wird oder ob noch Änderungen stattfinden.

Neuerungen

Der Grundgedanke des Datenschutzes der bisherigen Richtlinie bleibt erhalten. Die Rechte von betroffenen natürlichen Personen werden durch die DSGVO im Sinne der informationellen Selbstbestimmung um folgende Punkte erweitert.

  • Im Falle eines Leaks von geschützten Daten müssen Betroffene und Aufsichtsbehörden innerhalb von 3 Tagen benachrichtigt werden (sofern die Daten nicht verschlüsselt oder pseudonymisiert waren)
  • Strengere Anforderungen an rechtsgültige Zustimmungen von Datensubjekten
  • Erweiterung der Auskunftsrechte. Beispielsweise müssen Verarbeiter zu jeder Datenverarbeitung alle beteiligten Stellen samt jeweiligem Datenschutzbeauftragten angeben können.
  • Recht auf Datenportabilität (zwecks Übertragbarkeit bei Anbieterwechsel)
  • Recht auf Vergessen (Datenlöschung)

Auswirkungen

Nach dem Marktortprinzip sind alle Unternehmen von der DSGVO betroffen, die Daten von EU-Bürgern verarbeiten. Dies betrifft selbst Unternehmen, die keine Niederlassung in der EU haben. Hier kommt also vor allem auf außereuropäische Unternehmen viel Arbeit zu, da der Geltungsbereich bisher nicht so groß war.

Für EU-ansässige Unternehmen wird das Anbieten von Dienstleistungen und Produkten in der ganzen EU etwas einfacher, weil im Idealfall viele nationale Richtlinien-Umsetzungsgesetze wegfallen und so faktisch nur die DSGVO zu beachten ist.

Für Unternehmen, die die DSGVO einhalten müssen, kann die Strafhöhe bei Verstößen beachtlich sein: Möglich sind je einzelnem Verstoß bis zu 20 Millionen Euro oder vier Prozent des weltweiten(!) Umsatzes – je nachdem welche Grenze höher ist!

In Zeiten von Big Data und IoT wachsen die gesammelten und verarbeiteten Datenmengen allerorts. Zeitgleich ist die geschlossene Unternehmensgrenze ein Konzept der Vergangenheit. Beides zusammen macht den Schutz dieser großen Datenmengen nicht trivial.

Weitere Schritte für Unternehmen

Es ist nur noch knapp mehr als ein Jahr Zeit die Aktivitäten des eigenen Unternehmens auf Konformität mit der DSGVO zu prüfen und einen Compliance Plan aufzustellen. Die Verordnung selbst empfiehlt den Datenschutz durch Technik („data protection by design“) und durch datenschutzfreundliche Voreinstellungen („data protection by default“) sicherzustellen.

Da beispielsweise eine Betroffenenbenachrichtigung nur für unverschlüsselte Daten gilt, bietet es sich an, Verschlüsselung möglichst flächendeckend einzusetzen. Festplatten- und Datenbankverschlüsselung sollten Standard sein. Zudem bietet formaterhaltende Datenverschlüsselung hier die zusätzliche Möglichkeit, Ende-zu-Ende-Verschlüsselung einzuführen ohne zwingend Änderungen an bestehenden Intermediärsystemen durchführen zu müssen.

Darüber, was für Konsequenzen – und welcher Handlungsbedarf – sich daraus ergeben hat Fabian Beutel einen guten Beitrag verfasst. Er setzt sich dabei explizit mit den Auswirkungen der EU-DSGVO auf die Sicherheitsarchitektur auseinander.

 

Weiterführende Links:

GDPR unter dem Aspekt von HR und Recruiting:

The impact of GDPR on HR & Recruitment


Bild: ©iT-CUBE SYSTEMS AG 2017

Schreibe einen Kommentar