Anzeige

Anzeige

VERANSTALTUNGEN

DWX-Developer Week
24.06.19 - 27.06.19
In Nürnberg

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Anzeige

Anzeige

DatenschutzDie DS-GVO wurde im Frühjahr 2016 verabschiedet und ist damit bis 25. Mai 2018 umzusetzen. Es ist an der Zeit, dieses Projekt anzupacken. Welche Hürden sind zu meistern?

Die Datenschutz-Grundverordnung (DS-GVO), oder “General Data Protection Regulation” (GDPR) auf englisch, ist die neue EU-weite Richtlinie zur Regelung des Datenschutzes. In dieser Form ersetzt sie direkt die bisherigen EU-Regelungen sowie die jeweiligen nationalen Gesetzgebungen. Es ist nun nicht mehr notwendig, dass die Mitgliedsstaaten eine jeweilige lokale Gesetzesimplementation einführen (sie können jedoch weitergehende Maßnahmen in manchen Bereichen treffen).

Was ist die DS-GVO und warum wurde sie eingeführt?

Die Idee im Wesentlichen: Eine Vereinheitlichung der Standards und Regularien für die gesamte EU und dabei auch Anpassung an die technologisch-ökonomischen Begebenheiten (z.B. Cloud-Technologien und ansteigende Auslagerung von Datenverarbeitungen und Datenexporten).

Die DS-GVO wurde im Frühjahr 2016 verabschiedet und ist damit bis 25. Mai 2018 umzusetzen. Viel Zeit, dachten sicher noch viele im vergangenen Jahr, doch nun tickt die Uhr immer lauter und viele Organisationen werden langsam nervös, was hierfür ggf. zu tun ist.

Wesentliche Neuerungen zum BDSG im praktischen Umgang

Mit ein wenig googlen findet man mittlerweile viele Artikel über die Neuerungen im Vergleich zum aktuellen Bundesdatenschutzgesetz (BDSG).

Es finden sich in dieser Berichterstattung im Wesentlichen Punkte zu:

  • Meldepflichten bei Vorfällen
  • Bestimmungen zu Einverständniserklärungen (inkl. Von Minderjährigen)
  • Datenschutz-Folgenabschätzung (Privacy Impact Assessment)
  • Privacy-by-Design
  • Bestellung von Datenschutzbeauftragten
  • Recht auf “Vergessen”
  • Auftragsdatenverarbeitungen
  • Datenportabilität

Interessant dabei ist, dass dies zu großen Teilen (und insbesondere in der praktischen Umsetzung) eigentlich keine neuen Anforderungen sind sondern so auch schon in der alten EU Direktive bzw. Insbesondere im BDSG zu finden waren. Woher also die große Verunsicherung und befürchteten Auswirkungen in diversen betroffenen Organisationen?

Offenbar sind auch trotz bereits bestehender Regularien ein nicht geringer Teil der Unternehmen nur unzureichend konform und haben sich bisher auf Grund der geringen Kontrolldichte und der überschaubaren Bußgeldhöhen eher etwas “durchgewurschtelt”. Doch nun drohen plötzlich Strafzahlungen in zweistelliger Millionenhöhe (bzw. 2-4% des Gesamtjahresumsatzes). Das erklärt nun tatsächlich die gefühlte Panik.

Vergleich zu anderen EU Ländern

Viele Länder haben die alte EU Direktive 95/46/EG vergleichsweise unverändert übernommen und fuhren dort bisher eher einen Minimalansatz.

Ich möchte hier den Fokus auf zwei Themen lenken, welche signifikante Auswirkungen auf die praktische Umsetzung der Datenschutzanforderungen in den EU-Ländern haben werden:

  • Verpflichtung zur Bestellung von Datenschutzbeauftragten - In der alten EU Direktive war dies nur optional und wurde daher auch in vielen nationalen Gesetzgebungen nicht übernommen. Jetzt wird dies aber verpflichtend, wenn die (personenbezogene) Datenverarbeitung wesentlich zum Geschäftsmodell gehört bzw. Wenn besondere Arten personenbezogener Daten verarbeitet werden. Überlegen Sie einmal, auf wie viele Firmen dies zutreffen könnte und woher dann die ganzen Menschen mit entsprechenden Fachkenntnissen und Erfahrung kommen sollen, um die ganzen neuen Datenschutz-Stellen auszufüllen?
  • Auftragsdatenverarbeitung - Auch wenn das Konzept der Data Controller und Data Processor bereits vorher vorhanden war, wurde Auftragsdatenverarbeitung (ADV) in anderen EU-Ländern bisher eher lax gehandhabt (eher so wie vor der 2009er BDSG Novelle). Hier gibt es in Kombination mit Privacy-by-Design wesentlich stringentere Anforderungen und hier ist daher auch mit einer viel höheren Kontrolldichte durch Aufsichtsbehörden und in Folge durch die verantwortlichen Stellen in der Privatwirtschaft bei ihren jeweiligen Zulieferern zu rechnen.

Wie sieht es eigentlich mit England aus?

Vergangenes Jahr war ja sehr ereignisreich u.a. durch die sog. Brexit-Abstimmung. Wird England daher die DS-GVO nicht einführen? Nach aktuellem Stand wird der tatsächliche Austritt nicht mehr vor dem 25. Mai 2018 stattfinden, daher wird die DS-GVO zunächst auch unverändert im Vereinigten Königreich gelten. Zudem ist damit zu rechnen, dass die Regelungen in einer derartigen Form auch über den Austritt hinaus bestand haben werden, um weiterhin einfache Datenexporte von und zu EU-Ländern zu ermöglichen.

Whitepaper
Brexit und EU-DSGVO:
Was IT-Teams jetzt wissen müssen

Effekte außerhalb der EU

Eine weitere Neuerung liegt in der Abkehr vom sog. Territorialitätsprinzip zum Marktstandortprinzip, d.h. die Regelungen gelten auch für Unternehmen außerhalb der EU, wenn diese auch Daten von EU Bürgern verarbeiten. Dies passiert natürlich in erster Linie, wenn diese Unternehmen auch den hiesigen Markt direkt bedienen, über Auftragsdatenverarbeitungen jedoch auch indirekt über die vertraglichen Anforderungen ihrer EU-beheimateten Auftraggeber.

Zu erwartende Stolpersteine und Praxis Tipps

Was sollte man also nun tun, um sich auf die DS-GVO vorzubereiten?

Zunächst ist anzumerken, dass wir uns derzeit in einer etwas unglücklichen Zwischenphase befinden, die auch zu Unwägbarkeiten führen kann. Formell gelten die alten Regelungen bis zum 25. Mai 2018 weiter, jedoch wird sich derzeit kaum eine Aufsichtsbehörde dazu verleiten lassen noch klare Aussagen zu unklaren Themen abzugeben, die sich möglicherweise zu dem Übergangstermin ändern werden (z.B. ADV Verträge mit nicht-EU Dienstleistern, Anwendbarkeit von EU Standardvertragsklauseln oder EU-US Privacy Shield in welchen Konstellationen usw.).

Manche der Regelungen bedürfen außerdem auch weiterer konkreter Ausgestaltung z.B. die Akkreditierung für DS-GVO konforme Zertifizierungen oder Code-of-Conducts.

Um sich selbst einen Überblick zum Reifegrad der eigenen Datenschutz-Kontrollen zu verschaffen, bietet es sich an, zunächst eine entsprechende Analyse der eigenen Prozesse und IT-Systeme durchzuführen, sowie ggf. auch über die relevanten datenverarbeitenden Dienstleister.

Solch eine Analyse kann z.B. über spezialisierte Beratungsunternehmen erfolgen oder auch über Verfahren zum Datenschutz Selbst-Assessment. Mit den Ergebnissen der Analyse lassen sich dann entsprechende Risikomaßnahmen zur Umsetzung priorisieren und deren Effektivität anschließend messen.

Letztendlich sollte so ein “Plan-Do-Check-Act” Zyklus auch regelmäßig als ein Prozess der kontinuierlichen Verbesserung durchlaufen werden. Auf diese Weise sollte sich auch jede Kontrolle der Aufsichtsbehörden oder der eigenen Auftraggeber sehr effizient durchführen lassen.

Stefan SulistyoStefan Sulistyo ist Mitgründer und Geschäftsführer der Alyne GmbH. Zuvor sammelte er über zehn Jahre lang Erfahrung im Management von IT-Sicherheit und Datenschutz in verschiedenen großen Unternehmensberatungen bei Großkunden in diversen hochregulierten Branchen. Zudem war er in leitender Position verantwortlich für IT-Sicherheit bei einem führenden Medien- und Telekommunikationsunternehmen.
 

GRID LIST
Datensicherheit Erdkugel

Wer seine Daten nicht schützt, wird zum Verlierer

Die Gefahren im neuen digitalen Zeitalter wachsen, neue „Spielregeln“ verändern die Welt.…
DSGVO Last

Innovationsbremse DSGVO: Hemmnis für europäische Start-Ups

Vor rund einem Jahr ist die zweijährige Übergangsfrist der Datenschutzgrundverordnung…
Passwort

Datenklau 2019: Passwort-Manager schützen vor Hacker-Angriffen

Das Thema Datenklau ist durch den vor Kurzem öffentlich gewordenen Leak von Politiker-…
Schloss vor Tastatur

E-Mail-Verschlüsselung für jeden

Reddcrypt soll E-Mails ganz einfach verschlüsseln, auf jedem Endgerät, mit jeder…
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…