IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

DatenschutzDie DS-GVO wurde im Frühjahr 2016 verabschiedet und ist damit bis 25. Mai 2018 umzusetzen. Es ist an der Zeit, dieses Projekt anzupacken. Welche Hürden sind zu meistern?

Die Datenschutz-Grundverordnung (DS-GVO), oder “General Data Protection Regulation” (GDPR) auf englisch, ist die neue EU-weite Richtlinie zur Regelung des Datenschutzes. In dieser Form ersetzt sie direkt die bisherigen EU-Regelungen sowie die jeweiligen nationalen Gesetzgebungen. Es ist nun nicht mehr notwendig, dass die Mitgliedsstaaten eine jeweilige lokale Gesetzesimplementation einführen (sie können jedoch weitergehende Maßnahmen in manchen Bereichen treffen).

Was ist die DS-GVO und warum wurde sie eingeführt?

Die Idee im Wesentlichen: Eine Vereinheitlichung der Standards und Regularien für die gesamte EU und dabei auch Anpassung an die technologisch-ökonomischen Begebenheiten (z.B. Cloud-Technologien und ansteigende Auslagerung von Datenverarbeitungen und Datenexporten).

Die DS-GVO wurde im Frühjahr 2016 verabschiedet und ist damit bis 25. Mai 2018 umzusetzen. Viel Zeit, dachten sicher noch viele im vergangenen Jahr, doch nun tickt die Uhr immer lauter und viele Organisationen werden langsam nervös, was hierfür ggf. zu tun ist.

Wesentliche Neuerungen zum BDSG im praktischen Umgang

Mit ein wenig googlen findet man mittlerweile viele Artikel über die Neuerungen im Vergleich zum aktuellen Bundesdatenschutzgesetz (BDSG).

Es finden sich in dieser Berichterstattung im Wesentlichen Punkte zu:

  • Meldepflichten bei Vorfällen
  • Bestimmungen zu Einverständniserklärungen (inkl. Von Minderjährigen)
  • Datenschutz-Folgenabschätzung (Privacy Impact Assessment)
  • Privacy-by-Design
  • Bestellung von Datenschutzbeauftragten
  • Recht auf “Vergessen”
  • Auftragsdatenverarbeitungen
  • Datenportabilität

Interessant dabei ist, dass dies zu großen Teilen (und insbesondere in der praktischen Umsetzung) eigentlich keine neuen Anforderungen sind sondern so auch schon in der alten EU Direktive bzw. Insbesondere im BDSG zu finden waren. Woher also die große Verunsicherung und befürchteten Auswirkungen in diversen betroffenen Organisationen?

Offenbar sind auch trotz bereits bestehender Regularien ein nicht geringer Teil der Unternehmen nur unzureichend konform und haben sich bisher auf Grund der geringen Kontrolldichte und der überschaubaren Bußgeldhöhen eher etwas “durchgewurschtelt”. Doch nun drohen plötzlich Strafzahlungen in zweistelliger Millionenhöhe (bzw. 2-4% des Gesamtjahresumsatzes). Das erklärt nun tatsächlich die gefühlte Panik.

Vergleich zu anderen EU Ländern

Viele Länder haben die alte EU Direktive 95/46/EG vergleichsweise unverändert übernommen und fuhren dort bisher eher einen Minimalansatz.

Ich möchte hier den Fokus auf zwei Themen lenken, welche signifikante Auswirkungen auf die praktische Umsetzung der Datenschutzanforderungen in den EU-Ländern haben werden:

  • Verpflichtung zur Bestellung von Datenschutzbeauftragten - In der alten EU Direktive war dies nur optional und wurde daher auch in vielen nationalen Gesetzgebungen nicht übernommen. Jetzt wird dies aber verpflichtend, wenn die (personenbezogene) Datenverarbeitung wesentlich zum Geschäftsmodell gehört bzw. Wenn besondere Arten personenbezogener Daten verarbeitet werden. Überlegen Sie einmal, auf wie viele Firmen dies zutreffen könnte und woher dann die ganzen Menschen mit entsprechenden Fachkenntnissen und Erfahrung kommen sollen, um die ganzen neuen Datenschutz-Stellen auszufüllen?
  • Auftragsdatenverarbeitung - Auch wenn das Konzept der Data Controller und Data Processor bereits vorher vorhanden war, wurde Auftragsdatenverarbeitung (ADV) in anderen EU-Ländern bisher eher lax gehandhabt (eher so wie vor der 2009er BDSG Novelle). Hier gibt es in Kombination mit Privacy-by-Design wesentlich stringentere Anforderungen und hier ist daher auch mit einer viel höheren Kontrolldichte durch Aufsichtsbehörden und in Folge durch die verantwortlichen Stellen in der Privatwirtschaft bei ihren jeweiligen Zulieferern zu rechnen.

Wie sieht es eigentlich mit England aus?

Vergangenes Jahr war ja sehr ereignisreich u.a. durch die sog. Brexit-Abstimmung. Wird England daher die DS-GVO nicht einführen? Nach aktuellem Stand wird der tatsächliche Austritt nicht mehr vor dem 25. Mai 2018 stattfinden, daher wird die DS-GVO zunächst auch unverändert im Vereinigten Königreich gelten. Zudem ist damit zu rechnen, dass die Regelungen in einer derartigen Form auch über den Austritt hinaus bestand haben werden, um weiterhin einfache Datenexporte von und zu EU-Ländern zu ermöglichen.

Whitepaper
Brexit und EU-DSGVO:
Was IT-Teams jetzt wissen müssen

Effekte außerhalb der EU

Eine weitere Neuerung liegt in der Abkehr vom sog. Territorialitätsprinzip zum Marktstandortprinzip, d.h. die Regelungen gelten auch für Unternehmen außerhalb der EU, wenn diese auch Daten von EU Bürgern verarbeiten. Dies passiert natürlich in erster Linie, wenn diese Unternehmen auch den hiesigen Markt direkt bedienen, über Auftragsdatenverarbeitungen jedoch auch indirekt über die vertraglichen Anforderungen ihrer EU-beheimateten Auftraggeber.

Zu erwartende Stolpersteine und Praxis Tipps

Was sollte man also nun tun, um sich auf die DS-GVO vorzubereiten?

Zunächst ist anzumerken, dass wir uns derzeit in einer etwas unglücklichen Zwischenphase befinden, die auch zu Unwägbarkeiten führen kann. Formell gelten die alten Regelungen bis zum 25. Mai 2018 weiter, jedoch wird sich derzeit kaum eine Aufsichtsbehörde dazu verleiten lassen noch klare Aussagen zu unklaren Themen abzugeben, die sich möglicherweise zu dem Übergangstermin ändern werden (z.B. ADV Verträge mit nicht-EU Dienstleistern, Anwendbarkeit von EU Standardvertragsklauseln oder EU-US Privacy Shield in welchen Konstellationen usw.).

Manche der Regelungen bedürfen außerdem auch weiterer konkreter Ausgestaltung z.B. die Akkreditierung für DS-GVO konforme Zertifizierungen oder Code-of-Conducts.

Um sich selbst einen Überblick zum Reifegrad der eigenen Datenschutz-Kontrollen zu verschaffen, bietet es sich an, zunächst eine entsprechende Analyse der eigenen Prozesse und IT-Systeme durchzuführen, sowie ggf. auch über die relevanten datenverarbeitenden Dienstleister.

Solch eine Analyse kann z.B. über spezialisierte Beratungsunternehmen erfolgen oder auch über Verfahren zum Datenschutz Selbst-Assessment. Mit den Ergebnissen der Analyse lassen sich dann entsprechende Risikomaßnahmen zur Umsetzung priorisieren und deren Effektivität anschließend messen.

Letztendlich sollte so ein “Plan-Do-Check-Act” Zyklus auch regelmäßig als ein Prozess der kontinuierlichen Verbesserung durchlaufen werden. Auf diese Weise sollte sich auch jede Kontrolle der Aufsichtsbehörden oder der eigenen Auftraggeber sehr effizient durchführen lassen.

Stefan SulistyoStefan Sulistyo ist Mitgründer und Geschäftsführer der Alyne GmbH. Zuvor sammelte er über zehn Jahre lang Erfahrung im Management von IT-Sicherheit und Datenschutz in verschiedenen großen Unternehmensberatungen bei Großkunden in diversen hochregulierten Branchen. Zudem war er in leitender Position verantwortlich für IT-Sicherheit bei einem führenden Medien- und Telekommunikationsunternehmen.
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet