Beschlossene Sache – Neue DSGVO
Jahrelange Verhandlungen sind beendet
Mit Blick auf die technische Entwicklung liegt das Jahr 1995 gefühlte 100 Jahre zurück. Handys existierten als klobige Fernsprechanlagen, und die grenzenlosen Möglichkeiten des Internets wie wir es heute kennen, steckten in den Anfängen. Ganz zu schweigen von Facebook und den zahlreichen anderen, unbegrenzten Möglichkeiten der virtuellen Welten, die ebenso unbegrenzt unsere persönlichen Daten verschlingen.
1995 war auch das Jahr, aus dem die letzte Reform des europäischen Datenschutzrechts datiert. Je weiter sich 1995 entfernte und die technische Entwicklung in unsere Gegenwart hinein rückte, desto weniger konnten die Möglichkeiten der Gesetze dieser standhalten. Es wurde höchste Zeit für eine grundlegende Reform, um europaweit für einen angemessenen Schutz von personenbezogenen Daten und Rechtssicherheit für Unternehmen zu sorgen. Nach einem über vierjährigen, intensiven und in weiten Teilen hochkontroversen Verhandlungsprozess verabschiedete das Europäische Parlament im April dieses Jahres schließlich die neue EU-Datenschutz-Grundverordnung, kurz DSGVO. (mehr)
Die Rechtsform der Verordnung bedeutet in diesem Zusammenhang, dass die EU-Verordnung das jeweilige nationale Datenschutzrecht ersetzt und in jedem Mitgliedsstaat direkt und unmittelbar geltendes Recht wird. Das Bundesdatenschutzgesetz (BDSG) und alle anderen Vorschriften zum Datenschutz sind ab Mai 2018 – von wenigen Ausnahmen abgesehen – Geschichte. Die datenschutzrechtlichen Vorgaben werden dann ausschließlich durch die DSGVO geregelt.
Das Ziel
Die Verordnung vereint mehrere und durchaus unterschiedliche Ziele: Sie soll die Datenschutzrechte von EU-Bürgern stärken, das Vertrauen der Öffentlichkeit in die digitale Wirtschaft wiederherstellen und unsere persönlichen Daten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser schützen. Die DSGVO wurde zwar in diesem Jahr vom Europäischen Parlament verabschiedet, doch die Umsetzungsfrist läuft bis zum 25. Mai 2018. Bis dahin müssen Unternehmen ihre Datenschutzprozesse auf das neue Recht angepasst haben. Eine weitere Frist gibt es nicht!
Stichtag 25. Mai 2018
Eine so grundlegend neue gesetzliche Regelung wirft viele Fragen auf, zumal die DSGVO zwar an altbekannten Grundsätzen des Datenschutzes festhält, aber daneben auch zahlreiche bisher unbekannte Anforderungen festschreibt, die Unternehmen künftig zu beachten haben. Wir möchten Ihnen mit diesem Beitrag die zentralen Änderungen vorstellen und der Frage nachgehen, was diese für die Unternehmen bedeuten.
Für wen gilt die Verordnung?
Die DSGVO erfasst alle Unternehmen und Behörden, die in irgendeiner Form, sei es off- oder online, automatisiert oder teilautomatisiert, mit personenbezogenen Daten arbeiten. Grundsätzlich gilt sie also für jedes Unternehmen aus jeder erdenklichen Branche, das selbst oder im Auftrag von anderen personenbezogene Daten verarbeitet. Dabei geht es nicht nur um die Merkmale, die eine Person direkt identifizieren (Name, Anschrift oder Name, Geburtsdatum), sondern auch die Angaben, die sie mittelbar identifizierbar machen, wie z.B. IP-Adressen, Cookies, RFID-Tags, Standortdaten.
Der physische Unternehmenssitz verliert seine Bedeutung
Spielregeln sind klar
Ausschlaggebend für die Anwendung der EU-Datenschutz-Grundverordnung ist ferner, dass ein datenverarbeitendes Unternehmen eine Niederlassung in der EU hat. Neu ist insoweit jedoch, dass zusätzlich auch Unternehmen mit Sitz außerhalb der EU die Vorgaben der Verordnung beachten müssen, wenn sie sich mit ihrem – kommerziellen oder nicht-kommerziellen – Angebot an EU-Bürger richten oder, z.B. im Rahmen des Webtracking, deren Verhalten überwachen.
Was bleibt …
Etwas vereinfacht ausgedrückt kann man sagen, die DSGVO behält die grundlegenden Spielregeln für den Umgang mit den Daten anderer bei, die bisher auch galten.
Zusammengefasst lauten diese wie folgt:
- Du darfst die persönlichen Daten anderer nur für deine Zwecke nutzen, wenn es dir der Eigentümer der Daten erlaubt oder du die Erlaubnis eines Gesetzes dafür hast
- Du darfst nur so viele Daten nehmen, wie du für einen bestimmten (Geschäfts-) Zweck brauchst
- Du darfst die Daten nur solange aufbewahren, wie du sie für den erlaubten Zweck brauchst. Ausnahmen gelten beispielsweise, wenn du mit den Daten nachweisen musst, dass du genug Steuern bezahlst
- Du musst technische und organisatorische Maßnahmen treffen, um die Daten, die du von anderen benutzt, gegen Missbrauch und Verlust zu sichern.
… und was ist neu?
Verglichen mit dem in Deutschland derzeit noch geltenden Datenschutzrecht beinhaltet die DSGVO erheblich ausgeweitete Anforderungen an Unternehmen, personenbezogene Daten technisch und organisatorisch gegen Verlust, Veränderung und Manipulation zu schützen. Neu ist dabei auch, dass die Sicherheitsmaßnahmen nicht nur unternehmensintern umgesetzt, sondern auch dokumentiert und regelmäßig überprüft werden müssen. Unternehmen werden daher ab jetzt deutlich mehr Überlegung und Aufwand in die nunmehr vorgeschriebenen Risikoanalysen, Verfahrensdokumentationen, Datenschutzrisiko-Folgeabschätzungen und datenschutzfreundlichen Techniken investieren müssen.
EU-Datenschutz-Grundverordnung: Antwort auf Missstände
Die in der DSGVO formulierten Anforderungen an die technische Absicherung personenbezogener Daten und an die Dokumentationspflicht lesen sich in Teilen wie eine Antwort auf die Missstände und Regelungslücken der vergangenen Jahre. Zwei Beispiele machen dies deutlich:
Schutzziele
Die nach der DSGVO zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den klassischen Schutzzielen der IT-Sicherheit, der Vertraulichkeit, der Integrität und Authentizität (der personenbezogenen Daten). Die Unternehmen müssen eine Sicherheitspolitik etablieren, die auf der Grundlage einer Risikoanalyse u.a. die nachfolgend genannten Punkte umfasst:
- die Fähigkeit, die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten „auf Dauer sicherzustellen“,
- die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten rasch im Falle eines physischen oder technischen Vorfalls, der sich auf die Verfügbarkeit, Vollständigkeit und Vertraulichkeit der Informationssysteme und -dienste auswirkt, wiederherzustellen,
- zusätzliche Sicherheitsmaßnahmen im Falle der Verarbeitung sensibler personenbezogener Daten, um ein situationsbezogenes Risikobewusstsein sicherzustellen, und die Fähigkeit, Präventiv- und Abhilfemaßnahmen sowie abmildernde Maßnahmen zeitnah gegen festgestellte Schwachstellen oder Vorfälle zu ergreifen, die ein Risiko für die Daten darstellen könnten,
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen, -verfahren und -pläne, die aufgestellt werden, um die Wirksamkeit auf Dauer sicherzustellen.
Ausblick
Lesen Sie in der nächsten Woche im GBS Blog über die vielen Vorteile, sich rechtzeitig auf die Veränderungen im Datenschutzrecht vorzubereiten. Unternehmen, die umgehend starten, verbessern schon jetzt ihre Compliance in puncto Datenschutz und Informationssicherheit, müssen nicht später der neuen Rechtslage hinterherhinken und weder Bußgelder noch Diskussionen mit den Datenschutzaufsichtsbehörden riskieren. Denn bald werden verschärfte Haftungregeln greifen und die Sanktionen bei Datenschutzverstößen werden erheblich sein.
Die
PrivCom Datenschutz GmbH Hamburg, wurde Ende 2002 gegründet. Das Unternehmen berät
unter der Leitung von Dr. Bettina Kähler, große, mittlere und kleine Firmen sowie Organisationen der öffentlichen Verwaltung, Verbände u. ä. zu allen Fragen des
Datenschutzes. Dabei steht die
Verbindung von rechtlichen und technischen Lösungen – ohne die Datenschutz nicht effizient realisierbar ist – im Fokus.
Der Beitrag Neue EU-Datenschutz-Grundverordnung: Unternehmen im Zugzwang erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.