Das Datenschutzrecht wird durch die neue EU-Verordnung grundlegend geändert.
[M] Nmedia | stock.adobe.com
Die europäische Datenschutz-Grundverordnung (EU-DSGVO) soll in etwa einem Jahr, am 25. Mai 2018, in Kraft treten. Die Umsetzung in den Staaten der Europäischen Union wird einerseits zwar für Erleichterungen im internationalen Datengeschäft sorgen, andererseits sind die Herausforderungen für Unternehmen jeder Größe enorm. Deutschland steht durch die DSGVO jedenfalls vor einer grundlegenden Reform des Datenschutzrechts. So sieht es unter anderem auch die Nationale Initiative für Informations- und Internet-Sicherheit (Nifis). Die Nifis als eingetragener Verein sieht sich als eine neutrale Selbsthilfeorganisation, die die deutsche Wirtschaft im Kampf gegen täglich wachsende Bedrohungen aus dem netz technisch, organisatorisch und rechtlich unterstützen will.
"Aktuell basiert das Datenschutzrecht in Deutschland auf einer Richtlinie der Europäischen Union aus dem Jahr 1995", sagt Rechtsanwalt Thomas Lapp, Vorsitzender der Nifis. "Sie berücksichtigt etliche der heutigen Themen wie Web 2.0, Internet der Dinge, Industrie 4.0 und Cloud Computing nicht. Daher kommt der Reform durch die neue Datenschutz-Grundverordnung, die unmittelbar in allen EU-Staaten gilt, eine so hohe Bedeutung zu", so Lapp weiter.
Rechtsänderungen am Beispiel von Cloud-Betreibern
Der Jurist verweist beispielhaft auf die neue Rechtslage beim Cloud Computing. Cloud-Anbieter werden von der Datenschutz Grundverordnung als "Auftragsverarbeiter" bezeichnet. Nach aktuellem Datenschutzrecht sind sie hingegen "Auftragsdatenverarbeiter". "Was auf den ersten Blick beinahe schon wie Wortklauberei anmutet, stellt in Wahrheit eine grundlegende Änderung dar, die jeder Anbieter von Cloud-Diensten unbedingt beachten sollte", sagt Thomas Lapp. "Das 'alte Recht' verpflichtet nämlich allein den Auftraggeber, für die Einhaltung der Vorschriften des Datenschutzes Sorge zu tragen und Verantwortung zu übernehmen. Die neue Datenschutz-Grundverordnung nimmt nun auch die Auftragnehmer, also die Anbieter von Cloud-Diensten, in die Verantwortung. Es gibt zahlreiche weitere Felder in beinahe allen Segmenten der IT-Sicherheit, die von der neuen Gesetzgebung betroffen sind", warnt Lapp davor, die neue Datenschutz-Grundverordnung auf die leichte Schulter zu nehmen.
Die Datenschutz-Grundverordnung hat das Potenzial, die europäischen IT-Anbieter mit einem Instrument auszustatten, das sowohl die effektive europaweite und auch internationale Nutzung der Daten ermöglicht als auch das Vertrauen der Verbraucher in neue Technologien stärken kann."
Heiko Weber im Fachbeitrag "Internationale Datenverarbeitung und systematisches Datenschutzmanagement mit der Datenschutz-Grundverordnung" im Springer-Magazin "Datenschutz und Datensicherheit" (5/2017, Seite 284).
In der neuesten Ausgabe des Springer-Magazins "Datenschutz und Datensicherheit" (5/2017) sind ebenfalls die schon vorhandenen und kommenden Auswirkungen der DSGVO Schwerpunktthema. Heiko Weber, Datenschutzbeauftragter der Software AG, schreibt in der "DuD" beispielsweise in einem Beitrag über die Möglichkeiten der Datenverarbeitung, durch die DSGVO und die neuen Dokumentationspflichten.
Bei Big-Data-Analysen und IoT-Geräten an Datenschutz denken
Die Formen der Datenverarbeitung seien im ständigen Wandel. Nicht nur die Menge an Daten, auch die Menge und Heterogenität der Datenquellen sowie die Arten der Datenerhebungen veränderten sich durch neue mobile und smarte Geräte, die mit immer mehr Sensoren ausgestattet würden, schreibt Heiko Weber. "Viele Daten werden nicht mehr explizit von den Benutzern der Dienste preisgegeben, sondern fallen automatisch bei der Nutzung an." Big-Data-Analysen und IoT-Geräte seien aus vielen neuen Anwendungen nicht mehr wegzudenken und ihr Einsatz müsse datenschutzkonform geregelt werden.
Da personenbezogene Daten eine wichtige Rolle in vielen modernen Dienstleistungen spielen, sind sie laut Weber bereits bei der Entwicklung dieser Dienste in besonderer Weise zu berücksichtigen. Hierzu hat die Datenschutz-Grundverordnung unter anderem die Grundsätze „Data Protection by Default“ und „Data Protection by Design“ eingeführt:
Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun."
Aus dem Erwägungsgrund 78 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
Datenschutz-Spezialist Weber erklärt, dass dies entsprechende Maßnahmen in den Implementierungen der Systeme erfordert, wie beispielsweise:
- frühzeitige Anonymisierung oder Pseudonymisierung der Daten oder
- frühzeitige Aggregation und Verarbeitung der Daten, so dass die Daten so weit wie möglich reduziert werden und der Anteil der personenbezogenen Daten minimiert wird.
"Konkrete Implementierungsanweisungen finden sich zwar nicht im Gesetz, dennoch sind die Grundsätze vorhanden, die einen flexibleren und umfangreicheren Schutz für moderne Datenverarbeitungen bieten", schreibt Weber.
Umfangreiche Dokumentationspflicht für Unternehmen
"Datenschutz-Compliance und die Notwendigkeit umfangreicher Dokumentationen sind wesentliche Erweiterungen, die aus dem neuen Gesetz im Vergleich zum Bundesdatenschutzgesetz resultieren. Dokumentationspflichten ergeben sich aus zahlreichen Artikeln der Datenschutz-Grundverordnung. Um diesen Pflichten nachzukommen und auch systematisch überprüfen zu können, dass die Anforderungen des Gesetzes eingehalten werden, ist ein ausgereiftes Datenschutz-Management erforderlich."
Insbesondere in den modernen Datenverarbeitungsanwendungen, in denen immer größere Datenmengen erhoben, gespeichert und genutzt werden, sollte die Digitalisierung der Unternehmensprozesse mit einer Digitalisierung des Datenschutz-Managements einhergehen, meint Weber. "Nur so kann das komplexe Zusammenspiel vieler Datenverarbeitungssysteme auch auf Datenschutzkonformität überprüft werden."
Millionen-Strafen drohen bei Verstößen
Viele Organisationen müssten ihre Prozesse künftig abbilden und die Einhaltung dieser Prozesse auch regelmäßig kontrollieren. Existierende Geschäftsprozesse müssten auf ihre Konformität zu den Datenschutzanforderungen überprüft und, je nach Ergebnis, angepasst werden. Denn bei Verstößen gegen die gesetzlichen Datenschutzrichtlinien drohen ab 2018 empfindliche Strafen in Höhe von bis zu 20 Millionen Euro oder von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens – je nachdem, welcher Betrag höher ist.
Manuell werden die Umsetzung der Anforderungen und die Kontrollen kaum zu schaffen sein, glaubt Weber: "Je nach Umfang und Art der Verarbeitungstätigkeiten wird dies nur mit einem akzeptablen Aufwand realisierbar sein, wenn diese Kontrollen auch möglichst automatisiert erfolgen können. Dies kann mit Systemen realisiert werden, die die Geschäftsprozesse klar dokumentieren und anhand dieser Prozessbeschreibungen die vielfältigen Systeme und Kategorien von verarbeiteten Daten gegenüber den festgelegten Regeln überwachen."